Крайне важно убедиться, что управление рисками кибербезопасности сохраняется с течением времени. Существует необходимость в постоянном управлении рисками кибербезопасности по мере развития компании и ландшафта внешних угроз после того, как первоначальная оценка риска уязвимости выявила все цифровые активы организации и рассмотрела существующие меры безопасности. Таким образом, эта статья охватывает все, что вам нужно знать об управлении рисками кибербезопасности.
Что такое управление рисками кибербезопасности?
Управление рисками кибербезопасности — это постоянный процесс обнаружения, оценки и реагирования на угрозы кибербезопасности в вашей организации.
Управление рисками кибербезопасности является обязанностью каждого в организации, а не только сотрудников службы безопасности. Сотрудники и руководители бизнес-подразделений часто рассматривают управление рисками как отдельный вид деятельности. К сожалению, им не хватает полной и последовательной точки зрения, необходимой для противостояния риску.
Каждая функция имеет свою цель, часто сопровождающуюся отсутствием понимания и сочувствия к другим. ИТ-отдел внедряет новые идеи и технологии, постоянно воспринимая безопасность и соответствие требованиям как неудобные препятствия для роста. Служба безопасности знает о безопасности, но часто не в курсе законодательства и развивающихся технологий. Торговый персонал хочет, чтобы его клиенты были довольны, и они ищут практическое решение для проверки безопасности. Комплаенс пытается уберечь всех от неприятностей, строго соблюдая правила, но часто работает без полного понимания безопасности.
Все функции должны работать с четко определенными ролями и обязанностями для эффективного управления рисками кибербезопасности. Дни изолированных отделов, суетившихся в бессвязном замешательстве, давно прошли. Современный ландшафт рисков требует согласованного, скоординированного, дисциплинированного и последовательного подхода к управлению рисками. Ниже приведены некоторые важные компоненты действий по управлению рисками, которые должны помнить все фирмы:
- Создание надежных политик и инструментов для оценки рисков поставщика
- Выявление возникающих рисков, таких как новые правила, имеющие последствия для бизнеса
- Выявлены внутренние недостатки, такие как отсутствие двухфакторной аутентификации.
- Снижение ИТ-рисков, возможно, с помощью программ обучения, новых правил и внутреннего контроля.
- Общее тестирование состояния безопасности
- Документация по управлению рисками и безопасности поставщика в рамках подготовки к регулирующим проверкам или для заверения новых клиентов.
Каковы преимущества управления рисками кибербезопасности?
Предприятие может предотвратить второстепенное отношение к кибербезопасности в своих повседневных операциях, внедрив управление рисками кибербезопасности. Наличие плана управления рисками кибербезопасности гарантирует регулярное соблюдение протоколов и политик и поддержание безопасности в актуальном состоянии.
Следующие опасности постоянно отслеживаются, выявляются и снижаются с помощью управления рисками кибербезопасности:
- Обнаружение фишинга,
- VIP и представительская охрана,
- Защита бренда,
- Предотвращение мошенничества,
- Мониторинг утечки конфиденциальных данных,
- Активность в даркнете,
- Автоматическое устранение угроз,
- Мониторинг утечек учетных данных,
- Выявление вредоносных мобильных приложений,
- и риски цепочки поставок — лишь несколько примеров.
Структура управления рисками кибербезопасности
Для лидеров в области безопасности в разных странах и компаниях структура кибербезопасности предлагает общий язык и набор стандартов, которые позволяют им понимать свои позиции безопасности и позиции своих поставщиков. Платформа значительно упрощает определение шагов вашей организации для оценки, управления и снижения рисков кибербезопасности.
Структура кибербезопасности может служить важным эталоном.
Основу для включения управления рисками кибербезопасности в ваши стратегии управления эффективностью безопасности и сторонние стратегии управления рисками обеспечивают платформы кибербезопасности, которые часто требуются. Используя структуру в качестве компаса, вы получите важную информацию о своих самых больших рисках безопасности, и вы будете чувствовать себя комфортно, рассказывая остальной части организации, что вы привержены совершенству в области безопасности.
