サイバーセキュリティのリスク管理が長期にわたって持続することを確認することが重要です。 初期の脆弱性リスク評価で組織のすべてのデジタル資産を特定し、既存のセキュリティ対策を調査した後、企業と外部の脅威の状況が変化するにつれて、継続的なサイバーセキュリティ リスク管理が必要になります。 したがって、この記事では、サイバーセキュリティのリスク管理について知っておく必要があるすべてをカバーしています。
サイバーセキュリティ リスク管理とは
サイバーセキュリティ リスク管理は、組織内のサイバーセキュリティの脅威を発見、評価、評価、対応するための絶え間ないプロセスです。
サイバーセキュリティ リスク管理は、セキュリティ担当者だけでなく、組織内の全員の責任です。 従業員やビジネス ユニットのリーダーは、リスク管理を別のビジネス活動と見なすことがよくあります。 残念なことに、彼らはリスクに立ち向かうために必要な完全で一貫した視点を欠いています。
各機能には独自の目標があり、多くの場合、他者に対する理解と共感の欠如が伴います。 IT 部門は、セキュリティとコンプライアンスが成長への不便なハードルであると常に認識しており、新しいアイデアとテクノロジを開拓しています。 セキュリティは安全性を認識していますが、多くの場合、法律や進化するテクノロジーとは無縁です。 営業スタッフは顧客を満足させたいと考えており、セキュリティ チェックを実行するための実用的なソリューションを探しています。 コンプライアンスは、規制を厳守することで誰もがトラブルに巻き込まれないようにしようとしますが、セキュリティを完全に理解していないまま運用されることがよくあります。
サイバーセキュリティ リスクを効果的に管理するには、すべての部門が明確に定義された役割と責任を持って運用する必要があります。 ばらばらな当惑の中で手探りで孤立した部門の時代はとっくに過ぎ去りました。 今日のリスク環境では、まとまりがあり、調整され、規律があり、一貫したリスク管理アプローチが必要です。 以下は、すべての企業が覚えておく必要があるいくつかの重要なリスク管理アクション コンポーネントです。
- ベンダーのリスクを評価するための強力なポリシーとツールを作成する
- ビジネスに影響を与える新しいルールなど、新たなリスクを特定する
- XNUMX 要素認証の欠如などの内部欠陥が特定されます。
- おそらくトレーニング プログラム、新しい規制、および内部統制による IT リスクの軽減
- 全体的なセキュリティ体制のテスト
- 規制監査に備えて、または新規顧客を安心させるための、ベンダーのリスク管理とセキュリティの文書化
サイバーセキュリティ リスクを管理する利点は何ですか?
企業は、サイバーセキュリティ リスク管理を実装することで、日常業務がサイバーセキュリティを後付けとして扱うことを防ぐことができます。 サイバーセキュリティ リスクを適切に管理するための計画は、プロトコルとポリシーが定期的に遵守され、セキュリティが最新の状態に保たれることを保証します。
次の危険は、サイバーセキュリティ リスク管理によって継続的に監視、特定、軽減されます。
- フィッシング検出、
- VIPおよびエグゼクティブ保護、
- ブランド保護、
- 不正防止、
- 機密データ漏洩の監視、
- ダークウェブでの活動、
- 自動化された脅威の軽減、
- 漏えいした資格情報の監視、
- 悪意のあるモバイルアプリの特定、
- サプライチェーンのリスクはほんの一例です。
サイバーセキュリティ リスク管理フレームワーク
サイバーセキュリティ フレームワークは、国や企業全体のセキュリティ リーダーに共通の言語と一連の標準を提供し、セキュリティ体制とプロバイダーのセキュリティ体制を理解できるようにします。 フレームワークを使用すると、サイバーセキュリティ リスクを評価、管理、軽減するための組織の手順を簡単に指定できます。
サイバーセキュリティ フレームワークは、重要なベンチマークとして機能します。
サイバー セキュリティ リスク管理をセキュリティ パフォーマンス管理およびサード パーティのリスク管理戦略に組み込むための基盤は、多くの場合必要とされるサイバーセキュリティ フレームワークによって提供されます。 フレームワークを羅針盤として使用することで、最大のセキュリティ リスクに関する重要な洞察を得ることができ、セキュリティの卓越性に専念していることを組織の他のメンバーに安心して伝えることができます。
