Вкрай важливо переконатися, що управління ризиками кібербезпеки довговічне. Існує потреба в постійному управлінні ризиками кібербезпеки, оскільки компанія та ландшафт зовнішніх загроз розвиваються після початкової оцінки ризику вразливості, яка визначила всі цифрові активи організації та перевірила існуючі заходи безпеки. Отже, ця стаття охоплює все, що вам потрібно знати про управління ризиками кібербезпеки.
Що таке управління ризиками кібербезпеки?
Управління ризиками кібербезпеки — це постійний процес пошуку, оцінки, оцінювання та реагування на загрози кібербезпеці у вашій організації.
Управління ризиками кібербезпеки є обов’язком кожного в організації, а не лише персоналу служби безпеки. Співробітники та керівники підрозділів часто розглядають ризик-менеджмент як окрему діяльність. На жаль, їм бракує повної та послідовної точки зору, необхідної для протистояння ризику.
Кожна функція має свою мету, яка часто супроводжується браком розуміння та співпереживання іншим. ІТ-відповідачі створюють нові ідеї та технології, постійно сприймаючи безпеку та відповідність вимогам як незручну перешкоду для зростання. Служба безпеки знає про безпеку, але часто не враховує законодавство та технології, що розвиваються. Торговий персонал хоче, щоб клієнти були задоволені, і вони шукають практичне рішення для виконання перевірок безпеки. Комплаєнс намагається вберегти всіх від проблем, суворо дотримуючись правил, але часто працює без глибокого розуміння безпеки.
Усі функції мають функціонувати з чітко визначеними ролями та обов’язками для ефективного управління ризиками кібербезпеки. Часи ізольованих департаментів, які безладно плуталися в розгубленості, давно минули. Сучасний ландшафт ризиків вимагає згуртованого, скоординованого, дисциплінованого та послідовного підходу до управління ризиками. Нижче наведено деякі критичні компоненти дій з управління ризиками, які повинні пам’ятати всі фірми:
- Створення ефективної політики та інструментів для оцінки ризику постачальника
- Виявлення нових ризиків, таких як нові правила з наслідками для бізнесу
- Виявлено внутрішні недоліки, такі як відсутність двофакторної аутентифікації.
- Зменшення ІТ-ризику, можливо, за допомогою програм навчання, нових нормативних актів і внутрішнього контролю
- Загальне тестування стану безпеки
- Документація щодо управління ризиками та безпеки постачальника під час підготовки до регуляторних перевірок або для заспокоєння нових клієнтів
Які переваги управління ризиками кібербезпеки?
Підприємство може запобігти тому, щоб його повсякденні операції розглядали кібербезпеку як запізнілу думку, запровадивши управління ризиками кібербезпеки. Наявний план управління ризиками кібербезпеки гарантує, що протоколи та політики регулярно дотримуються, а безпека підтримується в актуальному стані.
За допомогою управління ризиками кібербезпеки постійно відстежуються, виявляються та пом’якшуються такі небезпеки:
- Виявлення фішингу,
- VIP та виконавча охорона,
- захист бренду,
- Запобігання шахрайству,
- Моніторинг витоку конфіденційних даних,
- Активність у темній мережі,
- Автоматизоване пом'якшення загроз,
- Моніторинг витоку облікових даних,
- Виявлення шкідливих мобільних додатків,
- і ризики ланцюга постачання – лише кілька прикладів.
Структура управління ризиками кібербезпеки
Для лідерів у галузі безпеки в різних країнах і компаніях структура кібербезпеки пропонує спільну мову та набір стандартів, які дозволяють їм зрозуміти свої позиції безпеки та позиції їхніх постачальників. Структура значно спрощує визначення кроків вашої організації для оцінки, управління та зменшення ризиків кібербезпеки.
Структура кібербезпеки може слугувати важливим орієнтиром.
Основою для включення управління ризиками кібербезпеки в управління ефективністю безпеки та сторонніх стратегій управління ризиками є інфраструктура кібербезпеки, яка часто потрібна. Ви отримаєте важливе уявлення про найбільший ризик безпеки, використовуючи структуру як компас, і ви почуватиметеся комфортно повідомляючи решті організації, що ви прагнете досконалої безпеки.
