サイバー リスクは、組織にとって大きな盲点になる可能性があります。幸いなことに、取締役会とシニア リーダーはこれまで以上に関与しており、組織内でサイバー リスクがどのように管理されているかについて理解を深めるために取り組んでいます。サイバー リスクに関する経営陣とのより多くの対話と、組織のリスク プロファイルに対する予防的および対応的な措置の影響は、注目すべき大きな傾向です。
サイバー セキュリティ チームは、多くの場合バックグラウンドで、日々の運用をサポートするという圧倒的なタスクを引き受けながら、環境内の攻撃者に常に備えています。進行中のプロジェクトの重要性と運用上の責任と、対応準備とのバランスを取ることは、難しいトレードオフです。多くの場合、チームが成熟度スコアを上げることだけに焦点を当てた活動に巻き込まれているのを目にしますが、それは必ずしも弱点や弱点が本当にどこにあるのかを示しているわけではありません.ポリシーとガバナンスの分野における 3 または 3.5 の成熟度スコアは、取締役会のレポートでは素晴らしいように見えますが、組織の全体的な方向性を導き、導きたいと考えている人々にとって、それは実際には何を意味するのでしょうか?
まず、サイバー リスクが他のビジネス リスクと似ていないことを理解することが重要です。これは、組織全体に存在する脅威と脆弱性の集合体であり、悪用された場合、財務上の損失、評判の低下、および規制の問題につながる可能性があります。リスクという用語と脅威という用語は同じではなく、同じ意味で使用すべきではありません。 Mandiant では、クライアントとの対話を再配置して、2 つをより大きな対話の異なるが関連する要素として分離し、より適切に対処する必要があることに気付くことがよくあります。
脅威と脆弱性を具体的に見るときは、組織が作成または使用した、潜在的に脆弱で、悪用の「機会」を生み出すテクノロジーまたはプロセスに焦点を当てる必要があります。次に、これらの脆弱性や機会が悪用される可能性のあるベクトルまたは方法として、脅威をオーバーレイできます。
インパクトの伝達に関しては、サイバー リスクがどのように管理されているかについて取締役会の耳と評価を得るために、シンプルにすることをお勧めします。これにより、複雑さが最小限に抑えられ、重要な影響に関する上向きのレポートに焦点が当てられます。私たちが見つけた一般的な問題は、サイバー リスクを軽減する方法と依存しているコントロール、および時間の経過とともにこれらのコントロールの忠実度が真に検証され、セキュリティ投資に関する投資収益率 (ROI) が最大化される方法について、組織がしばしば麻痺することです。
これは、何が「王冠の宝石」を構成するか、またはビジネスにとって何が最も重要かについて、組織全体で明確な合意がない場合によく発生します。すべてのチーム間で調整が行われないと、セキュリティ投資に関する疑問が増え、組織のリスクに関する重大な疑問が解決されない傾向があります。最終的に、セキュリティ チームは ROI を考慮し、完全に理解する必要があります。よりビジネスに焦点を当てた幹部に対して、投資決定を弁護することができない傾向にある人。
サイバー リスク ジャーニーをマッピングする方法
サイバー リスクは広範で深いテーマであり、リスクを低下させる単一のプロセス、テクノロジ、またはソリューションはありません。成熟度ベースのプログラムは、セキュリティ プログラムの全体的な方向性に大きく貢献しますが、プログラムの唯一の原動力であってはなりません。適切に設計されたプログラムは、代わりに、組織の方向性と許容範囲を定義して調整し、進化する脅威の状況に接続する必要がある機能の調整です。プログラムを開発する際に覚えておくべき重要なポイントを次に示します。
- 最も重要なことを理解する : 時間をかけて、組織に悪影響を与える可能性が最も高い重要なビジネス資産を理解し、侵害された場合に継続的な懸念を抱かないようにします。
- 組織全体のサイバー リスク許容度の定義と調整: 組織のサイバー リスクのトップダウン ビューを作成し、経営陣の報告要件を明確にし、組織のリスク許容度を確立して目標を定めます。
- 重要なシステムのセキュリティ アーキテクチャ リスクを特定してモデル化する:ミッション クリティカルなシステムをコンポーネントと接続に分解し、脅威と脆弱性を特定し、各脅威にリスクを割り当て、影響に関する組織の許容範囲に合わせます。
- サイバー リスクと主要なパートナーとポートフォリオを特定する:大きく依存しているパートナーや組織を特定し、デュー デリジェンスを実行して、組織を危険にさらすだけでなく、リスク プロファイルを許容できないリスクのレベルにまで押し上げる統合およびサプライ チェーンのリスクを評価します。
- 運用上の脆弱性を特定し、組織のリスク許容度に合わせる:脆弱性と悪用可能性の程度を、ミッション クリティカルなシステムへの侵害の可能性に結び付け、定義されたサイバー リスク許容度に対してそれらを検証します。
- セキュリティ機能が正しい方向に進んでいるかどうかを検証する:既存のセキュリティ プログラム イニシアチブをベスト プラクティスに照らしてマッピングし、業界および運用地域の標準的なプラクティスからの逸脱を検証します。
サイバー リスクに関する成熟度の向上は、一晩でできるものではありません。むしろ、それはそれ自体に基づいて構築される継続的なプロセスです。 Mandiant では、多数のプログラム変革から派生したアプローチにより、組織が有意義かつ系統的な方法でリスクを特定、マッピング、および削減するためのより良いアプローチを構築するのに役立ちます。
サイバーリスクをうまく管理するために、組織は、組織にとって最も重要なものに対する脅威を再考し、より適切に特定し、その情報を統合して、サイバーの観点から組織の運用リスクプロファイルを知らせる必要があります.これは単純な考えですが、私たちがやり取りするほとんどのプログラムには、しばしば欠けています。適切なサイバー リスク管理の目標は、組織が最も注意を払う必要があり、重大な影響と真のリスクを引き起こす可能性のある脅威と脆弱性を明らかにするのに役立ちます。
参考: https ://www.mandiant.com/resources/blog/cyber-risk-journey-one
Comments