サイバーセキュリティのための NIST フレームワーク
前大統領の大統領令である「重要インフラのサイバーセキュリティの改善」は、サイバー リスクの特定、評価、および管理のために、官民の協力を強化することを求めました。 これに対応して、NIST Cybersecurity Framework が作成されました。 NIST は、サイバーセキュリティの成熟度を評価し、セキュリティ ギャップを特定し、サイバーセキュリティ規制を順守するためのゴールド スタンダードとして浮上していますが、コンプライアンスは任意です。
規範 ISO 27002 および 27001
国際標準化機構 (ISO) によって作成された ISO 27001 および ISO 27002 認定は、サイバーセキュリティ プログラムを内部および外部の関係者と検証するためのグローバル ベンチマークと見なされています。 ISO 認証を取得すると、企業は取締役会、顧客、パートナー、株主に対して、サイバー リスクを管理するために正しいことを行っていることを示すことができます。 同様に、ベンダーが ISO 27001/2 の認定を受けている場合、それは (唯一のものではありませんが) 成熟したサイバーセキュリティの実践と管理を行っていることを示す良い指標です。
NERC-CIP
米国の重要なインフラストラクチャへの攻撃の増加とサードパーティのリスクの増大を緩和するために導入された、North American Electric Reliability Corporation – Critical Infrastructure Protection (NERC CIP) は、公益事業および電力セクターのサイバーセキュリティの削減を支援するために設計された一連のサイバーセキュリティ標準です。バルク電気システムの信頼性を危険にさらし、保証します。
このフレームワークでは、影響を受ける組織がサプライ チェーンにおけるサイバー リスクを特定して軽減する必要があります。 NERC-SIP では、システムと重要な資産の分類、スタッフのトレーニング、インシデント対応と計画、重要なサイバー資産の復旧計画、脆弱性評価など、いくつかの管理策が概説されています。 効果的な NERC-CIP コンプライアンス戦略の詳細をご覧ください。
サイバーセキュリティリスク管理の給与
102,856 年 19 月 2022 日の時点で、米国におけるサイバー リスク管理の平均年収は XNUMX ドルです。
時給約 49.45 ドルの簡単な給与計算ツールが必要だとします。 これは、毎週 1,978 ドル、または 8,571 か月あたり XNUMX ドルに相当します。
ZipRecruiter の年収は最高で 167,000 ドル、最低で 29,500 ドルですが、現在、米国のサイバー リスク管理の給与の大部分は 74,500 ドル (25 パーセンタイル) から 126,500 ドル (75 パーセンタイル) の範囲であり、上位 (90 パーセンタイル) の年収は 156,000 ドルです。 . サイバー リスク管理の平均給与範囲は大幅に異なり (最大 52,000 ドル)、スキル レベル、場所、経験年数に応じて、昇進と高収入の見込みが多数あることを意味します。
最近の ZipRecruiter の求人情報によると、ジョージア州アトランタとその周辺地域のサイバー リスク管理の求人市場は活発です。 お住まいの地域のサイバー リスク管理者の平均年収は 101,973 ドルで、全国の平均年収 883 ドルより 1 ドル (102,856%) 少なくなっています。 ジョージア州は、サイバー リスク管理の給与に関して、49 州中 50 位にランクされています。
ZipRecruiter は、サイバー リスク管理職の最も正確な年間給与範囲を生成するために、アメリカ全土でローカルに宣伝されている数百万のアクティブな求人のデータベースを定期的にチェックしています。
この位置は、情報システムの潜在的な弱点を見つけて、セキュリティの大惨事を防ぐ上で非常に重要です。 これらの専門家は、実施されているセキュリティ対策を評価し、企業のコンピューター、ネットワーク、およびデータに対する潜在的な攻撃を防ぎます。