NIST Framework для кібербезпеки
Виконавчий указ колишнього президента «Покращення кібербезпеки критичної інфраструктури» закликав до посилення співпраці між державним і приватним секторами для виявлення, оцінки та управління кіберризиками. У відповідь на це було створено NIST Cybersecurity Framework. NIST став золотим стандартом для оцінки зрілості кібербезпеки, виявлення прогалин у безпеці та дотримання правил кібербезпеки, навіть якщо відповідність необов’язкова.
Норми ISO 27002 і 27001
Сертифікати ISO 27001 і ISO 27002, створені Міжнародною організацією зі стандартизації (ISO), вважаються глобальним еталоном для внутрішньої перевірки програми кібербезпеки та за участю зовнішніх сторін. Завдяки сертифікації ISO компанії можуть продемонструвати правлінню, клієнтам, партнерам і акціонерам, що вони роблять правильні речі для управління кіберризиками. Подібним чином, якщо постачальник має сертифікат ISO 27001/2, це хороший показник (хоча й не єдиний), що він має зрілі практики кібербезпеки та засоби контролю.
НКРЕ-ЦІП
Північноамериканська корпорація електричної надійності – Захист критичної інфраструктури (NERC CIP), створена для пом’якшення зростання кількості атак на критично важливу інфраструктуру США та зростаючих ризиків для третіх сторін, являє собою набір стандартів кібербезпеки, розроблених для того, щоб допомогти працівникам комунального та енергетичного секторів зменшити кібер ризику та забезпечення надійності масових електричних систем.
Рамкова основа вимагає від постраждалих організацій виявляти та пом’якшувати кіберризики у своїх ланцюгах постачання. У NERC-SIP описано декілька засобів контролю, наприклад класифікація систем і критичних активів, навчання персоналу, реагування на інциденти та планування, плани відновлення критичних кіберактивів, оцінка вразливості тощо. Дізнайтеся більше про ефективні стратегії відповідності NERC-CIP.
Зарплата з управління ризиками кібербезпеки
Станом на 102,856 грудня 19 року середня річна зарплата спеціаліста з управління кіберризиками в США становить 2022 XNUMX доларів США на рік.
Припустімо, вам потрібен швидкий калькулятор зарплати, який коштує приблизно 49.45 доларів США на годину. Це дорівнює 1,978 доларів США на тиждень або 8,571 доларів США на місяць.
У той час як ZipRecruiter має річний заробіток від 167,000 29,500 доларів США до 74,500 25 доларів США, основна частина зарплат у сфері управління кіберризиками в Сполучених Штатах зараз коливається від 126,500 75 доларів США (90-й процентиль) до 156,000 52,000 доларів США (XNUMX-й процентиль), а найвищі зарплати (XNUMX-й процентиль) отримують XNUMX XNUMX доларів США. . Діапазон середньої заробітної плати для управління кіберризиками суттєво коливається (до XNUMX XNUMX доларів США), що означає, що можуть бути численні перспективи просування по службі та вищого доходу залежно від рівня кваліфікації, місця розташування та багаторічного досвіду.
Згідно з останніми повідомленнями про роботу ZipRecruiter, ринок роботи з управління кіберризиками в Атланті, штат Джорджія, та околицях є активним. Управління кіберризиками у вашому регіоні отримує середню річну зарплату в розмірі 101,973 883 долари США, що на 1 долари США (102,856%) менше, ніж середня річна зарплата в країні в 49 50 доларів США. Грузія посідає XNUMX-е місце серед XNUMX штатів щодо рівня зарплати в управлінні кіберризиками.
ZipRecruiter регулярно перевіряє свою базу даних мільйонів активних вакансій, рекламованих локально по всій Америці, щоб отримати найточніший діапазон річних зарплат для посад у сфері управління кіберризиками.
Ця посада має вирішальне значення для запобігання катастрофам безпеки шляхом виявлення будь-яких потенційних слабких місць у ваших інформаційних системах. Ці експерти оцінюють заходи безпеки та запобігають потенційним атакам на комп’ютери, мережі та дані вашої компанії.