NIST Framework для кибербезопасности
В указе бывшего президента «Улучшение кибербезопасности критической инфраструктуры» содержится призыв к расширению сотрудничества между государственным и частным секторами для выявления, оценки и управления киберрисками. В ответ на это была создана NIST Cybersecurity Framework. NIST стал золотым стандартом для оценки зрелости кибербезопасности, выявления пробелов в безопасности и соблюдения правил кибербезопасности, даже если соблюдение требований не является обязательным.
Нормы ISO 27002 и 27001
Сертификаты ISO 27001 и ISO 27002, созданные Международной организацией по стандартизации (ISO), считаются глобальным эталоном для проверки программы кибербезопасности внутри компании и с внешними сторонами. С сертификацией ISO компании могут продемонстрировать совету директоров, клиентам, партнерам и акционерам, что они делают правильные вещи для управления киберрисками. Точно так же, если поставщик сертифицирован по стандарту ISO 27001/2, это хороший показатель (хотя и не единственный) того, что у него есть зрелые методы и средства обеспечения кибербезопасности.
НКРЭ-ЦИП
Североамериканская корпорация по обеспечению надежности электроснабжения — Защита критической инфраструктуры (NERC CIP), введенная для смягчения роста числа атак на критически важную инфраструктуру США и растущих рисков третьих сторон, представляет собой набор стандартов кибербезопасности, призванных помочь тем, кто работает в коммунальном и энергетическом секторах, снизить кибербезопасность. риска и обеспечения надежности объемных электрических систем.
Эта структура требует, чтобы затронутые организации выявляли и снижали киберриски в своих цепочках поставок. В NERC-SIP изложены несколько элементов управления, таких как классификация систем и критически важных активов, обучение персонала, реагирование на инциденты и планирование, планы восстановления критически важных киберактивов, оценка уязвимостей и многое другое. Узнайте больше об эффективных стратегиях соответствия требованиям NERC-CIP.
Зарплата по управлению рисками кибербезопасности
Средняя годовая зарплата специалиста по управлению киберрисками в США составляет 102,856 19 долларов в год по состоянию на 2022 декабря XNUMX года.
Предположим, вам нужен быстрый калькулятор заработной платы, который стоит около 49.45 долларов в час. Это соответствует 1,978 долларам в неделю или 8,571 доллару в месяц.
В то время как ZipRecruiter имеет годовой заработок от 167,000 29,500 до 74,500 25 долларов, основная часть зарплаты специалистов по управлению киберрисками в США в настоящее время колеблется от 126,500 75 долларов (90-й процентиль) до 156,000 52,000 долларов (XNUMX-й процентиль), при этом самые высокооплачиваемые (XNUMX-й процентиль) зарабатывают XNUMX XNUMX долларов. . Диапазон средней заработной платы специалистов по управлению киберрисками существенно различается (до XNUMX XNUMX долларов США), что означает, что могут быть многочисленные перспективы продвижения по службе и более высокого дохода в зависимости от уровня квалификации, местоположения и многолетнего опыта.
Согласно последним сообщениям о вакансиях ZipRecruiter, рынок труда по управлению киберрисками в Атланте, штат Джорджия, и его окрестностях активен. Менеджер по управлению киберрисками в вашем регионе получает среднюю годовую зарплату в размере 101,973 883 долларов США, что на 1 доллара США (102,856%) меньше, чем средняя годовая заработная плата по стране в размере 49 50 долларов США. Грузия занимает XNUMX-е место из XNUMX штатов по зарплате в области управления киберрисками.
ZipRecruiter регулярно проверяет свою базу данных миллионов активных вакансий, рекламируемых локально по всей Америке, чтобы определить наиболее точный годовой диапазон заработной платы для должностей по управлению киберрисками.
Эта позиция имеет решающее значение для предотвращения катастроф безопасности путем выявления любых потенциальных слабых мест в ваших информационных системах. Эти эксперты оценивают меры безопасности и предотвращают потенциальные атаки на компьютеры, сети и данные вашего бизнеса.
