Il est crucial de s'assurer que la gestion des risques de cybersécurité perdure dans le temps. Une gestion continue des risques de cybersécurité est nécessaire à mesure que l'entreprise et le paysage des menaces externes évoluent après qu'une évaluation initiale des risques de vulnérabilité a identifié tous les actifs numériques de l'organisation et examiné les mesures de sécurité existantes. Cet article couvre donc tout ce que vous devez savoir sur la gestion des risques de cybersécurité.
Qu'est-ce que la gestion des risques de cybersécurité ?
La gestion des risques de cybersécurité est le processus constant de recherche, d'évaluation, d'évaluation et de réponse aux menaces de cybersécurité dans votre organisation.
La gestion des risques liés à la cybersécurité relève de la responsabilité de tous les membres de l'organisation, et pas seulement du personnel de sécurité. Les employés et les dirigeants des unités commerciales considèrent souvent la gestion des risques comme une activité commerciale distincte. Malheureusement, ils n'ont pas le point de vue complet et cohérent requis pour faire face au risque.
Chaque fonction a son propre objectif, souvent accompagné d'un manque de compréhension et d'empathie pour les autres. L'informatique est à l'avant-garde de nouvelles idées et technologies, percevant continuellement la sécurité et la conformité comme des obstacles gênants à la croissance. La sécurité est consciente de la sécurité mais souvent déconnectée de la législation et des technologies en évolution. Le personnel de vente souhaite satisfaire ses clients et recherche une solution pratique pour effectuer les contrôles de sécurité. La conformité essaie de garder tout le monde à l'abri des ennuis en respectant strictement les réglementations, mais elle fonctionne souvent sans une compréhension approfondie de la sécurité.
Toutes les fonctions doivent fonctionner avec des rôles et des responsabilités clairement définis pour gérer efficacement le risque de cybersécurité. L'époque des départements isolés tâtonnant dans une confusion décousue est révolue depuis longtemps. Le paysage des risques d'aujourd'hui nécessite une approche de gestion des risques cohérente, coordonnée, disciplinée et cohérente. Voici quelques éléments critiques des mesures de gestion des risques dont toutes les entreprises doivent se souvenir :
- Créer des politiques et des outils solides pour évaluer le risque fournisseur
- Identifier les risques émergents, tels que les nouvelles règles ayant des implications commerciales
- Les failles internes, telles que l'absence d'authentification à deux facteurs, sont identifiées.
- Atténuation des risques informatiques, éventuellement par le biais de programmes de formation, de nouvelles réglementations et de contrôles internes
- Test de posture de sécurité globale
- Documentation de la gestion des risques et de la sécurité des fournisseurs en préparation d'audits réglementaires ou pour rassurer de nouveaux clients
Quels sont les avantages de la gestion des risques liés à la cybersécurité ?
Une entreprise peut empêcher que ses opérations quotidiennes ne traitent la cybersécurité après coup en mettant en œuvre une gestion des risques de cybersécurité. Un plan de gestion des risques de cybersécurité en place garantit que les protocoles et les politiques sont suivis régulièrement et que la sécurité est maintenue à jour.
Les dangers suivants sont continuellement surveillés, identifiés et atténués via la gestion des risques de cybersécurité :
- Détection d'hameçonnage,
- Protection VIP et exécutif,
- Protection de la marque,
- Prévention de la fraude,
- Surveillance des fuites de données sensibles,
- Activité sur le dark web,
- Atténuation automatisée des menaces,
- Surveillance des informations d'identification divulguées,
- Identification des applications mobiles malveillantes,
- et les risques liés à la chaîne d'approvisionnement ne sont que quelques exemples.
Cadre de gestion des risques de cybersécurité
Pour les responsables de la sécurité à travers les nations et les entreprises, un cadre de cybersécurité offre un langage commun et un ensemble de normes qui leur permettent de comprendre leurs postures de sécurité et celles de leurs fournisseurs. Un cadre simplifie beaucoup la spécification des étapes de votre organisation pour évaluer, gérer et réduire les risques de cybersécurité.
Un cadre de cybersécurité peut servir de référence importante.
La base pour intégrer la gestion des risques de cybersécurité dans vos stratégies de gestion des performances de sécurité et de gestion des risques tiers est fournie par les cadres de cybersécurité, qui sont souvent nécessaires. Vous obtiendrez des informations cruciales sur votre plus grand risque de sécurité en utilisant un cadre comme boussole, et vous vous sentirez à l'aise de dire au reste de l'organisation que vous vous consacrez à l'excellence en matière de sécurité.
