home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Uw IT-risico evalueren - hoe en waarom

Michael Aminzade van Trustwave

Het verzekeren van volledige bescherming tegen cybercriminelen kan een vrijwel onmogelijke taak zijn, maar organisaties kunnen zichzelf de beste kans geven om een ​​aanval te vermijden door regelmatig IT-risicobeoordelingen uit te voeren. Het huidige bedreigingslandschap is turbulent en het beoordelen van risicobeheerprocessen om ervoor te zorgen dat ze de specifieke uitdagingen van een organisatie aanpakken, moet een prioriteit zijn. Zodra de grootste risico's zijn geïdentificeerd, kan het implementeren van het optimale beveiligingsniveau voor de specifieke behoeften van het bedrijf beginnen, zegt Michael Aminzade, vice-president van Global Compliance and Risk Services bij Trustwave .

Het eindresultaat van het uitvoeren van een informatiebeveiligingsrisicobeoordeling is om te identificeren waar de grootste tekortkomingen zijn en een plan te ontwikkelen dat deze erkent en kan werken om de bedreigingen te verminderen. Een duidelijk begrip van de doelstellingen van een bedrijf is noodzakelijk voordat een risicobeoordeling wordt gestart. Potentiële bedreigingen, de kans op een compromis en de impact van een verlies moeten in eerste instantie worden vastgesteld. Het houden van diepte-interviews met het senior management, IT-beheerders en belanghebbenden waarbij alle aspecten van de organisatie betrokken zijn, kan helpen bepalen waar eventuele hiaten in de beveiliging zich bevinden.

De klassieke CIA triade – vertrouwelijkheid, integriteit en beschikbaarheid – wordt vaak gebruikt als basis voor het uitvoeren van een assessment en is een handig sturingsmodel voor cybersecurity. Een goede balans tussen de triade kan moeilijk te bereiken zijn - een focus op beschikbaarheid zal waarschijnlijk de vertrouwelijkheid en integriteit in gevaar brengen, terwijl een te grote nadruk op vertrouwelijkheid of integriteit waarschijnlijk ook de beschikbaarheid zal beïnvloeden.

Nadat een grondige beoordeling heeft plaatsgevonden, is de volgende stap om te bepalen welke beveiligingsmaatregelen het meest geschikt zijn om bedrijfsrisico's te beperken. Deze kunnen een combinatie zijn van technologie, beleid, proces en procedure.

Risicobeoordelingskaders

Bij het uitvoeren van een beveiligingsrisicobeoordeling zijn er een aantal beveiligingskaders waaruit u kunt kiezen om u te helpen. De vijf meest voorkomende zijn ISO 27000x Series, OCTAVE, COBIT, NIST 800-53 en NIST Cybersecurity Framework. Van de vijf kaders is NIST (het National Institute of Standards and Technology) de meest favoriete, waarbij bedrijven, onderwijsinstellingen en overheidsinstanties er regelmatig gebruik van maken.

NIST is een onderdeel van het Amerikaanse ministerie van Handel en heeft de begeleidingsdocumenten gratis opgesteld. Het Cybersecurity Framework (CSF) is ontworpen om organisaties van elke omvang en elke mate van geavanceerde cyberbeveiliging te helpen bij het toepassen van best practices op het gebied van risicobeheer.

Het raamwerk bestaat uit drie componenten:raamwerkprofiel, raamwerkkern en raamwerkimplementatielagen. Het raamwerk is ontworpen om flexibel te zijn en kan worden gebruikt naast andere processen voor cyberbeveiligingsrisicobeheer, zoals ISO-normen (International Organization for Standardization), en is als zodanig ook relevant voor risicobeoordelingen buiten de VS.

NIST 800-53 is ontworpen om naleving van de Amerikaanse Federal Information Processing Standards (FIPS) te ondersteunen en is de voorloper van het NIST Cybersecurity Framework (CSF). Deze speciale publicatie biedt functionarissen van de organisatie bewijs over de effectiviteit van geïmplementeerde controles, indicaties van de kwaliteit van de gebruikte risicobeheerprocessen en informatie over de sterke en zwakke punten van informatiesystemen.

Beste werkwijze

Met de commercialisering van cybercriminaliteit maken veel organisaties de verschuiving van pure compliance naar een veel bredere strategie voor risicobeperking en gegevensbescherming. De methodologie voor risicobeoordeling heeft altijd betrekking op de hele toeleveringsketen en niet alleen op interne systemen. De laatste tijd zien we echter meer aandacht voor het beoordelen van de risico's van toegang van externe leveranciers tot interne systemen.

Evenzo heeft de BYOD-trend (bring you own device) geleid tot een grotere behoefte aan focus op endpointbeveiliging en het in overweging nemen van de impact van endpoints op het risicoprofiel van een organisatie. Met de extra complexiteit is het de moeite waard om de voordelen van het werken met een Managed Security Services Provider (MSSP) te overwegen. Hun uitgebreide kennis en ervaring kan organisaties helpen begrijpen hoe ze een steeds groter wordend netwerk het beste kunnen beveiligen.

Bij het ontwikkelen van een risicobeoordelingsmodel is het essentieel dat u de steun van het senior management hebt, en zij moeten de risico's die inherent zijn aan de organisatie begrijpen en accepteren, of een plan hebben om deze te beperken en de risicohouding weer in overeenstemming te brengen met de organisaties verwachte niveaus.

Idealiter zou de CISO of CIO toezicht moeten houden op het risicobeoordelingsschema en de bevindingen, evenals op eventuele herstelplannen, en regelmatig updates geven aan de rest van het uitvoerend management, maar alle werknemers moeten eraan worden herinnerd dat zij ook de verantwoordelijkheid delen als het gaat om de veiligheid van het bedrijf.

Er moet training worden gegeven over het herkennen van risico's zoals kwaadaardige e-mails en wat de procedure is als ze vermoeden dat ze er een hebben geïdentificeerd. Uiteindelijk moeten bedrijven erkennen dat perfecte beveiliging niet bestaat, en het doel moet zijn om het optimale beveiligingsniveau voor de organisatie te hebben.

Door een risicokader op te zetten en IT-risicobeoordelingen uit te voeren, kunt u het juiste beveiligingsniveau voor uw organisatie identificeren. Zodra de zwakke punten zijn geïdentificeerd, kunnen ze worden aangepakt, zodat uw bedrijf zo veilig mogelijk blijft.

Door risicobeoordeling te combineren met beoordelingen van beveiligingsvolwassenheid, kan een organisatie een investeringsstrategie voor een beveiligingsroutekaart opstellen en het rendement voor het bedrijf op de goedgekeurde investering aantonen.

De auteur van deze blog is Michael Aminzade, vice-president van Global Compliance and Risk Services bij Trustwave


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. Hoe (en waarom) uw openbare cloudprestaties benchmarken
    2. Wat is cloudbeveiliging en waarom is het vereist?
    3. Hoe IoT de beveiligingsrisico's in olie en gas aanpakt
    4. Slimme beveiliging:hoe u uw smarthome-apparaten kunt beschermen tegen hackers
    5. Wat is een intelligent netwerk en hoe kan het uw bedrijf helpen?
    6. Hoe u uw draadloze sensornetwerken kunt voeden en onderhouden
    7. Hoe multi-factor authenticatie te implementeren - en waarom het belangrijk is
    8. Hoe volwassen is uw benadering van grondstoffenrisico?
    9. Waarom en hoe een vacuümaudit uit te voeren?
    10. Hoe u uw kraanwielen kunt repareren en conserveren
    11. Kraaninspecties:wanneer, waarom en hoe?