Зарплата інженера з кібербезпеки
Із середньою зарплатою в галузі кібербезпеки від 120,000 210,000 до XNUMX XNUMX доларів США посада інженера з кібербезпеки також приносить одну з найвищих зарплат у секторі безпеки.
Компанії наймають цих експертів на основі їх навичок і досвіду, оскільки вони в першу чергу відповідають за різні завдання інженерів безпеки, наприклад проектування, розробку та впровадження безпечних мережевих рішень для захисту від складних кібератак, спроб злому та постійних загроз.
Зарплата інженера з безпеки програм
Інженери з безпеки додатків є третіми найбільш високооплачуваними професіоналами з кібербезпеки, їх річна зарплата коливається від 130,000 200,000 до XNUMX XNUMX доларів США.
Наймання інженера з безпеки додатків є важливим, якщо ваш бізнес використовує програмні рішення, які пропонують або розміщують треті сторони, такі як AWS або Microsoft Azure, або навіть якщо ви розробляєте свої рішення з нуля.
Ці експерти захищатимуть усі бізнес-додатки та програмне забезпечення, які використовуються вашими працівниками, і гарантуватимуть, що всі вимоги до конфіденційності та відповідності включені в програмне забезпечення та дотримані.
Зарплата аналітика з кібербезпеки
Середня зарплата на цій посаді в кібербезпеці коливається від 95,000 160,000 до XNUMX XNUMX доларів США, і вона того варта.
Ці експерти з безпеки допомагають у розробці, організації та впровадженні заходів безпеки для захисту вашої інфраструктури.
Вони спеціально обладнані для виявлення вразливостей до того, як хакери отримають шанс. Вони мають знання та досвід, щоб співпрацювати з тестувальниками проникнення та менеджерами з інформаційної безпеки, щоб пом’якшити та уникнути кібератак, які можуть завдати серйозної шкоди вашому бізнесу.
Коли слід наймати менеджерів з інформаційної безпеки?
Чи хотіли ви захистити дані клієнтів і уникнути витрат і штрафів, пов’язаних із скомпрометацією чи викраденням вашої особистої інформації? Зробіть собі послугу та займіть цю посаду, поки ваш бізнес не постраждає. Ви змушені сплачувати дорогі штрафи за неспроможність захистити дані клієнтів, як-от Uber, який був оштрафований на 148 мільйонів доларів за порушення законів штату, які вимагають повідомлення про порушення даних.
План управління ризиками кібербезпеки
Залежно від ваших організаційних вимог і цілей виберіть найкращий підхід, який може бути кількісним, якісним або поєднувати обидва.
Кількісний підхід дає вам уявлення про фінансовий вплив певного ризику, тоді як кількісний підхід дає змогу побачити вплив на організацію з точки зору продуктивності.
Згідно зі спеціальною публікацією NIST 800-30, оцінку ризику можна проводити на тактичному або стратегічному рівні.
Інвентаризація всіх активів і систематизація їх відповідно до пріоритету, важливості та типу інформації, що оцінюється, є першим і найважливішим кроком у процесі оцінки ризиків безпеки.
Отримайте підтримку від усіх зацікавлених сторін і вирішіть, як класифікувати інформаційні активи.
#1. Сортуйте ризики кібербезпеки за пріоритетом
Визначте, які дані доступні, кому та як вони можуть бути зламані.
З розширенням ІТ-ландшафту та впровадженням новітніх технологій і різних способів ведення бізнесу в організаціях, таких як спільна інфраструктура або сторонні сервіси, що працюють поверх існуючого стека програмного забезпечення, лазівки в даних можуть існувати на найнесподіваніших територіях.
На додаток до трансформаційного ландшафту, багато політик відповідності та регулятивних практик посилюють важливість виявлення кожного можливого інциденту безпеки або порушення даних, які можуть виявитися в мережі інфраструктури.
Визначивши та класифікувавши інформаційні активи, визначте потенційні канали загрози.
Коли ми маневруємо вздовж динамічного ландшафту загроз, важливо бути в курсі тригерів і елементів керування та розвиватися, щоб розробити різні стратегії протидії цим загрозам із зміною потреб.
Інциденти з безпекою даних варіюються від зовнішніх атак, зловмисних користувачів і програмного забезпечення, уразливостей, створених у результаті недбалості, стихійних лих і внутрішніх загроз.