Cadre NIST pour la cybersécurité
Le décret de l'ancien président, Améliorer la cybersécurité des infrastructures critiques, appelait à une coopération accrue entre les secteurs public et privé pour identifier, évaluer et gérer les cyberrisques. En réponse, le NIST Cybersecurity Framework a été créé. Le NIST est devenu la référence en matière d'évaluation de la maturité de la cybersécurité, d'identification des failles de sécurité et de respect des réglementations en matière de cybersécurité, même si la conformité est facultative.
Normes ISO 27002 et 27001
Les certifications ISO 27001 et ISO 27002, créées par l'Organisation internationale de normalisation (ISO), sont considérées comme la référence mondiale pour vérifier un programme de cybersécurité en interne et avec des parties externes. Avec une certification ISO, les entreprises peuvent démontrer au conseil d'administration, aux clients, aux partenaires et aux actionnaires qu'elles font ce qu'il faut pour gérer le cyber-risque. De même, si un fournisseur est certifié ISO 27001/2, c'est un bon indicateur (mais pas le seul) qu'il a des pratiques et des contrôles de cybersécurité matures.
NERC-CIP
Introduit pour atténuer l'augmentation des attaques contre les infrastructures critiques américaines et le risque croissant de tiers, la North American Electric Reliability Corporation - Critical Infrastructure Protection (NERC CIP) est un ensemble de normes de cybersécurité conçues pour aider les acteurs des secteurs des services publics et de l'électricité à réduire la cyber risque et assurer la fiabilité des systèmes électriques de masse.
Le cadre exige des organisations concernées qu'elles identifient et atténuent les cyber-risques dans leurs chaînes d'approvisionnement. Plusieurs contrôles sont décrits dans le NERC-SIP, tels que la classification des systèmes et des actifs critiques, la formation du personnel, la réponse et la planification des incidents, les plans de récupération des cyberactifs critiques, les évaluations de vulnérabilité, etc. En savoir plus sur les stratégies de conformité NERC-CIP qui fonctionnent.
Salaire de gestion des risques de cybersécurité
Le salaire annuel moyen d'un Cyber Risk Management aux États-Unis est de 102,856 19 $ par an au 2022 décembre XNUMX.
Supposons que vous ayez besoin d'un calculateur de salaire rapide qui coûte environ 49.45 $ de l'heure. Cela équivaut à 1,978 8,571 $ par semaine ou XNUMX XNUMX $ par mois.
Alors que ZipRecruiter a des revenus annuels aussi élevés que 167,000 29,500 $ et aussi bas que 74,500 25 $, la majeure partie des salaires de Cyber Risk Management aux États-Unis vont maintenant de 126,500 75 $ (90e centile) à 156,000 52,000 $ (XNUMXe centile), les meilleurs salariés (XNUMXe centile) gagnant XNUMX XNUMX $. . L'échelle salariale moyenne pour la gestion des risques cybernétiques varie considérablement (jusqu'à XNUMX XNUMX $), ce qui implique qu'il peut y avoir de nombreuses perspectives de promotion et de revenus plus élevés en fonction du niveau de compétence, du lieu et des années d'expérience.
Selon les récentes offres d'emploi de ZipRecruiter, le marché du travail Cyber Risk Management à Atlanta, GA, et dans les environs est actif. Un responsable de la gestion des risques cybernétiques dans votre région gagne un salaire annuel moyen de 101,973 883 $, soit 1 $ (102,856 %) de moins que le salaire annuel moyen national de 49 50 $. La Géorgie se classe XNUMXe sur XNUMX États en ce qui concerne le salaire de la gestion des risques cybernétiques.
ZipRecruiter vérifie régulièrement sa base de données de millions d'emplois actifs annoncés localement à travers l'Amérique pour générer la fourchette de salaire annuelle la plus précise pour les postes de gestion des risques cybernétiques.
Ce poste est crucial pour prévenir les catastrophes de sécurité en repérant les points faibles potentiels de vos systèmes d'information. Ces experts évaluent les mesures de sécurité en place et préviennent les attaques potentielles sur les ordinateurs, les réseaux et les données de votre entreprise.
