Manufaturação industrial
Internet das coisas industrial | Materiais industriais | Manutenção e reparo de equipamentos | Programação industrial |
home  MfgRobots >> Manufaturação industrial >  >> Industrial Internet of Things >> Tecnologia da Internet das Coisas

Avaliando o risco de TI - como e por quê

Michael Aminzade da Trustwave
Garantir proteção completa contra cibercriminosos pode ser uma tarefa virtualmente impossível, mas as organizações podem dar a si mesmas a melhor chance de evitar um ataque realizando avaliações regulares de risco de TI. O cenário de ameaças atual é turbulento e a avaliação dos processos de gerenciamento de risco para garantir que eles abordem os desafios específicos de uma organização deve ser uma prioridade. Assim que os maiores riscos forem identificados, pode-se começar a implementar o nível ideal de segurança atendendo às necessidades específicas do negócio, afirma Michael Aminzade, vice-presidente de conformidade global e serviços de risco da Trustwave .

O resultado final da realização de uma avaliação de risco de segurança da informação é identificar onde estão as maiores deficiências e desenvolver um plano que as reconheça e possa trabalhar para mitigar as ameaças. Uma compreensão clara dos objetivos de um negócio é necessária antes de iniciar uma avaliação de risco. Ameaças potenciais, probabilidade de comprometimento e o impacto de uma perda precisam ser inicialmente estabelecidos. A realização de entrevistas detalhadas com a alta administração, administradores de TI e partes interessadas envolvendo todos os aspectos da organização pode ajudar a determinar onde estão as lacunas na segurança.

O clássico CIA A tríade - confidencialidade, integridade e disponibilidade - costuma ser usada como base para a realização de uma avaliação e é um modelo de orientação útil para a segurança cibernética. Um bom equilíbrio entre a tríade pode ser difícil de alcançar - um foco na disponibilidade provavelmente comprometerá a confidencialidade e a integridade, enquanto uma ênfase excessiva na confidencialidade ou integridade provavelmente também afetará a disponibilidade.

Depois de realizada uma avaliação completa, a próxima etapa é determinar quais controles de segurança são mais adequados para reduzir o risco do negócio. Isso pode incluir uma combinação de tecnologia, política, processo e procedimento.

Estruturas de avaliação de risco


Ao realizar uma avaliação de risco de segurança, há uma série de estruturas de segurança que você pode escolher para ajudá-lo. Os cinco mais comuns são ISO 27000x Series, OCTAVE, COBIT, NIST 800-53 e NIST Cybersecurity Framework. Dos cinco frameworks, o NIST (Instituto Nacional de Padrões e Tecnologia) emergiu como o mais favorecido, com empresas, instituições educacionais e agências governamentais usando-o regularmente.

O NIST é uma unidade do Departamento de Comércio dos EUA e produziu os documentos de orientação gratuitamente. O Cybersecurity Framework (CSF) foi projetado para ajudar organizações de todos os tamanhos e qualquer grau de sofisticação de segurança cibernética a aplicar as melhores práticas de gerenciamento de risco.

A estrutura é composta de três componentes:perfil da estrutura, núcleo da estrutura e camadas de implementação da estrutura. A estrutura foi projetada para ser flexível e pode ser usada junto com outros processos de gerenciamento de risco de segurança cibernética, como os padrões ISO (International Organization for Standardization), como tal, também é relevante para avaliações de risco fora dos Estados Unidos.

O NIST 800-53 foi projetado para dar suporte à conformidade com os Padrões de Processamento de Informações Federais dos EUA (FIPS) e é o predecessor do NIST Cybersecurity Framework (CSF). Esta publicação especial fornece aos funcionários da organização evidências sobre a eficácia dos controles implementados, indicações da qualidade dos processos de gestão de risco usados ​​e informações sobre os pontos fortes e fracos dos sistemas de informação.

Prática recomendada


Com a comercialização do cibercrime, muitas organizações estão mudando da conformidade pura para uma estratégia muito mais ampla de mitigação de riscos e proteção de dados. A metodologia de avaliação de risco sempre abordou toda a cadeia de suprimentos e não apenas os sistemas internos. No entanto, recentemente estamos vendo mais um foco na avaliação dos riscos de acesso de terceiros aos sistemas internos também.

Da mesma forma, a tendência BYOD (traga seu próprio dispositivo) levou a uma necessidade maior de enfocar a segurança do endpoint e a consideração do impacto dos endpoints no perfil de risco da organização. Com a complexidade adicional, vale a pena considerar os benefícios de trabalhar com um provedor de serviços de segurança gerenciados (MSSP). Seu amplo conhecimento e experiência podem ajudar as organizações a compreender a melhor forma de proteger uma rede em constante expansão.

Ao desenvolver um modelo de avaliação de risco, é essencial que você tenha o apoio da alta administração, que deve entender e aceitar os riscos inerentes à organização ou ter um plano para mitigá-los e alinhar a postura de risco com as organizações níveis esperados.

Idealmente, o CISO ou CIO deve supervisionar o cronograma de avaliação de risco e descobertas, bem como quaisquer planos de remediação e fornecer atualizações regulares para o resto da gestão executiva, mas todos os funcionários precisam ser lembrados de que eles também compartilham a responsabilidade quando se trata de a segurança do negócio.

Deve ser fornecido treinamento sobre como reconhecer riscos, como e-mails maliciosos e qual é o procedimento se eles suspeitarem que identificaram um. Em última análise, as empresas precisam reconhecer que não existe segurança perfeita e que a meta deve ser ter o nível ideal de segurança para a organização.

Configurar uma estrutura de risco e realizar avaliações de risco de TI ajudará a identificar o nível apropriado de segurança para sua organização. Assim que os pontos fracos forem identificados, eles podem ser resolvidos, mantendo o seu negócio o mais seguro possível.

Ao combinar a avaliação de risco com avaliações de maturidade de segurança, uma organização pode criar uma estratégia de investimento para um roteiro de segurança, bem como demonstrar o retorno para a empresa sobre o investimento aprovado.

O autor deste blog é Michael Aminzade, vice-presidente de conformidade global e serviços de risco da Trustwave

Tecnologia da Internet das Coisas

  1. Como (e por que) comparar o desempenho de sua nuvem pública
  2. O que é segurança em nuvem e por que é necessária?
  3. Como a IoT está tratando das ameaças à segurança em petróleo e gás
  4. Segurança inteligente:Como proteger seus dispositivos domésticos inteligentes de hackers
  5. O que é uma rede inteligente e como ela pode ajudar sua empresa?
  6. Como implementar a autenticação multifator - e por que é importante
  7. Quão madura é sua abordagem para o risco de commodities?
  8. Por que e como realizar uma auditoria de vácuo
  9. Como reparar e preservar as rodas do seu guindaste
  10. Inspeções de guindastes:quando, por que e como?