Компании все больше проводят деньги на кибербезопасность. Однако злоумышленники запускают более сложные кибер-атаки, которые трудно обнаружить, и предприятия часто страдают от них серьезных последствий.
Только в первой половине 2019 года нарушения данных подвергаются почти 4,1 миллиарда записей Отказ Вот почему предприятиям является обязательным для того, чтобы предприятия имели возможности себя своими знаниями о том, насколько сильна их кибер-безопасность, какие существуют потенциальные уязвимости, и как могут быть смягчены эти риски.
Выполнение оценки риска кибербезопасности помогает организациям укрепить свою общую безопасность. Основной целью оценки риска является определение того, что являются критическими активами, и если угроза используют эти активы, насколько она будет стоить, чтобы смягчить эти риски и защитить ваши активы от нарушения.
Как вы можете выполнить оценку кибер-риска?
Чтобы выполнить оценку риска кибербезопасности, вам нужно рассмотреть три фактора:
• важность активов на риск • серьезность угрозы • уязвимость системы
Но прежде чем мы погрузимся в то, как выполнить оценку риска кибербезопасности, давайте понять, что такое оценка риска кибербезопасности.
Какова оценка риска кибербезопасности?
Оценка риска кибербезопасности является основополагающим подходом для компаний для оценки, выявления и изменения своих протоколов безопасности и обеспечивает сильные операции безопасности для защиты его против атакующих.
Это также помогает понять значение различных типов данных, созданных и хранимых по всей организации. Не определение значения ваших данных, вполне сложно определять приоритеты и назначать ресурсы, где они необходимы больше всего.
В оценке риска кибербезопасности вы также должны учитывать, как ваша компания генерирует доход, как ваши сотрудники и активы влияют на прибыльность Организации, и какие потенциальные риски могут привести к денежному убыткам для компании.
Как только вы определили все это, вы должны подумать о том, как вы можете улучшить свою ИТ-инфраструктуру, чтобы уменьшить потенциальные риски, которые могут привести к финансовым потерям организации.
Кроме того, оценка риска кибербезопасности помогает информировать создателей решения и поддерживать надлежащие ответы на риск. Большинство руководителей C-Suite и специалисты по управлению высшим управлением не имеют времени на то, чтобы углубиться в минуту детали операций Cyber Security Компании.
Анализ рисков кибербезопасности служит резюме, чтобы помочь им принимать обоснованные решения о безопасности их организации.
Есть несколько способов собирать информацию, необходимую для начать процесс оценки риска:
• Обзор документации. • Интервью владельцы, руководства и другие сотрудники. • Проанализировать вашу инфраструктуру и системы.
Как выполнить оценку риска кибербезопасности?
Чтобы начать оценку риска кибербезопасности, вы должны пройти следующие шаги:
Шаг 1: Определите информационное значение
Большинство организаций не имеют большого бюджета для оценок рисков безопасности, особенно малого бизнеса (SMBS), поэтому лучше всего ограничить вашу область оценки к наиболее важной деловой информации.
Проведите время, чтобы определить стандарт для определения важности информации и приоритеты его. Компании часто включают стоимость активов, важность бизнеса и юридическое положение.
После того, как вы создали стандарт, и он встроен в решение анализа кибербезопасности вашей организации, используйте его для классификации информации как незначительные, основные или критические.
Вот несколько вопросов, которые вы можете попросить определить ценность информации:
• Насколько ценным является эта информация для конкурентов или злоумышленников? • Если эта информация потеряна, не могли бы вы воссоздать информацию? Сколько времени это займет? Что было бы связанные расходы? • Есть ли какие-либо финансовые или юридические наказания, связанные с потерей или разоблачением информации? • Потерял бы информацию по влиянию на повседневную операцию компании? • Каким был бы финансовый ущерб данным, пропущенным или украденным? • Какими были бы долгосрочные последствия информации о потерянности информации или выставленной? Будет ли это вызвать репутационный ущерб? Как вы могли бы оправиться от этого?
Шаг 2: Определите и определите приоритеты активов
Первый и самый важный шаг для выполнения оценки риска кибербезопасности является оценка и определения объема оценки.
Это означает, что вы должны идентифицировать и определять приоритеты, которые активы данных для оценки. Вы можете не захотеть проводить оценку всех ваших сотрудников, зданий, торговых секретов, электронных данных или офисных устройств.
Вам нужно работать с помощью руководства и бизнес-пользователей, чтобы создать всеобъемлющий список всех ценных активов. Некоторые активы могут быть ценными, потому что они в значительной степени влияют на доходы вашей компании, в то время как другие могут быть ценными, потому что они обеспечивают целостность данных для ваших пользователей.
После того, как вы определили важные активы для оценки, соберите следующую информацию:
• Данные • Цель • Критичность • Программное обеспечение • Функциональные требования • Поток информации • Интерфейс • Конечные пользователи • Оборудование • Политика безопасности информации • Архитектура безопасности информации • Топология сети • Техническая безопасность Контроль • Контроль физической безопасности • Охрана окружающей среды • Защита от хранения информации • Поддержка личного
Шаг 3: Определите угрозы
Как только вы определили и приоритетные активы, которые имеют решающее значение для вашей компании, пришло время выявить угрозы, которые могут повлиять на вашу организацию. Угроза может быть определена как возникновение, индивидуальное, сущность или действие, которое имеет возможность причинять вред операциям, системам и/или эксплуатации уязвимостей, чтобы обойти безопасность вашей организации.
Существует широкий спектр угроз, которые могут повлиять на предприятие, начиная от вредоносных программ, его риск безопасности, инсайдерские угрозы, злоумышленники и т. Д.
Продолжить чтение этой статьи на CypressDataDefense.com .
Оригинал: «https://dev.to/joywinter90/how-to-perform-a-cyber-security-risk-assessment-a-step-by-step-guide-43kc»