home Teknologi Manufaktur Peralatan Manufaktur
Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Industrial Internet of Things >> Teknologi Internet of Things

Mengevaluasi risiko TI Anda – bagaimana dan mengapa

Michael Aminzade dari Trustwave

Memastikan perlindungan penuh terhadap penjahat cyber bisa menjadi tugas yang hampir mustahil, tetapi organisasi dapat memberi diri mereka kesempatan terbaik untuk menghindari serangan dengan melakukan penilaian risiko TI secara teratur. Lanskap ancaman saat ini adalah salah satu yang bergejolak dan menilai proses manajemen risiko untuk memastikan mereka mengatasi tantangan khusus organisasi harus menjadi prioritas. Setelah risiko terbesar diidentifikasi, penerapan tingkat keamanan optimal yang menangani kebutuhan spesifik bisnis dapat dimulai, kata Michael Aminzade, wakil presiden Global Compliance and Risk Services di Trustwave .

Hasil akhir dari melakukan penilaian risiko keamanan informasi adalah untuk mengidentifikasi di mana kekurangan terbesar dan mengembangkan rencana yang mengakuinya dan dapat bekerja untuk mengurangi ancaman. Pemahaman yang jelas tentang tujuan bisnis diperlukan sebelum memulai penilaian risiko. Potensi ancaman, kemungkinan kompromi, dan dampak kerugian perlu ditetapkan terlebih dahulu. Melakukan wawancara mendalam dengan manajemen senior, administrator TI, dan pemangku kepentingan yang melibatkan semua aspek organisasi dapat membantu menentukan di mana ada celah dalam keamanan.

CIA klasik triad – kerahasiaan, integritas dan ketersediaan – sering digunakan sebagai dasar untuk melakukan penilaian dan merupakan model panduan yang berguna untuk keamanan siber. Keseimbangan yang baik antara tiga serangkai dapat sulit dicapai – fokus pada ketersediaan kemungkinan akan membahayakan kerahasiaan dan integritas, sementara terlalu banyak penekanan pada kerahasiaan atau integritas juga kemungkinan akan memengaruhi ketersediaan.

Setelah penilaian menyeluruh dilakukan, langkah selanjutnya adalah menentukan kontrol keamanan mana yang paling cocok untuk mengurangi risiko bisnis. Ini dapat mencakup kombinasi teknologi, kebijakan, proses, dan prosedur.

Kerangka penilaian risiko

Saat melakukan penilaian risiko keamanan, ada sejumlah kerangka kerja keamanan yang dapat Anda pilih untuk membantu Anda. Lima yang paling umum adalah ISO 27000x Series, OCTAVE, COBIT, NIST 800-53 dan NIST Cybersecurity Framework. Dari lima kerangka kerja, NIST (Institut Standar dan Teknologi Nasional) telah muncul sebagai yang paling disukai, dengan bisnis, lembaga pendidikan, dan lembaga pemerintah menggunakannya secara teratur.

NIST adalah unit dari Departemen Perdagangan AS dan telah menghasilkan dokumen panduan secara gratis. Cybersecurity Framework (CSF) dirancang untuk membantu organisasi dari semua ukuran dan tingkat kecanggihan keamanan cyber dalam menerapkan praktik terbaik manajemen risiko.

Kerangka kerja ini terdiri dari tiga komponen:profil kerangka kerja, inti kerangka kerja dan tingkat implementasi kerangka kerja. Kerangka kerja ini dirancang agar fleksibel dan dapat digunakan bersama dengan proses manajemen risiko keamanan siber lainnya, seperti standar ISO (Organisasi Internasional untuk Standardisasi), sehingga relevan dengan penilaian risiko di luar AS juga.

NIST 800-53 dirancang untuk mendukung kepatuhan terhadap Standar Pemrosesan Informasi Federal AS (FIPS) dan merupakan pendahulu dari NIST Cybersecurity Framework (CSF). Publikasi khusus ini memberikan bukti kepada pejabat organisasi tentang efektivitas pengendalian yang diterapkan, indikasi kualitas proses manajemen risiko yang digunakan, dan informasi mengenai kekuatan dan kelemahan sistem informasi.