サイバーセキュリティエンジニアの給与
サイバーセキュリティの平均給与は 120,000 ドルから 210,000 ドルの範囲であり、サイバーセキュリティ エンジニアの地位は、セキュリティ セクターで最も高い給与の XNUMX つでもあります。
企業は、高度なサイバー攻撃、ハッキングの試み、永続的な脅威から保護するための安全なネットワーク ソリューションの設計、開発、実装など、さまざまなセキュリティ エンジニアのタスクを主に担当しているため、これらの専門家をスキル セットと経験に基づいて採用しています。
アプリケーションセキュリティエンジニアの給与
アプリケーション セキュリティ エンジニアは、サイバーセキュリティ プロフェッショナルの中で 130,000 番目に高給取りで、年間給与は 200,000 万ドルから XNUMX 万ドルです。
AWS や Microsoft の Azure などのサード パーティが提供またはホストするソフトウェア ソリューションをビジネスで使用している場合、またはソリューションをゼロから開発している場合でも、アプリケーション セキュリティ エンジニアの雇用は不可欠です。
これらの専門家は、従業員が使用するすべてのビジネス アプリケーションとソフトウェアを保護し、すべてのプライバシーとコンプライアンスの要件がソフトウェアに組み込まれ、順守されるようにします。
サイバーセキュリティアナリストの給与
サイバーセキュリティのこのポジションの平均給与は 95,000 ドルから 160,000 ドルで、それだけの価値があります。
これらのセキュリティ専門家は、インフラストラクチャを保護するためのセキュリティ対策の開発、編成、および実装を支援します。
ハッカーがチャンスを得る前に脆弱性を特定するために特別に装備されています。 彼らは、侵入テスターや情報セキュリティ マネージャーと協力して、ビジネスに深刻な損害を与える可能性のあるサイバー攻撃を軽減および回避するための知識と経験を持っています。
いつ情報セキュリティ管理者を雇うべきですか?
顧客データを保護し、個人情報が危険にさらされたり盗まれたりすることに関連するコストや罰則を避けたいと考えていましたか? ビジネスが苦しむ前に、この役職に就いてください。 Uber は、データ侵害の通知を義務付ける州法に違反したとして 148 億 XNUMX 万ドルの罰金を科されました。
サイバーセキュリティ リスク管理計画
組織の要件と目的に応じて、定量的、定性的、またはその両方の組み合わせによる最適なアプローチを選択してください。
定量的アプローチでは、特定のリスクがもたらす財務上の影響を把握できますが、定量的アプローチでは、生産性の観点から組織への影響を可視化できます。
NIST Special Publication 800-30 に従って、リスク評価は戦術レベルまたは戦略レベルで実行できます。
すべての資産のインベントリを作成し、優先度、重要性、および評価対象の情報の種類に従ってそれらを整理することは、セキュリティ リスク評価プロセスの最初の最も重要なステップです。
すべての利害関係者から支持を得て、情報資産を分類する方法を決定します。
#1。 サイバーセキュリティ リスクを優先順位で並べ替える
どのデータにアクセス可能で、誰が、どのように侵害される可能性があるかを判断します。
IT ランドスケープが拡大し、組織が新しいテクノロジを採用し、共有インフラストラクチャや既存のソフトウェア スタック上で実行されるサードパーティ サービスなど、ビジネスを行うさまざまなモードを採用することで、最も予期しない領域にデータの抜け穴が存在する可能性があります。
状況の変化に加えて、多くのコンプライアンス ポリシーと規制慣行により、インフラストラクチャ Web で表面化する可能性のあるすべてのセキュリティ インシデントまたはデータ侵害を特定することの重要性が強化されています。
情報資産を特定して分類したら、潜在的な脅威チャネルを特定します。
動的な脅威の状況に沿って行動するとき、トリガーとコントロールについて最新の状態に保ち、変化するニーズに合わせてこれらの脅威に対抗するためのさまざまな戦略を考案するために進化することが重要です.