Заработная плата инженера по кибербезопасности
При средней заработной плате в области кибербезопасности от 120,000 210,000 до XNUMX XNUMX долларов США должность инженера по кибербезопасности также приносит одну из самых высоких зарплат в секторе безопасности.
Компании нанимают этих специалистов за их навыки и опыт, потому что они в первую очередь отвечают за различные задачи инженеров по безопасности, такие как проектирование, разработка и внедрение безопасных сетевых решений для защиты от изощренных кибератак, попыток взлома и постоянных угроз.
Заработная плата инженера по безопасности приложений
Инженеры по безопасности приложений занимают третье место среди специалистов по кибербезопасности с годовой зарплатой от 130,000 200,000 до XNUMX XNUMX долларов.
Наем инженера по безопасности приложений необходим, если ваш бизнес использует программные решения, предлагаемые или размещенные третьими сторонами, такими как AWS или Microsoft Azure, или даже если вы разрабатываете свои решения с нуля.
Эти специалисты будут защищать все бизнес-приложения и программное обеспечение, используемые вашими сотрудниками, и следить за тем, чтобы все требования конфиденциальности и соответствия были включены в программное обеспечение и соблюдались.
Зарплата аналитика по кибербезопасности
Средняя зарплата на этой должности в сфере кибербезопасности колеблется от 95,000 160,000 до XNUMX XNUMX долларов, и она того стоит.
Эти эксперты по безопасности помогают в разработке, организации и реализации мер безопасности для защиты вашей инфраструктуры.
Они специально оборудованы для выявления уязвимостей до того, как у хакеров появится шанс. У них есть знания и опыт, чтобы сотрудничать с тестировщиками на проникновение и менеджерами по информационной безопасности, чтобы смягчить и избежать кибератак, которые могут серьезно повредить вашему бизнесу.
Когда следует нанимать менеджеров по информационной безопасности?
Вы стремились защитить данные клиентов и избежать расходов и штрафов, связанных с компрометацией или кражей вашей личной информации? Сделайте себе одолжение и заполните эту вакансию, прежде чем ваш бизнес пострадает. Вы вынуждены планировать дорогостоящие штрафы за неспособность защитить данные клиентов, как, например, Uber, который был оштрафован на 148 миллионов долларов за нарушение законов штата, требующих уведомления об утечке данных.
План управления рисками кибербезопасности
В зависимости от ваших организационных требований и целей выберите наилучший подход, который может быть количественным, качественным или их сочетанием.
Количественный подход дает представление о финансовых последствиях того или иного риска, а количественный подход дает представление об организационных последствиях с точки зрения производительности.
Согласно специальной публикации NIST 800-30, оценка рисков может проводиться на тактическом или стратегическом уровне.
Инвентаризация всех активов и организация их в соответствии с приоритетом, важностью и типом оцениваемой информации — это первый и самый важный шаг в процессе оценки рисков безопасности.
Заручитесь поддержкой всех заинтересованных сторон и решите, как классифицировать информационные активы.
№1. Сортировка рисков кибербезопасности по приоритету
Определите, какие данные доступны, кому и как их можно взломать.
С расширением ИТ-ландшафта и внедрением организациями новых технологий и различных способов ведения бизнеса, таких как общая инфраструктура или сторонние службы, работающие поверх существующего стека программного обеспечения, лазейки в данных могут существовать на самых неожиданных территориях.
В дополнение к меняющемуся ландшафту многие политики соответствия и нормативные требования усиливают важность выявления каждого возможного инцидента безопасности или утечки данных, которые могут возникнуть в сети инфраструктуры.
После того как вы идентифицировали и классифицировали информационные активы, определите потенциальные каналы угроз.
По мере того, как мы маневрируем в динамичном ландшафте угроз, важно быть в курсе триггеров и элементов управления и развиваться, чтобы разрабатывать различные стратегии для противодействия этим угрозам с учетом меняющихся потребностей.
Инциденты безопасности данных варьируются от внешних атак, злонамеренных пользователей и программного обеспечения, уязвимостей, появившихся в результате небрежности, стихийных бедствий и внутренних угроз.