Порушення системи безпеки призводять до втрати прибутку, шкоди репутації, юридичних наслідків, порушення безперервності бізнесу та довгого списку інших негативних наслідків.
Завдяки скануванню, тестуванню на проникнення та перевірці знайдіть уразливості мережі.
Уразливості знаходяться в мережі або в додатку і є слабкими місцями, які залишаються непоміченими через недогляд і відсутність спритності, щоб звернути увагу на недоліки системи.
Оскільки все більше і більше компаній розміщують і запускають свої програми в хмарі, шанси запровадити такі слабкі місця є високими.
Загрози, націлені на такі вразливості, бувають зовнішніми, внутрішніми, структурованими та неструктурованими.
#2. Визначити стратегії запобігання та зменшення ризиків для кібербезпеки
Настав час розробити механізми, щоб уникнути загроз, з якими ви можете зіткнутися після оцінки інформаційних активів і виявлення потенційних загроз безпеці, пов’язаних із цими активами.
Розгорніть інструменти моніторингу безпеки
Розгорніть всю необхідну інфраструктуру та рішення безпеки, які можуть автоматизувати спостереження за вас. Це важливий крок в управлінні безпекою вашої мережі.
Послуги з кібербезпеки
Ці послуги пропонуються індивідуально або спільно.
- Служба управління кіберризиками
Визначайте відповідні кіберризики та керуйте ними, щоб забезпечити ефективне прийняття рішень на основі ризиків.
- Оцінка програми кібербезпеки
Оцініть свою програму безпеки, щоб визначити пріоритетність інвестицій, підвищити стійкість і зменшити ризик.
- Оцінка безпеки Crown Jewels
Визначайте, захищайте та захищайте свої найважливіші бізнес-активи від шкідливого компрометування.
- Служба належної перевірки кібербезпеки
Усвідомлюйте та зменшуйте успадковані кіберризики, пов’язані з бізнес-операціями, відносинами та системами поза прямим контролем.
- Служба безпеки моделювання загроз
Виявляйте невідомі ризики для бізнесу та безпеки за допомогою ефективного динамічного аналізу системи.
- Управління загрозами та вразливістю
Покращуйте та стабілізуйте свої процеси керування вразливістю за допомогою перевірених стратегій безпеки на основі оцінки ризиків.
Висновок
Сьогодні управляти ризиками в усій компанії складніше, ніж будь-коли. Сучасні ландшафти безпеки часто змінюються, і підприємства стикаються з вибуховою кількістю сторонніх постачальників, нових технологій і постійного розширення мінного поля правил. Спалах COVID-19 і рецесія змусили команди безпеки та відповідності взяти на себе додаткові обов’язки, скорочуючи ресурси.
З огляду на це ваша фірма повинна запровадити процес управління ризиками. Визначте свій ризик, визначивши та оцінивши його, потім створіть стратегію пом’якшення та постійно перевіряйте внутрішні засоби контролю, щоб переконатися, що вони відповідають ризику. Пам’ятайте, що будь-який проект з управління ризиками завжди має надавати пріоритет повторній оцінці, новому тестуванню та постійному зменшенню наслідків.
Зрештою, у сучасній гонитві за управлінням ризиками немає перепочинку. Навряд чи це здається справедливим у період безпрецедентних змін, коли ризики та вразливі місця зростають щохвилини. Розумні та успішні компанії, з іншого боку, продовжуватимуть утримувати свої позиції в боротьбі за управління ІТ-ризиками та збереження корпоративної безпеки за допомогою аналітики, інструментів співпраці/зв’язку/управління проблемами та сторонніх інфраструктур управління ризиками.
Статті по темі
- ЮРИСТ БЕЗПЕКИ: все, що ви повинні знати (оновлено)
- Чотири причини, чому всі компанії повинні звернути увагу на кібербезпеку у 2023 році
- Інженер з продажу: оновлено опис посади, навички та зарплату! (НАС)
- СИСТЕМИ ОХОРОНИ НАВКОЛИШНЬОГО СЕРЕДОВИЩА: типи та основні елементи СЕМ
- Ексцентричні проблеми безпеки блокчейну в 2023 році
посилання
