工業製造
産業用モノのインターネット | 工業材料 | 機器のメンテナンスと修理 | 産業プログラミング |
home  MfgRobots >> 工業製造 >  >> Industrial Internet of Things >> モノのインターネットテクノロジー

ITリスクの評価–方法と理由

TrustwaveのMichaelAminzade

サイバー犯罪者に対する完全な保護を確保することは事実上不可能な作業ですが、組織は定期的なITリスク評価を実行することにより、攻撃を回避する可能性を最大限に高めることができます。現在の脅威の状況は混乱しているため、リスク管理プロセスを評価して、組織固有の課題に確実に対処することを優先する必要があります。最大のリスクが特定されたら、ビジネスの特定のニーズに対応する最適なレベルのセキュリティの実装を開始できます、と Trustwave のグローバルコンプライアンスおよびリスクサービス担当バイスプレジデントであるMichaelAminzadeは述べています。 。

情報セキュリティリスク評価を実行した最終結果は、最大の欠陥がどこにあるかを特定し、それらを認識し、脅威を軽減するために機能できる計画を作成することです。リスク評価を開始する前に、ビジネスの目標を明確に理解する必要があります。潜在的な脅威、侵害の可能性、および損失の影響を最初に確立する必要があります。上級管理職、IT管理者、および組織のあらゆる側面に関与する利害関係者との詳細なインタビューを実施することで、セキュリティのギャップがどこにあるかを判断するのに役立ちます。

古典的な CIA トライアド(機密性、整合性、可用性)は、評価を実施するための基礎としてよく使用され、サイバーセキュリティの有用なガイダンスモデルです。トライアド間の適切なバランスを実現するのは難しい場合があります。可用性に重点を置くと、機密性と整合性が損なわれる可能性がありますが、機密性または整合性に重点を置きすぎると、可用性にも影響を与える可能性があります。

徹底的な評価が行われたら、次のステップは、ビジネスリスクを軽減するのに最適なセキュリティ管理策を決定することです。これらには、テクノロジー、ポリシー、プロセス、および手順の組み合わせが含まれる場合があります。

リスク評価フレームワーク

セキュリティリスク評価を実施する場合、支援するために選択できるセキュリティフレームワークがいくつかあります。最も一般的な5つは、ISO 27000xシリーズ、OCTAVE、COBIT、NIST 800-53、およびNIST Cyber​​securityFrameworkです。 5つのフレームワークのうち、NIST(米国国立標準技術研究所)が最も人気のあるフレームワークとして浮上しており、企業、教育機関、政府機関が定期的に使用しています。

NISTは米国商務省のユニットであり、ガイダンス文書を無料で作成しています。サイバーセキュリティフレームワーク(CSF)は、あらゆる規模の組織と高度なサイバーセキュリティがリスク管理のベストプラクティスを適用できるように設計されています。

フレームワークは、フレームワークプロファイル、フレームワークコア、フレームワーク実装層の3つのコンポーネントで構成されています。このフレームワークは柔軟に設計されており、ISO(国際標準化機構)標準などの他のサイバーセキュリティリスク管理プロセスと併用できるため、米国外のリスク評価にも関連しています。

NIST 800-53は、米国連邦情報処理標準(FIPS)への準拠をサポートするように設計されており、NIST Cyber​​security Framework(CSF)の前身です。この特別な出版物は、組織の役人に、実装された制御の有効性に関する証拠、使用されたリスク管理プロセスの品質の指標、および情報システムの長所と短所に関する情報を提供します。

ベストプラクティス

サイバー犯罪の商業化に伴い、多くの組織が純粋なコンプライアンスから、はるかに広範なリスク軽減およびデータ保護戦略に移行しています。リスク評価の方法論は、内部システムだけでなく、常にサプライチェーン全体に対応してきました。ただし、最近では、サードパーティベンダーが内部システムにアクセスするリスクの評価にも重点が置かれています。

同様に、BYOD(個人所有のデバイスの持ち込み)の傾向により、エンドポイントのセキュリティに焦点を当て、組織のリスクプロファイルに対するエンドポイントの影響を考慮する必要性が高まっています。複雑さが増すにつれ、マネージドセキュリティサービスプロバイダー(MSSP)と連携することの利点を検討する価値があります。彼らの豊富な知識と経験は、組織が拡大し続けるネットワークを保護するための最善の方法を理解するのに役立ちます。

リスク評価モデルを開発するときは、上級管理職のサポートが不可欠であり、上級管理職は組織に固有のリスクを理解して受け入れるか、リスクを軽減してリスクの姿勢を組織に戻す計画を立てる必要があります。期待されるレベル。

理想的には、CISOまたはCIOは、リスク評価のスケジュールと調査結果、および修復計画を監視し、残りの経営幹部に定期的な更新を提供する必要がありますが、すべての従業員は、それに関しても責任を共有することを忘れないでください。ビジネスのセキュリティ。

悪意のある電子メールなどのリスクを認識する方法と、リスクを特定した疑いがある場合の手順についてのトレーニングを提供する必要があります。最終的に、企業は完全なセキュリティなどは存在しないことを認識する必要があります。目標は、組織にとって最適なレベルのセキュリティを確保することです。

リスクフレームワークを設定し、ITリスク評価を実施することは、組織の適切なレベルのセキュリティを特定するのに役立ちます。弱点が特定されたら、それらに対処して、ビジネスを可能な限り安全に保つことができます。

リスク評価とセキュリティ成熟度評価を組み合わせると、組織はセキュリティロードマップの投資戦略を構築し、承認された投資でビジネスに戻ることを実証できます。

このブログの作成者は、Trustwaveのグローバルコンプライアンスおよびリスクサービス担当副社長であるMichaelAminzadeです。


モノのインターネットテクノロジー

  1. パブリッククラウドのパフォーマンスをベンチマークする方法(および理由)
  2. クラウドセキュリティとは何ですか?なぜそれが必要なのですか?
  3. IoTが石油とガスのセキュリティ脅威にどのように対処しているか
  4. スマートセキュリティ:スマートホームデバイスをハッカーから保護する方法
  5. インテリジェントネットワークとは何ですか?それはあなたのビジネスにどのように役立ちますか?
  6. ワイヤレスセンサーネットワークにフィードしてケアする方法
  7. 多要素認証を実装する方法—そしてそれが重要である理由
  8. コモディティリスクへのアプローチはどの程度成熟していますか?
  9. 真空監査を実行する理由と方法
  10. クレーンホイールを修理して保存する方法
  11. クレーン検査:いつ、なぜ、そしてどのように?