Сбои в системе безопасности приводят к упущенной выгоде, ущербу для репутации, юридическим последствиям, нарушению непрерывности бизнеса и длинному списку других негативных последствий.
Находите сетевые уязвимости с помощью сканирования, тестирования на проникновение и контроля аудита.
Уязвимости живут в сети или в приложении и являются слабыми местами, которые остаются незамеченными из-за надзора и отсутствия гибкости для выявления системных недостатков.
Поскольку все больше и больше компаний размещают и запускают свои приложения в облаке, вероятность появления таких слабых мест высока.
Угрозы, нацеленные на такие уязвимости, бывают внешними, внутренними, структурированными и неструктурированными.
№ 2. Определить стратегии предотвращения и снижения рисков для кибербезопасности
Пришло время разработать механизмы для предотвращения угроз, с которыми вы, вероятно, столкнетесь после оценки информационных активов и выявления потенциальных угроз безопасности, связанных с этими активами.
Развертывание инструментов мониторинга безопасности
Разверните всю необходимую инфраструктуру и решения безопасности, которые могут автоматизировать наблюдение за вами. Это важный шаг в управлении безопасностью вашей сети.
Службы кибербезопасности
Эти услуги предлагаются индивидуально или совместно.
- Служба управления киберрисками
Выявляйте соответствующие киберриски и управляйте ими, чтобы обеспечить эффективное принятие решений с учетом рисков.
- Оценка программы кибербезопасности
Оцените свою программу безопасности, чтобы расставить приоритеты для инвестиций, повысить отказоустойчивость и снизить риски.
- Оценка безопасности Crown Jewels
Определите, защитите и защитите свои наиболее важные бизнес-активы от вредоносного взлома.
- Служба комплексной проверки кибербезопасности
Осознайте и снизьте унаследованные киберриски, связанные с бизнес-транзакциями, отношениями и системами, находящимися вне прямого контроля.
- Служба безопасности моделирования угроз
Выявляйте неопознанные риски для бизнеса и безопасности с помощью эффективного динамического системного анализа.
- Управление угрозами и уязвимостями
Улучшите и стабилизируйте свои процессы управления уязвимостями с помощью проверенных стратегий безопасности, основанных на оценке рисков.
Заключение
Сегодня управлять рисками в рамках компании сложнее, чем когда-либо. Современные ландшафты безопасности часто меняются, и предприятия сталкиваются с проблемами, связанными с бурным ростом сторонних поставщиков, новыми технологиями и постоянно расширяющимся минным полем правил. Вспышка COVID-19 и рецессия вынудили группы безопасности и соответствия требованиям взять на себя дополнительные обязанности при сокращении ресурсов.
На этом фоне ваша фирма должна внедрить процесс управления рисками. Определите свой риск, выявив и оценив его, затем разработайте стратегию смягчения и постоянно проверяйте свои внутренние средства контроля, чтобы убедиться, что они соответствуют риску. Помните, что любой проект по управлению рисками всегда должен отдавать приоритет повторной оценке, новому тестированию и постоянному смягчению последствий.
В конце концов, в современном стремлении к управлению рисками нет передышки. Едва ли это кажется справедливым в период беспрецедентных перемен, когда риски и уязвимости растут с каждой минутой. Умные и успешные фирмы, с другой стороны, будут продолжать бороться за управление ИТ-рисками и сохранение корпоративной безопасности с помощью аналитики, инструментов для совместной работы/коммуникации/управления проблемами и сторонних сред управления рисками.
Статьи по теме
- ЮРИСТ ПО БЕЗОПАСНОСТИ: все, что вам следует знать (обновлено)
- Четыре причины, по которым все компании должны обратить внимание на кибербезопасность в 2023 году
- Инженер по продажам: описание работы, навыки и зарплата обновлены! (НАС)
- СИСТЕМЫ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА: типы и основные элементы СЭМ
- Эксцентричные проблемы безопасности блокчейна в 2023 году
Рекомендации
