MManagement

CYBERVEILIGHEIDSRISICOBEHEER: raamwerk, plan en services

Beheer van cyberbeveiligingsrisico's
Sangfor-technologieën
Inhoudsopgave Verbergen
  1. Wat is cyberbeveiligingsrisicobeheer?
  2. Wat zijn de voordelen van het beheren van cyberbeveiligingsrisico's?
  3. Kader voor risicobeheer voor cyberbeveiliging
    1. NIST-raamwerk voor cyberbeveiliging
    2. Normen ISO 27002 en 27001
    3. NERC-CIP
  4. Salaris voor cyberbeveiligingsrisicobeheer
    1. Salaris van een Cyber ​​Security Engineer
    2. Salaris van een Application Security Engineer
    3. Salaris van een cyberveiligheidsanalist
  5. Wanneer moeten informatiebeveiligingsmanagers worden aangenomen?
  6. Risicobeheerplan voor cyberbeveiliging
    1. #1. Sorteer cyberbeveiligingsrisico's op prioriteit
    2. #2. Bepaal strategieën voor risicopreventie en -beperking voor cyberbeveiliging
  7. Cybersecurity Services
  8. Conclusie
    1. Gerelateerde artikelen
    2. Referenties

Het is cruciaal om ervoor te zorgen dat het beheer van cyberbeveiligingsrisico's in de loop van de tijd standhoudt. Er is behoefte aan continu beheer van cyberbeveiligingsrisico's naarmate het bedrijf en het externe dreigingslandschap evolueren nadat een eerste kwetsbaarheidsrisicobeoordeling alle digitale activa van de organisatie heeft geïdentificeerd en bestaande beveiligingsmaatregelen heeft onderzocht. Dit artikel behandelt dus alles wat u moet weten over risicobeheer op het gebied van cyberbeveiliging.

Wat is cyberbeveiligingsrisicobeheer?

Cyberbeveiligingsrisicobeheer is het constante proces van het vinden, beoordelen, evalueren en reageren op cyberbeveiligingsbedreigingen in uw organisatie.

Risicobeheer op het gebied van cyberbeveiliging is de verantwoordelijkheid van iedereen in de organisatie, niet alleen van het beveiligingspersoneel. Werknemers en bedrijfsonderdeelleiders beschouwen risicomanagement vaak als een aparte bedrijfsactiviteit. Helaas missen ze het volledige en consistente gezichtspunt dat nodig is om risico's het hoofd te bieden.

Elke functie heeft zijn eigen doel, vaak gepaard met een gebrek aan begrip en empathie voor anderen. IT is een pionier op het gebied van nieuwe ideeën en technologie, waarbij beveiliging en compliance voortdurend worden gezien als hinderlijke hindernissen voor groei. Beveiliging is zich bewust van veiligheid, maar heeft vaak geen voeling met wetgeving en evoluerende technologieën. Het verkooppersoneel wil zijn klanten tevreden houden en zoekt naar een praktische oplossing om veiligheidscontroles uit te voeren. Compliance probeert iedereen uit de problemen te houden door zich strikt aan de regelgeving te houden, maar werkt vaak zonder een grondige kennis van beveiliging.

Alle functies moeten werken met duidelijk gedefinieerde rollen en verantwoordelijkheden om cyberbeveiligingsrisico's effectief te beheren. De dagen van geïsoleerde afdelingen die in onsamenhangende verbijstering voortrommelen, zijn allang voorbij. Het huidige risicolandschap vereist een samenhangende, gecoördineerde, gedisciplineerde en consistente benadering van risicobeheer. Hieronder volgen enkele kritieke actiecomponenten voor risicobeheer die alle bedrijven moeten onthouden:

  • Het creëren van sterk beleid en tools om leveranciersrisico's te beoordelen
  • Identificatie van opkomende risico's, zoals nieuwe regels met zakelijke implicaties
  • Interne gebreken, zoals het ontbreken van tweefactorauthenticatie, worden geïdentificeerd.
  • IT-risicobeperking, mogelijk door trainingsprogramma's, nieuwe regelgeving en interne controles
  • Algehele beveiligingshouding testen
  • Documentatie van risicobeheer en beveiliging van leveranciers ter voorbereiding op regelgevende audits of om nieuwe klanten gerust te stellen

Wat zijn de voordelen van het beheren van cyberbeveiligingsrisico's?

