Jakaa IT-tietoturvabudjetin vaikean hyväksynnän

Jokainen meistä tekee riskienhallintaa. Jokainen heräävä minuutti arvioi riskiä ja tekee päätökset arviointimme perusteella. Prosessi on niin automatisoitu, että on todella hidastaa ymmärtää mitä tapahtuu.

Esimerkiksi, kuinka voit selvittää, onko turvallista ylittää katu.

Ei voi poistaa riskiä

Murskainen osa on, että riskiä ei voida eliminoida - ei millään tavalla, ei miten - vain vähentää. Ymmärtääkseen miten riskiä voidaan vähentää, asiantuntijat jakavat sen seuraaviin luokituksiin:

  • Luontainen riski: Yhtiöllesi aiheutuva riski, jos mitään toimenpiteitä ei voida tehdä, joiden avulla voit muuttaa todennäköisyyttä tai vaikutusta.
  • Jäännösriski: riski (tunnetaan myös nimellä "haavoittuvuus" tai "altistuminen"), joka säilyy sen jälkeen, kun olet yrittänyt pienentää kaikkia luontaisia ​​riskejä.

Jäännösriski on se, josta meidän on huolehdittava. Tiedämme etsiä molemmat suunnat ennen kadun ylittämistä, mutta etsimme harvoin - jäännösriski - puuttuen meille suoraan suuntautuvalle meteoriitille.

Jäännösriski ajaa tietoturva-asiantuntijoita ja ylimmän johdon pähkinöitä. Miksi se on, ei välttämättä ole helposti ilmeistä. Aluksi ajattelin - tietysti väärin - että se perustui yrittämiseen määritellä kaikki mahdolliset riskit. Ei, siinä ei ole.

Tasapainotus

Olemme yhtä mieltä siitä, että riskiä ei voida eliminoida; Joten kuinka vaikeaa yrittää vähentää riskiä? Milloin riskin vähentämisestä aiheutuvat kustannukset ovat enemmän kuin riskin aiheuttamisesta aiheutuvat kustannukset? Se on hankala bitti ja mikä pitää riskinarvioijat ilmassa.

Yrittäessään ymmärtää, kävelin useita verkkosivustolle julkaistuja papereita riskialtista ajattelua. Tiedät miten se meni. Sitten löysin CISSP: n, CISM: n ja ERE: n tietoturva-, tarkastus- ja vaatimustenmukaisuusyritysten presidentin Ron Lepofsky, tietoturva-, tarkastus- ja vaatimustenmukaisuusyrityksen presidentin Ron Lepofskyn, IT-tietoturvan noudattamisen riskien ja kustannusten määrittäminen.

IT-riskien hallinta

Minulla oli sormeni ristissä; Ronin artikkeli näytti keskittyvän tietoturvaan. Ja se on tärkeää. Olen menettänyt seuran kaikista lukijoista, jotka ovat kommentoineet sitä, kuinka ylimmälle johdolle on turhaa tietotekniikan suhteen: "He haluavat vain tietää, kuinka paljon se maksaa."

Ensimmäisen lukemiseni jälkeen tiesin Ronin artikkelin olevan totta. Se selitti mitä ylimmälle johdolle puhuu ja kuinka IT-henkilöstön tulisi esitellä se. Ongelma on, en puhu riskienhallinnasta. Joten haluamatta sotkea, otin yhteyttä Roniin.

Ron palasi luokseni mainitsemalla olevansa lomalla. Minulla oli uppoamisen tunne ja määräaika uhkasi suurta. Hän lisäsi onneksi "Jos Internet-yhteys olisi käytettävissä, vastaisin mielelläni kysymyksiisi." Joo.

Kassner : Suurin osa IT-johtajista tuntee riskienhallinnan käsitteen, mutta siinä se on. Mitkä ovat ehdotuksesi? Lepofsky: Johtajien tulisi ottaa päätöksentekoprosessissaan huomioon ylimmän johdon hyväksyttävä asia. Pidän seuraavia mahdollisina jäännösriskeinä:
  • Tuottojen tai tuotannon menetys tuotantoresurssien puuttumisen vuoksi
  • Aikaa ja vaivaa palautua turvallisuuteen liittyvästä tuotannon menetyksestä
  • oikeudellinen
  • Vahinko tuotemerkille
  • Lainsäädännön noudattamisen rikkomukset
  • Yksityisyyden loukkaukset
  • Vahinko asiakassuhteille
  • Älyllisen, kilpailun tai omistusoikeuden alaisen tiedon menetys
  • Kaappaamattomat voitot, jotka johtuvat kyvyttömyydestä osoittaa asiakkaille vahvaa turvallisuusprosessia
Kassner : Mainitset artikkelissa tarpeen puhua ylimmän johdon kieltä - ROI. Onko mahdollista antaa rahalle arvo riskille? Lepofsky: Kustannukset ovat niistä aiheutuvat vaikutukset liiketoimintaan, jos riskistä tulee totta. Mahdollisten kustannusten määrittämiseksi ehdotan seuraavaa:
  • Pyydä neuvoja taloushallinnolta, lakimiehiltä ja riskinhallintakonsultteilta
  • Suoritetaan olosuhteissa kysely sidosryhmille, ja kukin arvioi tapahtuman halvemmat kustannukset
  • Osallistuminen samankaltaisten yritysten tiedonkeruututkimuksiin, joista kukin tarjoaa tietoturvatapahtuman kustannusanalyysin
  • Tilastotietojen ostaminen alan asiantuntijoilta tai toimialajärjestöiltä
Kassner : Saatuaan käsittelyn mahdollisista riskeistä väität, että on tärkeää määrittää tapahtuman todennäköisyys vuotuisen tappioennusteen (ALE) avulla; voisitko selittää miten se toimii? Lepofsky: ALE on rahallinen tappio, joka johtuu omaisuuserän vaarantumisesta koko vuodeksi, ja se lasketaan kertomalla SLE ARO: lla. Missä:
  • Yhden tappion odotus (SLE) on odotettavissa oleva rahallinen tappio, joka aiheutuu yhdestä tapauksesta omaisuuserän vaarantuessa
  • Vuotuinen esiintymisaste (ARO) on odotettu tapahtumien määrä vuodessa
Kassner : Ymmärrämme nyt, kuinka rahallinen arvo määritetään yksittäisille riskeille. Seuraava työjärjestys olisi selvittää, mitä se maksaa kunkin riskin estämiseksi. Mainitset:

