サイバーセキュリティは、組織内の多くのリスク機能のXNUMXつですが、さまざまな機能が、企業のリスクプロファイルをまとめて下げるために必要なほど緊密に連携していない場合があります。 セキュリティチームは、ITおよびビジネスの利害関係者だけでなく、ガバナンス、コンプライアンス、リスク管理、法務などの他のリスク機能とも連携する必要があります。
シャドウIT
シャドウIT アップルを愛する過激派がマッキントッシュコンピュータを稼働させた1980年代以来、IT部門を悩ませてきました。 これに応じて、IT部門は職場での個人的な技術を禁止し、会社所有のラップトップ、そして最終的にはブラックベリーの携帯電話を発行しました。 その後、BYODが発生し、ITは戦争に敗れました。 これに応えて、サイバーセキュリティベンダーはモバイルデバイス管理(MDM)などを導入しました エンドポイントセキュリティ マネージドITエコシステムに対する企業の要望と、選択したデバイスを使用したいという従業員の要望とのバランスを取るためのソフトウェア。
一方、IT予算は、集中型ITから部門予算を含むようにシフトしました。 独自の予算で武装している部門や事業部門は、ITの承認やサイバーセキュリティ評価なしに、最終的に独自の技術を購入することを正当化することができます。 部門のニーズをその部門で働く人々よりよく理解している人はいないのは事実ですが、技術者以外の人が気付かないのは、技術者の購入がIT、ITエコシステム、会社のリスクプロファイル、セキュリティチームにどのように影響するかということです。 。
サイバーセキュリティとITは、部門の購入について通知を受けるだけでなく、購入が行われる前に持ち込んで、潜在的なリスクを最初から管理できるようにする必要があります。 実際、一部のIT部門は、従業員が事前に精査されたオプションから選択して、ユーザーの選択の好みと組織のリスク管理の必要性のバランスをとることができる会社の市場を設定しています。
同様に、一部のサイバーセキュリティチームは、ビジネス全体の人々に、彼らが達成しようとしていることと、彼らがそれを行う必要があると考える技術を理解するように働きかけることを強調しています。彼らが望む。
ビジネス+ IT +セキュリティプロセス
ITとセキュリティは、技術的な観点から、機器、ソフトウェア、およびデバイスが安全であり、会社の従業員が基本を理解していることを確認する必要があります サイバー衛生。 ただし、より基本的には、リスクを最小限に抑えるプロセスを確立するために、ビジネスと協力する必要があります。
そこにたどり着くには、協力して定義、順守、変更、更新されるプロセスが必要です。 さらに、スタッフの変更と監査に耐えるために、プロセスを文書化する必要があります。 プロセスを監視して、コンプライアンスを確認し、プロセスを何らかの方法で変更する必要があることを通知する必要もあります。
ビジネス、IT、セキュリティの間でプロセスを調整することが重要である理由のXNUMXつは、サイバー攻撃、サイバー戦争、サイバーテロの今日の環境では絶対に必要だからです。 さらに、今日の企業は、サプライヤー、ディストリビューター、リセラー、顧客などのサードパーティとつながっています。 この「拡張エンタープライズ」モデルは、その最も弱いリンクと同じくらい安全です。 その結果、第三者が攻撃の悪影響を受ける可能性があります。 逆に、サードパーティが攻撃の開始点になる可能性があります。
すべての複雑さと潜在的なリスクを考えると、企業はリスクを定量化して、ビジネス、IT、およびセキュリティがポリシーと運用の観点から同期して運用できるようにする必要があります。 企業は、リスクへの意欲、直面する脅威、サイバーセキュリティインシデントがどのように進化しているか、およびサイバーセキュリティインシデントのコストが数値に反映されているかどうかを明確にする必要があります。
組織はまた、侵入テストやソーシャルエンジニアリングの演習などを通じて、社内チームが見逃した弱点を特定するのに役立つホワイトハットを利用するのが賢明です。
たとえば、あるサイバーセキュリティコンサルティング会社は、サイバー衛生の必要性を十分に認識している従業員であっても、従業員をだますのがいかに簡単かを示すために、クライアントの駐車場にサムドライブを落としました。 個人がサムドライブをコンピューターに挿入する可能性を高めるために、コンサルタントは、「従業員の給与」や「役員の給与」などの機密情報でデバイスにラベルを付けました。
サードパーティのリスク管理
拡張された企業は、サードパーティのリスク管理(TPRM)ソリューションの必要性を生み出しました。 ガートナーによると、 組織の60%には1,000以上のベンダーがあり、法務およびコンプライアンスのリーダーの80%は、サードパーティがオンボーディングされるまでサードパーティのリスクを発見しなかったと述べています。.
ITベンダーリスク管理ツールの2020Gartner Magic Quadrantでは、PrevalentとServiceNowがビジョナリーに選ばれました。 リーダーには、Galvanize、MetricStream、NAVEX Global、OneTrust、ProcessUnity、RSA、SAIGlobalが含まれます。
一部の企業は、サードパーティのリスクの理解と管理を支援するために、専門サービス会社やサイバーセキュリティコンサルタントに頼っています。 例えば、 EYはXNUMXつのTPRMサービスのセットを提供します。 それらのXNUMXつは、サービスとしてのTPRMです。
別のサードパーティのトピックであるサプライチェーンのリスクは、貨物船エバーギヴンが泥に閉じ込められてXNUMX日間交通の流れを止めた最近のスエズ運河事件の後、多少異なった見方をしています。 事件は商取引に影響を与えると予想されます 数週間または数ヶ月。 ただし、セキュリティの観点から、テロリストが同様の危害を加える可能性があるという懸念があります、スエズ運河やパナマ運河などの狭いルートを物理的またはサイバー的手段で同時に閉鎖することにより、潜在的に大規模になります。
コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典:https://www.cshub.com/executive-decisions/articles/risk-management-strategy-fundamentals