Praktik terbaik

Dengan komersialisasi kejahatan dunia maya, banyak organisasi beralih dari kepatuhan murni ke strategi mitigasi risiko dan perlindungan data yang jauh lebih luas. Metodologi penilaian risiko selalu membahas seluruh rantai pasokan dan bukan hanya sistem internal. Namun, baru-baru ini kami melihat lebih banyak fokus pada penilaian risiko akses vendor pihak ketiga ke sistem internal juga.

Demikian pula, tren BYOD (bawa perangkat Anda sendiri) telah menyebabkan kebutuhan yang lebih besar untuk fokus pada keamanan titik akhir dan pertimbangan dampak titik akhir terhadap profil risiko organisasi. Dengan kompleksitas tambahan, ada baiknya mempertimbangkan manfaat bekerja dengan penyedia layanan keamanan terkelola (MSSP). Pengetahuan dan pengalaman mereka yang luas dapat membantu organisasi memahami cara terbaik untuk mengamankan jaringan yang terus berkembang.

Saat mengembangkan model penilaian risiko, penting bagi Anda untuk memiliki dukungan manajemen senior, dan mereka harus memahami dan menerima risiko yang melekat pada organisasi atau memiliki rencana untuk menguranginya dan mengembalikan postur risiko sesuai dengan organisasi. tingkat yang diharapkan.

Idealnya, CISO atau CIO harus mengawasi jadwal dan temuan penilaian risiko serta rencana perbaikan dan memberikan pembaruan rutin kepada manajemen eksekutif lainnya, tetapi semua karyawan perlu diingatkan bahwa mereka juga berbagi tanggung jawab dalam hal keamanan bisnis.

Pelatihan harus diberikan tentang cara mengenali risiko seperti email berbahaya dan bagaimana prosedurnya jika mereka curiga telah mengidentifikasinya. Pada akhirnya, bisnis perlu mengakui bahwa tidak ada keamanan yang sempurna, dan tujuannya adalah untuk memiliki tingkat keamanan yang optimal bagi organisasi.

Menyiapkan dan kerangka kerja risiko dan melakukan penilaian risiko TI akan membantu mengidentifikasi tingkat keamanan yang sesuai untuk organisasi Anda. Setelah kelemahan diidentifikasi, kelemahan tersebut dapat diatasi, menjaga bisnis Anda seaman mungkin.

Saat menggabungkan penilaian risiko dengan penilaian kematangan keamanan memungkinkan organisasi untuk membangun strategi investasi untuk peta jalan keamanan serta menunjukkan pengembalian ke bisnis atas investasi yang disetujui.

Penulis blog ini adalah Michael Aminzade, wakil presiden Layanan Kepatuhan dan Risiko Global di Trustwave


Teknologi Internet of Things

  • Tertanam
  • Sensor
  • Komputasi awan
  • Teknologi Internet of Things
    1. Bagaimana (dan Mengapa) Membandingkan Kinerja Cloud Publik Anda
    2. Apa itu Keamanan Cloud dan Mengapa Diperlukan?
    3. Bagaimana IoT mengatasi ancaman keamanan dalam minyak dan gas
    4. Keamanan pintar:Cara melindungi perangkat rumah pintar Anda dari peretas
    5. Apa itu jaringan cerdas dan bagaimana hal itu dapat membantu bisnis Anda?
    6. Cara Menerapkan Autentikasi Multi-Faktor — dan Mengapa Penting
    7. Seberapa Dewasa Pendekatan Anda terhadap Risiko Komoditas?
    8. Mengapa dan Bagaimana Melakukan Audit Vakum
    9. Cara Memperbaiki dan Merawat Roda Derek Anda
    10. Pemeriksaan Derek:Kapan, Mengapa, dan Bagaimana?