Een bedrijf kan voorkomen dat zijn dagelijkse activiteiten cyberbeveiliging als een bijzaak beschouwen door cyberbeveiligingsrisicobeheer te implementeren. Een aanwezig plan voor het beheersen van cyberbeveiligingsrisico's garandeert dat protocollen en beleid regelmatig worden gevolgd en dat de beveiliging up-to-date wordt gehouden.

De volgende gevaren worden continu gemonitord, geïdentificeerd en beperkt via cybersecurity-risicobeheer:

  • Phishing-detectie, 
  • VIP- en uitvoerende bescherming, 
  • Merkbescherming, 
  • Fraudepreventie,
  • Bewaking van het lekken van gevoelige gegevens, 
  • Activiteit op het dark web,
  • Geautomatiseerde beperking van bedreigingen, 
  • Monitoring van gelekte inloggegevens,
  • Identificatie van schadelijke mobiele apps, 
  • en supply chain-risico's zijn slechts enkele voorbeelden.

Kader voor risicobeheer voor cyberbeveiliging

Voor beveiligingsleiders in verschillende landen en bedrijven biedt een cyberbeveiligingskader een gemeenschappelijke taal en een reeks normen waarmee ze hun beveiligingshouding en die van hun providers kunnen begrijpen. Een raamwerk maakt het veel eenvoudiger om de stappen van uw organisatie te specificeren om cyberbeveiligingsrisico's te evalueren, te beheren en te verminderen.

Een cybersecurityraamwerk kan als belangrijk ijkpunt dienen.

De basis voor het integreren van cyberbeveiligingsrisicobeheer in uw strategieën voor beveiligingsprestatiebeheer en risicobeheer van derden wordt geleverd door cyberbeveiligingskaders, die vaak vereist zijn. U krijgt cruciaal inzicht in uw grootste beveiligingsrisico door een raamwerk als uw kompas te gebruiken, en u zult met een gerust hart de rest van de organisatie vertellen dat u toegewijd bent aan uitmuntende beveiliging.

NIST-raamwerk voor cyberbeveiliging

Het uitvoerend bevel van de voormalige president, Verbetering van de cyberbeveiliging van kritieke infrastructuur, riep op tot meer samenwerking tussen de publieke en private sector voor het identificeren, beoordelen en beheren van cyberrisico's. Als reactie hierop is het NIST Cybersecurity Framework in het leven geroepen. NIST is naar voren gekomen als de gouden standaard voor het evalueren van de volwassenheid van cyberbeveiliging, het identificeren van beveiligingslacunes en het naleven van cyberbeveiligingsvoorschriften, ook al is naleving optioneel.

Normen ISO 27002 en 27001

De ISO 27001- en ISO 27002-certificeringen, gecreëerd door de International Organization for Standardization (ISO), worden beschouwd als de wereldwijde maatstaf voor het verifiëren van een cybersecurity-programma intern en met externe partijen. Met een ISO-certificering kunnen bedrijven aan het bestuur, klanten, partners en aandeelhouders aantonen dat ze de juiste dingen doen om cyberrisico's te beheersen. Evenzo, als een leverancier ISO 27001/2-gecertificeerd is, is dit een goede indicator (hoewel niet de enige) dat ze volwassen cyberbeveiligingspraktijken en -controles hebben.

NERC-CIP

De North American Electric Reliability Corporation – Critical Infrastructure Protection (NERC CIP) is geïntroduceerd om de toename van aanvallen op kritieke infrastructuur in de VS en het toenemende risico van derden tegen te gaan. risico's en zorgen voor de betrouwbaarheid van elektrische bulksystemen.

