An ninh mạng là một trong nhiều chức năng rủi ro trong một tổ chức, nhưng các chức năng khác nhau có thể không hoạt động cùng nhau chặt chẽ như mong muốn để hạ thấp hồ sơ rủi ro chung của công ty. Các nhóm bảo mật nên làm việc với các bên liên quan đến CNTT và doanh nghiệp cũng như với các chức năng rủi ro khác bao gồm quản trị, tuân thủ, quản lý rủi ro và pháp lý.
Bóng tối CNTT
Bóng tối CNTT đã gây khó khăn cho các bộ phận CNTT kể từ những năm 1980 khi những người cấp tiến yêu thích Apple đưa máy tính Macintosh của họ vào hoạt động. Đáp lại, các bộ phận CNTT đã cấm công nghệ cá nhân tại nơi làm việc, phát hành máy tính xách tay thuộc sở hữu của công ty và cuối cùng là điện thoại di động Blackberry. Sau đó, BYOD đã xảy ra và IT thua trong cuộc chiến. Đáp lại, các nhà cung cấp an ninh mạng đã giới thiệu quản lý thiết bị di động (MDM) và các bảo mật điểm cuối phần mềm nhằm cân bằng giữa mong muốn của doanh nghiệp về một hệ sinh thái CNTT được quản lý với mong muốn của nhân viên được sử dụng thiết bị mà họ lựa chọn.
Trong khi đó, ngân sách CNTT chuyển từ CNTT tập trung sang bao gồm ngân sách các bộ phận. Được trang bị ngân sách riêng, các phòng ban và ngành kinh doanh cuối cùng có thể biện minh cho việc mua công nghệ của riêng họ, điều mà họ làm, thường mà không cần sự chấp thuận của CNTT hoặc đánh giá an ninh mạng. Mặc dù sự thật là không ai hiểu rõ nhu cầu của một bộ phận hơn những người làm việc trong bộ phận đó, nhưng điều mà những người không phải là nhà công nghệ không có xu hướng nhận ra là việc mua công nghệ của họ có thể ảnh hưởng như thế nào đến CNTT, hệ sinh thái CNTT, hồ sơ rủi ro của công ty và các đội bảo mật .
An ninh mạng và CNTT không chỉ nên được thông báo về các giao dịch mua hàng của các bộ phận, chúng nên được thông báo trước khi mua hàng được thực hiện để có thể quản lý các rủi ro tiềm ẩn ngay từ đầu. Trên thực tế, một số bộ phận CNTT đã thiết lập các thị trường công ty nơi nhân viên có thể chọn từ các tùy chọn đã được kiểm tra trước để cân bằng giữa sở thích lựa chọn của người dùng và nhu cầu quản lý rủi ro của tổ chức.
Tương tự như vậy, một số nhóm an ninh mạng thực hiện quan điểm thu hút mọi người trong toàn doanh nghiệp hiểu những gì họ đang cố gắng hoàn thành và công nghệ mà họ nghĩ rằng họ sẽ cần để làm điều đó, do đó, nhóm bảo mật có thể xác định một cách an toàn để cung cấp cho người dùng doanh nghiệp họ muốn.
Quy trình Kinh doanh + CNTT + Bảo mật
CNTT và bảo mật cần đảm bảo từ quan điểm kỹ thuật rằng thiết bị, phần mềm và thiết bị được bảo mật và nhân viên công ty hiểu cơ bản vệ sinh mạng. Tuy nhiên, về cơ bản hơn, họ nên làm việc với doanh nghiệp để thiết lập các quy trình giảm thiểu rủi ro.
Để đạt được điều đó, yêu cầu các quy trình được hợp tác xác định, tuân thủ, sửa đổi và cập nhật. Ngoài ra, các quy trình phải được lập thành văn bản để chịu được sự thay đổi của nhân viên và cuộc đánh giá. Các quá trình cũng cần được giám sát để đảm bảo tuân thủ và báo hiệu rằng các quá trình cần phải thay đổi theo một cách nào đó.