Salaire d'un ingénieur en cybersécurité
Avec des salaires moyens en cybersécurité allant de 120,000 210,000 $ à XNUMX XNUMX $, le poste d'ingénieur en cybersécurité rapporte également l'un des salaires les plus élevés du secteur de la sécurité.
Les entreprises embauchent ces experts pour leurs compétences et leur expérience, car ils sont principalement responsables de diverses tâches d'ingénieur en sécurité, telles que la conception, le développement et la mise en œuvre de solutions de réseau sécurisé pour se protéger contre les cyberattaques sophistiquées, les tentatives de piratage et les menaces persistantes.
Salaire d'un ingénieur en sécurité applicative
Les ingénieurs en sécurité des applications sont les troisièmes professionnels de la cybersécurité les mieux payés, avec des salaires annuels allant de 130,000 200,000 $ à XNUMX XNUMX $.
Faire appel à un ingénieur en sécurité applicative est indispensable si votre entreprise utilise des solutions logicielles proposées ou hébergées par des tiers, comme AWS ou Azure de Microsoft, ou encore si vous développez vos solutions à partir de zéro.
Ces experts protégeront toutes les applications et tous les logiciels d'entreprise utilisés par votre personnel et s'assureront que toutes les exigences de confidentialité et de conformité sont intégrées dans le logiciel et respectées.
Salaire d'un analyste en cybersécurité
Le salaire moyen pour ce poste en cybersécurité varie de 95,000 160,000 $ à XNUMX XNUMX $, et cela en vaut la peine.
Ces experts en sécurité aident à développer, organiser et mettre en œuvre des mesures de sécurité pour protéger votre infrastructure.
Ils sont spécialement équipés pour identifier les vulnérabilités avant que les pirates n'aient une chance. Ils ont les connaissances et l'expérience nécessaires pour collaborer avec des testeurs d'intrusion et des responsables de la sécurité de l'information afin d'atténuer et d'éviter les cyberattaques qui pourraient gravement nuire à votre entreprise.
Quand faut-il embaucher des responsables de la sécurité de l'information ?
Cherchez-vous à protéger les données de vos clients et à éviter les coûts et les pénalités associés à la compromission ou au vol de vos informations privées ? Faites-vous une faveur et occupez ce poste avant que votre entreprise ne souffre. Vous êtes obligé de prévoir des amendes coûteuses pour ne pas avoir protégé les données des clients, comme Uber, qui a été pénalisé de 148 millions de dollars pour avoir enfreint les lois de l'État exigeant une notification de violation de données.
Plan de gestion des risques liés à la cybersécurité
En fonction des exigences et des objectifs de votre organisation, choisissez la meilleure approche, qui peut être quantitative, qualitative ou une combinaison des deux.
Une approche quantitative vous donne un aperçu de l'impact financier d'un risque particulier, tandis qu'une approche quantitative vous donne une visibilité sur l'impact organisationnel en termes de productivité.
Conformément à la publication spéciale 800-30 du NIST, une évaluation des risques peut être effectuée au niveau tactique ou stratégique.
Faire un inventaire de tous les actifs et les organiser en fonction de la priorité, de l'importance et du type d'informations évaluées est la première et la plus importante étape du processus d'évaluation des risques de sécurité.
Obtenez le soutien de toutes les parties intéressées et décidez comment catégoriser les actifs informationnels.
#1. Trier les risques de cybersécurité par priorité
Déterminez quelles données sont accessibles, à qui et comment elles peuvent être piratées.
Avec l'élargissement du paysage informatique et l'adoption par les organisations de technologies plus récentes et de différents modes de conduite des affaires, tels que l'infrastructure partagée ou les services tiers s'exécutant sur une pile logicielle existante, des failles de données peuvent exister dans les territoires les plus inattendus.
Outre la transformation du paysage, de nombreuses politiques de conformité et pratiques réglementaires renforcent l'importance d'identifier chaque incident de sécurité ou violation de données susceptible de survenir dans l'infrastructure Web.
Une fois que vous avez identifié et classé les actifs informationnels, identifiez les canaux de menace potentiels.
Alors que nous évoluons dans le paysage dynamique des menaces, il est important que nous nous tenions au courant des déclencheurs et des contrôles et que nous évoluions pour concevoir différentes stratégies pour contrer ces menaces avec l'évolution des besoins.
Les incidents de sécurité des données vont des attaques externes, des utilisateurs et des logiciels malveillants, des vulnérabilités introduites à la suite d'une négligence, des catastrophes naturelles et des menaces internes.