Het raamwerk vereist dat getroffen organisaties cyberrisico's in hun toeleveringsketens identificeren en beperken. Verschillende controles worden beschreven in NERC-SIP, zoals het classificeren van systemen en kritieke bedrijfsmiddelen, training van personeel, reactie op incidenten en planning, herstelplannen voor kritieke cyberactiva, beoordelingen van kwetsbaarheden en meer. Meer informatie over NERC-CIP-nalevingsstrategieën die werken.

Salaris voor cyberbeveiligingsrisicobeheer

Het gemiddelde jaarsalaris voor een Cyber ​​Risk Management in de Verenigde Staten is $ 102,856 per jaar vanaf 19 december 2022.

Stel dat u een snelle salariscalculator nodig heeft die ongeveer $ 49.45 per uur kost. Dit komt neer op $ 1,978 per week of $ 8,571 per maand.

Terwijl ZipRecruiter jaarlijkse inkomsten heeft van $ 167,000 tot $ 29,500, varieert het grootste deel van de Cyber ​​Risk Management-salarissen in de Verenigde Staten nu van $ 74,500 (25e percentiel) tot $ 126,500 (75e percentiel), waarbij topverdieners (90e percentiel) $ 156,000 verdienen . Het gemiddelde salarisbereik voor Cyber ​​Risk Management varieert aanzienlijk (tot $ 52,000), wat impliceert dat er tal van vooruitzichten zijn op promotie en een hoger inkomen, afhankelijk van het vaardigheidsniveau, de locatie en de jarenlange ervaring.

Volgens recente ZipRecruiter-vacatures is de Cyber ​​Risk Management-banenmarkt in Atlanta, GA en omgeving actief. Een Cyber ​​Risk Management in uw regio verdient een gemiddeld jaarsalaris van $ 101,973, wat $ 883 (1%) minder is dan het nationale gemiddelde jaarsalaris van $ 102,856. Georgië staat op de 49e plaats van de 50 staten wat betreft het salaris voor Cyber ​​Risk Management.

ZipRecruiter controleert regelmatig zijn database met miljoenen actieve vacatures die lokaal in heel Amerika worden geadverteerd om het meest nauwkeurige jaarlijkse salarisbereik voor Cyber ​​Risk Management-functies te genereren.

Deze positie is cruciaal bij het voorkomen van beveiligingsrampen door mogelijke zwakke plekken in uw informatiesystemen op te sporen. Deze experts evalueren de getroffen beveiligingsmaatregelen en voorkomen mogelijke aanvallen op de computers, netwerken en gegevens van uw bedrijf.

Salaris van een Cyber ​​Security Engineer

Met gemiddelde cyberbeveiligingssalarissen variërend van $ 120,000 tot $ 210,000, levert de functie van cyberbeveiligingsingenieur ook een van de hoogste salarissen in de beveiligingssector op.

Bedrijven huren deze experts in vanwege hun vaardigheden en ervaring, omdat ze primair verantwoordelijk zijn voor verschillende taken van beveiligingstechnici, zoals het ontwerpen, ontwikkelen en implementeren van veilige netwerkoplossingen ter bescherming tegen geavanceerde cyberaanvallen, hackpogingen en aanhoudende bedreigingen.

Salaris van een Application Security Engineer

Applicatiebeveiligingstechnici zijn de op twee na best betaalde cyberbeveiligingsprofessionals, met jaarsalarissen variërend van $ 130,000 tot $ 200,000.

Het in dienst nemen van een applicatiebeveiligingsingenieur is essentieel als uw bedrijf softwareoplossingen gebruikt die worden aangeboden of gehost door derden, zoals AWS of Microsoft's Azure, of zelfs als u uw oplossingen vanaf nul ontwikkelt.

Deze experts beschermen alle zakelijke applicaties en software die door uw personeel worden gebruikt en zorgen ervoor dat alle privacy- en compliancevereisten in de software zijn opgenomen en worden nageleefd.

Salaris van een cyberveiligheidsanalist

Het gemiddelde salaris voor deze functie in cyberbeveiliging varieert van $ 95,000 tot $ 160,000, en het is het zeker waard.

Deze beveiligingsexperts helpen bij het ontwikkelen, organiseren en implementeren van beveiligingsmaatregelen om uw infrastructuur te beschermen.