Một trong những lý do điều quan trọng để điều phối các quy trình giữa doanh nghiệp, CNTT và bảo mật là vì nó thực sự cần thiết trong môi trường tấn công mạng, chiến tranh mạng và khủng bố mạng ngày nay. Ngoài ra, các doanh nghiệp ngày nay được kết nối với các bên thứ ba bao gồm nhà cung cấp, nhà phân phối, người bán lại và khách hàng. Mô hình “doanh nghiệp mở rộng” này chỉ an toàn như liên kết yếu nhất của nó. Do đó, các bên thứ ba có thể bị ảnh hưởng xấu bởi một cuộc tấn công. Ngược lại, các bên thứ ba có thể là điểm khởi động của một cuộc tấn công.
Với tất cả sự phức tạp và rủi ro tiềm ẩn, các doanh nghiệp nên định lượng rủi ro của mình để doanh nghiệp, CNTT và bảo mật có thể hoạt động đồng bộ từ quan điểm chính sách và hoạt động. Các công ty cần phải rõ ràng về khẩu vị rủi ro của họ, các mối đe dọa mà họ phải đối mặt, sự cố an ninh mạng đang phát triển như thế nào và chi phí của một sự cố an ninh mạng có thể như thế nào được phản ánh trong các con số.
Các tổ chức cũng rất khôn ngoan khi thu hút những người mũ trắng, những người có thể giúp xác định những điểm yếu mà nhóm nội bộ của họ đã bỏ qua, chẳng hạn như thông qua thử nghiệm thâm nhập và các bài tập kỹ thuật xã hội.
Ví dụ, một công ty tư vấn an ninh mạng đã thả ổ đĩa ngón tay cái trong bãi đậu xe của khách hàng để chứng minh việc lừa nhân viên dễ dàng như thế nào, ngay cả một người nhận thức rõ về sự cần thiết của vệ sinh mạng. Để tăng khả năng các cá nhân lắp ổ đĩa ngón tay cái vào máy tính của họ, các chuyên gia tư vấn đã gắn nhãn các thiết bị với thông tin bí mật như “lương nhân viên” hoặc “lương giám đốc điều hành”.
Quản lý rủi ro của bên thứ ba
Doanh nghiệp mở rộng đã tạo ra nhu cầu về các giải pháp quản lý rủi ro (TPRM) của bên thứ ba. Theo Gartner, 60% các tổ chức có 1,000 nhà cung cấp trở lên và 80% các nhà lãnh đạo pháp lý và tuân thủ cho biết họ không phát hiện ra rủi ro của bên thứ ba cho đến khi các bên thứ ba được giới thiệu.
Trong năm 2020 Gartner Magic Quadrant dành cho các công cụ Quản lý Rủi ro của Nhà cung cấp CNTT, Prevalent và ServiceNow được đặt tên là Visionaries. Các nhà lãnh đạo bao gồm Galvanize, MetricStream, NAVEX Global, OneTrust, ProcessUnity, RSA và SAI Global.
Một số công ty đang chuyển sang các công ty dịch vụ chuyên nghiệp và tư vấn an ninh mạng để được trợ giúp hiểu và quản lý rủi ro của bên thứ ba. Ví dụ, EY cung cấp một bộ bốn dịch vụ TPRM. Một trong số đó là TPRM dưới dạng Dịch vụ.
Rủi ro chuỗi cung ứng, một chủ đề khác của bên thứ ba, đang được nhìn nhận hơi khác sau sự cố kênh đào Suez gần đây, trong đó tàu chở hàng Ever Given đã dừng luồng giao thông trong sáu ngày do bị mắc kẹt trong bùn. Sự cố được cho là sẽ ảnh hưởng đến thương mại trong nhiều tuần hoặc nhiều tháng. Tuy nhiên, từ quan điểm bảo mật, có lo ngại rằng những kẻ khủng bố có thể gây ra tác hại tương tự, có khả năng ở quy mô lớn hơn, bằng cách đóng cửa đồng thời các tuyến đường hẹp như Kênh đào Suez và Kênh đào Panama thông qua các phương tiện vật lý hoặc mạng.
Coinsmart. Đặt cạnh Bitcoin-Börse ở Europa
Nguồn: https://www.cshub.com/exosystem-decisions/articles/risk-management-strategy-fundamentals