"Turvallisuusammattilaiset tuntevat hyvin lieventämiskustannusten määrittämisen. Vanhemmat avainhenkilöt luulevat joskus tuntevansa nämä kustannukset myös virustorjunta- ja palomuuritekniikan lukemien mainosten perusteella.

Vaarana on, että kaikkien asianosaisten on liian helppo keskittyä tekniikkaan ensisijaisena lieventäjänä turvallisuudelle ja vaatimustenmukaisuudelle. "

Kehotat sitten vastuuhenkilöitä harkitsemaan seuraavia lieventämisvaiheita:

  • Suunnitellaan uudelleen prosessit, sekä teknologiset että ihmisprosessit
  • Politiikka - ihmiset ja tekniikka
  • Tekninen turvallisuus
  • Fyysinen turvallisuus
  • Ihmiset prosessoivat
  • Koulutus ja tietoisuus
  • Kolmannen osapuolen auditointi tehokkuuden varmistamiseksi

Olet oikeassa, ei mitään uutta siellä. Mutta seuraava kommenttisi oli minulle "oh-duh" hetki, ja rehellisesti, syy, miksi kirjoitin tämän artikkelin:

"IT-tietoturvatyypit suojelevat hyvin, mutta eivät niin varmasti vakuuttamaan valtuuksia, minkä vuoksi se on välttämätöntä."

Seuraava kaavio näyttää siltä, ​​että jotain johto arvostaa. Voisitko selittää mitä katsomme?

Lepofsky: Yllä oleva kaavio näyttää kahden tekijän välisen suhteen:
  • Mahdolliset menetykset verrattuna riskeihin (tapahtumaprosentin todennäköisyys)
  • Lieventämiskustannukset verrattuna riskiin (tapahtumaprosentin todennäköisyys)

Turvallisuusmenojen optimaalinen kustannus on summa, joka määritetään kahden linjan leikkauksen perusteella. Ja edellä oleva vihreä käyrä on riskin kokonaiskustannukset, joissa:

Kokonaiskustannukset = tappioista aiheutuvat kustannukset + lieventämiskustannukset

Turvallisuusbudjettia suunnitellessaan tavoitteena on minimoida menot, joten yritys ei mieluiten kuluta vähentämiseen enemmän kuin odotetut mahdolliset tappiot. Terveellisyystarkastuksena on, että riskeihin liittyvien kokonaiskustannusten on ehdottomasti oltava suurempia kuin lieventämiskustannukset, tai jotain on todella vialla riskinhallinnan taloudellisessa suunnittelussa.

Kassner : Näen yhden pienen ongelman - no, ehkä ei niin pieni. Tarkoitan pienkauppaa, ahne IT-henkilöä. Mitä neuvoja voit tarjota heille? Lepofsky: Tämä on valtava ongelma. On epätodennäköistä, että IT-tietoturvatekniikoilla on aikaa tai resursseja suorittaa riskianalyysi budjettia luotaessa.

Ensimmäinen askel on selvittää, onko johdolla dokumentaatiota, jolla riskien prioriteetit määritetään yrityksen varoille. Jos ei, niin ehdotan, että ylimmälle johdolle tiedostetaan riskianalyysin edut. Ainakin he voivat tehdä tietoon perustuvan päätöksen turvallisuusbudjetteista. Päätöksestä riippumatta suosittelisin IT-osastoa pyytämään johdon päätöslauselma kirjallisesti.

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

Lopulliset ajatukset

Riskienhallinnan kielen ja optimaalisten kustannuspisteiden puhumisen pitäisi tehdä ylemmän johdon vakuuttamisesta paljon helpompaa. Olen innokas kokeilemaan sitä; Kerron sinulle miten se menee.

Haluaisin kiittää Ronia siitä, että se on valaistanut erittäin monimutkaista aihetta ja auttanut meitä IT-tyyppejä ymmärtämään ylemmän johdon puhetta paremmin.

© Copyright 2020 | mobilegn.com