データ セキュリティ インシデントは、外部からの攻撃、悪意のあるユーザーとソフトウェア、過失の結果として導入された脆弱性、自然災害、および内部関係者の脅威にまで及びます。
セキュリティの失効は、収益の損失、風評被害、法的な影響、事業継続の中断、およびその他の悪影響の長いリストをもたらします。
スキャン、侵入テスト、および監査制御を通じて、ネットワークの脆弱性を見つけます。
脆弱性はネットワーク上またはアプリケーション内に存在し、見落としやシステムの欠陥に注意する俊敏性の欠如のために気付かれない弱点です。
クラウド上でアプリケーションをホストおよび実行する企業がますます増えているため、このような弱点が生じる可能性が高くなります。
このような脆弱性を標的とする脅威には、外部、内部、構造化、および非構造化があります。
#2。 サイバーセキュリティのリスク防止および軽減戦略を決定する
情報資産を評価し、それらの資産に関連する潜在的なセキュリティの脅威を特定した後、直面する可能性が高い脅威を回避するメカニズムを開発するときが来ました。
セキュリティ監視ツールを展開する
監視を自動化できる、必要なすべてのインフラストラクチャとセキュリティ ソリューションを展開します。 これは、ネットワークのセキュリティを管理する上で不可欠な手順です。
サイバーセキュリティサービス
これらのサービスは、個別または共同で提供されます。
- サイバーリスク管理運用サービス
関連するサイバー リスクを特定して管理し、リスクに基づく効果的な意思決定を可能にします。
- サイバー セキュリティ プログラムの評価
セキュリティ プログラムを評価して、投資に優先順位を付け、回復力を高め、リスクを軽減します。
- 王冠の宝石のセキュリティ評価
最も重要なビジネス資産を特定し、保護し、有害な侵害から防御します。
- サイバーセキュリティデューデリジェンスサービス
ビジネス トランザクション、関係、および直接制御できないシステムに関連する継承されたサイバー リスクを認識し、軽減します。
- 脅威モデリング セキュリティ サービス
効果的で動的なシステム分析を通じて、未確認のビジネスおよびセキュリティ リスクを発見します。
- 脅威と脆弱性の管理
実績のあるリスクベースのセキュリティ戦略により、脆弱性管理プロセスを改善および安定化します。
まとめ
今日、企業全体でリスクを管理することは、かつてないほど困難になっています。 現代のセキュリティ環境は頻繁に変化し、企業はサードパーティ ベンダーの爆発的な増加、新しいテクノロジ、および絶えず拡大するルールの地雷原に直面しています。 COVID-19 の発生と景気後退により、セキュリティ チームとコンプライアンス チームは、リソースを削減しながら、追加の責任を負わざるを得なくなりました。
このような背景から、企業はリスク管理プロセスを実装する必要があります。 リスクを特定して評価することでリスクを判断し、軽減戦略を確立し、内部統制を継続的にチェックして、それらがリスクと整合していることを確認します。 リスク管理プロジェクトでは常に、再評価、新たなテスト、および継続的な緩和を優先する必要があることに注意してください。
最後に、現代のリスク管理の追求に猶予はありません。 刻一刻とリスクと脆弱性が増し、前例のない変化の時代に公正とは思えません。 一方、賢明で成功している企業は、分析、コラボレーション/コミュニケーション/問題管理ツール、およびサードパーティのリスク管理フレームワークをサポートして、IT リスクを管理し、企業のセキュリティを維持するための戦いで独自の地位を維持し続けるでしょう。
関連記事
- セキュリティ弁護士:知っておくべきことすべて(更新)
- 2023年にすべての企業がサイバーセキュリティに注意を払う必要があるXNUMXつの理由
- セールスエンジニア:職務内容、スキル、給与が更新されました! (私たち)
- 環境管理システム: EMS の種類と基本要素
- 2023年のブロックチェーンのエキセントリックなセキュリティ問題
参考文献