Les failles de sécurité entraînent une perte de revenus, une atteinte à la réputation, des répercussions juridiques, une interruption de la continuité des activités et une longue liste d'autres effets négatifs.
Grâce à l'analyse, aux tests d'intrusion et aux contrôles d'audit, trouvez les vulnérabilités du réseau.
Les vulnérabilités résident sur le réseau ou dans l'application et sont des points faibles qui passent inaperçus en raison de la surveillance et d'un manque d'agilité pour prendre note des failles du système.
Avec de plus en plus d'entreprises hébergeant et exécutant leurs applications sur le cloud, les chances d'introduire de tels points faibles sont élevées.
Les menaces qui ciblent ces vulnérabilités sont externes, internes, structurées et non structurées.
#2. Déterminer les stratégies de prévention et d'atténuation des risques pour la cybersécurité
Il est temps de développer des mécanismes pour éviter les menaces auxquelles vous êtes susceptible de faire face après avoir évalué les actifs informationnels et identifié les menaces de sécurité potentielles liées à ces actifs.
Déployer des outils de surveillance de la sécurité
Déployez toutes les solutions d'infrastructure et de sécurité nécessaires qui peuvent automatiser la surveillance pour vous. Il s'agit d'une étape essentielle dans la gestion de la sécurité de votre réseau.
Services de cybersécurité
Ces services sont offerts individuellement ou conjointement.
- Service des opérations de gestion des risques cybernétiques
Identifiez et gérez les cyber-risques pertinents pour permettre une prise de décision efficace et basée sur les risques.
- Évaluation du programme de cybersécurité
Évaluez votre programme de sécurité pour hiérarchiser les investissements, augmenter la résilience et réduire les risques.
- Évaluation de la sécurité des joyaux de la couronne
Identifiez, protégez et défendez vos actifs commerciaux les plus critiques contre les compromis nuisibles.
- Service de diligence raisonnable en matière de cybersécurité
Réalisez et atténuez les cyber-risques hérités associés aux transactions commerciales, aux relations et aux systèmes hors de contrôle direct.
- Service de sécurité de modélisation des menaces
Découvrez les risques commerciaux et de sécurité non identifiés grâce à une analyse efficace et dynamique du système.
- Gestion des menaces et des vulnérabilités
Améliorez et stabilisez vos processus de gestion des vulnérabilités grâce à des stratégies de sécurité éprouvées basées sur les risques.
Conclusion
Aujourd'hui, la gestion des risques dans l'ensemble de l'entreprise est plus difficile que jamais. Les paysages de sécurité modernes changent souvent et les entreprises sont confrontées à une explosion de fournisseurs tiers, de nouvelles technologies et à un champ de règles en constante expansion. L'épidémie de COVID-19 et la récession ont poussé les équipes de sécurité et de conformité à assumer des responsabilités supplémentaires tout en réduisant les ressources.
Dans ce contexte, votre entreprise doit mettre en place un processus de gestion des risques. Déterminez votre risque en l'identifiant et en l'évaluant, puis établissez une stratégie d'atténuation et vérifiez en permanence vos contrôles internes pour vous assurer qu'ils sont alignés sur le risque. N'oubliez pas que tout projet de gestion des risques doit toujours donner la priorité à la réévaluation, aux nouveaux tests et à l'atténuation continue.
En fin de compte, il n'y a pas de répit dans la poursuite moderne de la gestion des risques. Cela ne semble guère juste dans une période de changements sans précédent, avec des risques et des vulnérabilités qui augmentent de minute en minute. Les entreprises intelligentes et prospères, d'autre part, continueront de se défendre dans la bataille pour gérer les risques informatiques et préserver la sécurité de l'entreprise avec le soutien d'outils d'analyse, de collaboration/communication/gestion des problèmes et de cadres de gestion des risques tiers.
Articles Relatifs
- AVOCAT EN SÉCURITÉ : tout ce que vous devez savoir (mis à jour)
- Quatre raisons pour lesquelles toutes les entreprises doivent prêter attention à la cybersécurité en 2023
- Ingénieur commercial : Description du poste, compétences et salaire mis à jour ! (NOUS)
- SYSTÈMES DE GESTION ENVIRONNEMENTALE : Types et éléments de base d'un SME
- Problèmes de sécurité excentriques de Blockchain en 2023
Bibliographie
