Търсене
Close this search box.

Идентифицирането и справянето с киберриска е ключово предизвикателство за CISO, а в условията на предстоящи регулации е от решаващо значение лидерите по сигурността да се усъвършенстват.

CISO по целия свят се сблъскват с предизвикателството да определят количествено нивото на киберриска в организацията си, за да получат подкрепа за сигурността на ниво управителен съвет, но как изглежда това на практика?

В разговор с ITPro Тим Гривсън, SVP и глобален съветник по киберрисковете в Bitsight, който е сред най-добрите CSO за 2023 г., съобщи, че по време на пътуванията си, когато е говорил с CISO по целия свят, е установил, че новите разпоредби относно киберустойчивостта карат лидерите по сигурността да управляват киберрисковете си по различен начин.

„Грижа се за Bitsight от глобална гледна точка, т.е. за EMEA, APAC и САЩ, и едно от нещата, които със сигурност движат мисленето на [CISO], са планините от регулации, които се появяват, независимо дали става въпрос за NIS2 в Европа, SOC 2 в САЩ, киберзакона в Сингапур или Австралия.“

Но Гривсън каза, че това поражда нови предизвикателства относно начина, по който тези ръководители могат да съберат различните заплахи, пред които е изправена тяхната организация, в единна метрика, която след това може да се използва за съобщаване на риска както на управителните съвети, така и на одиторите.

„Предизвикателството, пред което са изправени CISO и главните отговорници по риска, е количественото определяне на техния риск във финансово изражение. Да разберат каква е повърхността на атаката, какво покриват вътрешно и външно, но също и във веригата за доставки.“

Организациите са доста добри в разбирането и подобряването на своята позиция по отношение на сигурността, отбеляза Гривсън, но нарастващите проблеми, като например атаките по веригата на доставки или масовото използване на уязвимости в крайни устройства, правят тази задача много по-сложна.

„Това, което забелязах, е, че [организациите] са склонни да се грижат за себе си наистина добре, но веригата на доставките сякаш следва темпото и не е съвсем на ниво по отношение на разбирането на това какви са активите, какви са договорите, какви са рисковете и количественото им определяне в разбираем за бизнеса вид.“

Гривсън разкри, че при срещи с редица CISO в региона на AIPAC разговорът бързо се е насочил към възходящата тенденция на високопрофилни инциденти със сигурността, причинени от използването на уязвимости в доставчиците на организацията от трети или дори четвърти страни.

„Започнахме да говорим за управление на риска от трети страни, управление на веригата за доставки, риск за хората и как това се обединява, за да бъде цялостен поглед в сигурността? Защото, ако не разбирате активите си, как бихте могли да ги приоритизирате, как след това да ги ограничите и как всъщност да определите количествено този риск за вашия бизнес?“

Първото нещо, което трябва да се промени, твърди Гривсън, е този наследен начин на мислене за сигурността на периметъра, който е недостатъчен в един все по-взаимосвързан цифров свят.

Определянето на приоритетите е мястото, където много организации се провалят при намаляването на киберриска
Първата част от този пъзел е видимостта, отбеляза Гривсън, заявявайки, че ако предприятията не разбират с какво разполагат по отношение на инструментите и услугите, които съставляват тяхната повърхност за атака, те неизбежно няма да успеят да идентифицират къде могат да бъдат изложени на риск чрез някоя от своите партньорски организации, доставчици или клиенти.

Компаниите могат да правят годишна оценка, но уязвимостите се появяват постоянно. Необходимо е да се прави непрекъсната оценка, непрекъснат мониторинг, оценки за включване в системата, както и да се прави годишна оценка. Ако не правите непрекъснати оценки, може да пропуснете нещо, защото го правите само през 12 месеца, а не постоянно.“

След като организациите разполагат с това ниво на видимост, възможността да определят какво да смекчат и кога се превръща в следващото предизвикателство за лидерите в областта на сигурността.

Умората от предупрежденията“ е често срещано явление в сектора на сигурността и опитите да се държи сметка за разрастващите се повърхности на атаки, като се приоритизират проблемите, на които трябва да се обърне внимание, ще стават все по-важни, твърди Гривсън.

Той отбеляза, че всеки бизнес има определено ниво на риск, което е готов да понесе, а определянето на този риск е упражнение за определяне на приоритети и преценка кои услуги са от съществено значение за бизнеса.

„Начинът да го определите е наистина да проведете диалог с ръководството си за това кои са важните активи или услуги, които предоставяте? Каква е стойността им? Това е мястото, където много организации се провалят, те не разбират какво имат по отношение на тази повърхност за атаки и са склонни да изглеждат много изолирани“.

След като бъдат идентифицирани критичните активи на организацията, ръководителите по сигурността ще трябва да определят приоритетите си по отношение на заплахите, на които да обърнат първо внимание, като според Гривсън това е въпрос на въздействие и вероятност.

Той обяснява, че това включва финансовите и времевите разходи за предприемане на мерки за смекчаване на последиците, както и нивото на риск, на което конкретната заплаха излага бизнеса. След това това уравнение може да се използва за генериране на метрика, чрез която CISO могат да съобщят на управителните съвети и регулаторните органи за нивото на риска.

Количествено определяне на киберриска: „Истински важното е да го измерим“

Гривсън формулира идеята си за зрял подход към управлението на киберриска по отношение на видимостта, приоритизирането, комуникацията и количественото определяне, като твърди, че всяко от тях е жизненоважно за получаване на цялостна представа за заплахите, пред които е изправена организацията.

„Идентифицирайте риска. Приоритизиране на риска. Комуникирайте риска с управителния съвет на разбираем за тях език, за да могат да разпределят правилните ресурси, пари и възможности, а след това трябва да въведете план за намаляване на риска. Но накрая мисля, че истински важното нещо е да го измерите.“

Според Гривсън способността да се преобразува рискът в абстрактен смисъл в смилаема метрика е от съществено значение, ако искате ефективно да комуникирате киберриска като общ бизнес риск, както и за разбирането на въздействието на мерките за смекчаване върху тази експозиция.

„Къде ще бъде киберрискът [на организацията] днес? Къде ще бъде той, когато въведете смекчаващи контроли или ако намалите или елиминирате риска? Ако не го измервате, той е неизвестен. Това е способността да се уверите, че знаете какво гледате.“

Гривсън заяви, че това разбиране за киберриска не се развива достатъчно бързо в сравнение със скоростта на промените, които настъпват в пейзажа на заплахите, но предположи, че новите регулаторни задължения на предприятията допълнително подтикват ръководителите да се съсредоточат върху получаването на по-ясна представа за това какви киберрискове имат.

„Не се развива достатъчно бързо, но това, което според мен ще доведе до тази промяна, са навлизащите регулации. Знаете, че е необходимо да се докладва своевременно. Необходимост да разберете въздействието и вероятността от това, което трябва да докладвате на регулатора.“

 

Източник: itpro.co.uk

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
11/10/2024

Предизвикателствата в облас...

Какви са приоритетите на CISO и...
10/10/2024

Атаката на American Water п...

Кибератака продължава да засяга най-голямата регулирана...
08/10/2024

Скок на заплатите на CISO

Главните директори по сигурността на информацията...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!