Ze zijn speciaal uitgerust om kwetsbaarheden te identificeren voordat hackers een kans krijgen. Ze hebben de kennis en ervaring om samen te werken met penetratietesters en informatiebeveiligingsmanagers om cyberaanvallen die uw bedrijf ernstig kunnen schaden, te verminderen en te voorkomen.

Wanneer moeten informatiebeveiligingsmanagers worden aangenomen?

Wilde u klantgegevens beschermen en de kosten en boetes vermijden die gepaard gaan met het compromitteren of stelen van uw privégegevens? Doe jezelf een plezier en vervul deze functie voordat je bedrijf eronder lijdt. U bent gedwongen om dure boetes te betalen voor het niet beschermen van klantgegevens, zoals Uber, dat werd bestraft met $ 148 miljoen voor het overtreden van staatswetten die melding van datalekken vereisen.

Risicobeheerplan voor cyberbeveiliging

Kies, afhankelijk van de vereisten en doelstellingen van uw organisatie, de beste aanpak, die kwantitatief, kwalitatief of een combinatie van beide kan zijn.

Een kwantitatieve benadering geeft u inzicht in de financiële impact die een bepaald risico met zich meebrengt, terwijl een kwantitatieve benadering u inzicht geeft in de organisatorische impact in termen van productiviteit.

Volgens NIST Special Publication 800-30 kan een risicobeoordeling worden uitgevoerd op tactisch of strategisch niveau.

Het inventariseren van alle bedrijfsmiddelen en deze ordenen op basis van prioriteit, belangrijkheid en het type informatie dat wordt beoordeeld, is de eerste en belangrijkste stap in het beoordelingsproces van beveiligingsrisico's.

Zorg voor steun van alle geïnteresseerde partijen en beslis hoe u de informatiemiddelen wilt categoriseren.

#1. Sorteer cyberbeveiligingsrisico's op prioriteit

Bepaal welke gegevens toegankelijk zijn, voor wie en hoe deze kunnen worden geschonden.

Nu het IT-landschap steeds groter wordt en organisaties nieuwere technologieën en andere manieren van zakendoen gebruiken, zoals gedeelde infrastructuur of services van derden die bovenop een bestaande softwarestack draaien, kunnen er in de meest onverwachte gebieden mazen in de gegevens bestaan.

Naast het transformerende landschap, benadrukken veel nalevingsbeleid en regelgevende praktijken het belang van het identificeren van elk mogelijk beveiligingsincident of datalek dat op het web van de infrastructuur kan opduiken.

Nadat u de informatiemiddelen hebt geïdentificeerd en geclassificeerd, identificeert u de potentiële dreigingskanalen.

Terwijl we door het dynamische dreigingslandschap manoeuvreren, is het belangrijk dat we op de hoogte blijven van de triggers en besturingselementen en dat we evolueren om verschillende strategieën te bedenken om deze dreigingen het hoofd te bieden aan de veranderende behoeften.

Gegevensbeveiligingsincidenten variëren van externe aanvallen, kwaadwillende gebruikers en software, kwetsbaarheden die zijn geïntroduceerd als gevolg van nalatigheid, natuurrampen en bedreigingen van binnenuit.

Beveiligingsfouten leiden tot gederfde inkomsten, reputatieschade, juridische repercussies, verstoring van de bedrijfscontinuïteit en een lange lijst van andere negatieve effecten.

Vind netwerkkwetsbaarheden door middel van scannen, penetratietesten en auditcontroles.

Kwetsbaarheden leven op het netwerk of in de applicatie en zijn zwakke plekken die onopgemerkt blijven vanwege onoplettendheid en een gebrek aan flexibiliteit om systeemfouten op te merken.

Nu steeds meer bedrijven hun applicaties in de cloud hosten en uitvoeren, is de kans groot dat dergelijke zwakke plekken worden geïntroduceerd.

De bedreigingen die zich richten op dergelijke kwetsbaarheden zijn extern, intern, gestructureerd en ongestructureerd.

#2. Bepaal strategieën voor risicopreventie en -beperking voor cyberbeveiliging

Het is tijd om mechanismen te ontwikkelen om de bedreigingen te vermijden waarmee u waarschijnlijk te maken krijgt na het evalueren van de informatiemiddelen en het identificeren van potentiële beveiligingsbedreigingen die verband houden met die middelen.

Beveiligingsbewakingstools implementeren

Implementeer alle benodigde infrastructuur- en beveiligingsoplossingen die de bewaking voor u kunnen automatiseren. Dit is een essentiële stap bij het beheren van de beveiliging van uw netwerk.

Cybersecurity Services

Deze diensten worden individueel of gezamenlijk aangeboden.

  • Operatiedienst voor cyberrisicobeheer

Identificeer en beheer relevante cyberrisico's om effectieve, op risico's gebaseerde besluitvorming mogelijk te maken.

  • Beoordeling van het cyberbeveiligingsprogramma

Evalueer uw beveiligingsprogramma om prioriteit te geven aan investeringen, de veerkracht te vergroten en risico's te verminderen.

  • Beveiligingsbeoordeling kroonjuwelen

Identificeer, bescherm en verdedig uw meest kritieke bedrijfsmiddelen tegen schadelijke compromissen.

  • Dienst due diligence cyberbeveiliging

Realiseer en beperk overgeërfde cyberrisico's die verband houden met zakelijke transacties, relaties en systemen waarover u geen directe controle heeft.

  • Beveiligingsservice voor bedreigingsmodellering

Ontdek niet-geïdentificeerde bedrijfs- en beveiligingsrisico's door middel van effectieve, dynamische systeemanalyse.

  • Beheer van bedreigingen en kwetsbaarheden

Verbeter en stabiliseer uw processen voor kwetsbaarheidsbeheer met bewezen op risico gebaseerde beveiligingsstrategieën.

Conclusie

Tegenwoordig is het beheersen van risico's in het hele bedrijf moeilijker dan ooit. Moderne beveiligingslandschappen veranderen vaak en ondernemingen worden uitgedaagd door een explosie van externe leveranciers, nieuwe technologie en een zich voortdurend uitbreidend mijnenveld van regels. De uitbraak van COVID-19 en de recessie hebben beveiligings- en nalevingsteams ertoe aangezet om extra verantwoordelijkheden op zich te nemen en tegelijkertijd de middelen te verminderen.

Tegen deze achtergrond moet uw bedrijf een risicobeheerproces implementeren. Bepaal uw risico door het te identificeren en te beoordelen, stel vervolgens een beperkingsstrategie op en controleer continu uw interne controles om ervoor te zorgen dat ze zijn afgestemd op het risico. Vergeet niet dat bij elk risicobeheerproject altijd prioriteit moet worden gegeven aan herbeoordeling, nieuwe tests en voortdurende beperking.

Uiteindelijk is er geen rust in het moderne streven naar risicobeheer. Het lijkt nauwelijks eerlijk in een periode van ongekende verandering, met risico's en kwetsbaarheden die met de minuut toenemen. Slimme en succesvolle bedrijven zullen daarentegen hun mannetje blijven staan ​​in de strijd om IT-risico's te beheersen en de bedrijfsbeveiliging te behouden met behulp van analyse-, samenwerkings-/communicatie-/probleembeheertools en risicobeheerkaders van derden.

Referenties

Peace is een senior contentschrijver, strateeg en redacteur, die haar talenten leent aan organisaties als BusinessYield. Haar achtergrond ligt in contentcreatie en thought leadership, met branche-expertise in B2B SaaS, gespecialiseerde marketingbureaus en entertainment. Gevestigd in Missisauga, Ontario, CA, en heeft een masterdiploma in digitale communicatie en journalistieke innovatie van de Universiteit van Waterloo. Als ze niet hard aan het werk is, houdt ze van reizen, lezen en koolhydraten eten. Ze schrijft graag zakelijke artikelen op basis van haar rijke financiële en marketingervaringen.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

- Vorig artikel

Hoe u uw zakelijke resoluties voor 2023 kunt behouden: gedetailleerde gids

Volgend artikel -

Redenen om statisticus te worden

Dit vind je misschien ook leuk