home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Internet der Dinge-Technologie

Evaluieren Ihres IT-Risikos – wie und warum

Michael Aminzade von Trustwave

Einen vollständigen Schutz vor Cyberkriminellen zu gewährleisten, kann eine nahezu unmögliche Aufgabe sein, aber Unternehmen können sich selbst die besten Chancen geben, einen Angriff zu vermeiden, indem sie regelmäßige IT-Risikobewertungen durchführen. Die aktuelle Bedrohungslandschaft ist turbulent und die Bewertung von Risikomanagementprozessen, um sicherzustellen, dass sie die spezifischen Herausforderungen eines Unternehmens angehen, sollte Priorität haben. Sobald die größten Risiken identifiziert wurden, kann mit der Implementierung des optimalen Sicherheitsniveaus für die spezifischen Anforderungen des Unternehmens begonnen werden, sagt Michael Aminzade, Vice President of Global Compliance and Risk Services bei Trustwave .

Das Endergebnis der Durchführung einer Risikobewertung der Informationssicherheit besteht darin, die größten Mängel zu identifizieren und einen Plan zu entwickeln, der diese anerkennt und zur Minderung der Bedrohungen beitragen kann. Vor Beginn einer Risikobewertung ist ein klares Verständnis der Unternehmensziele erforderlich. Potenzielle Bedrohungen, die Wahrscheinlichkeit einer Gefährdung und die Auswirkungen eines Schadens müssen zunächst ermittelt werden. Die Durchführung eingehender Interviews mit der Geschäftsleitung, IT-Administratoren und Interessenvertretern, die alle Aspekte des Unternehmens einbeziehen, kann dabei helfen, Sicherheitslücken zu ermitteln.

Die klassische CIA Die Triade – Vertraulichkeit, Integrität und Verfügbarkeit – wird häufig als Grundlage für die Durchführung eines Assessments verwendet und ist ein nützliches Leitmodell für die Cybersicherheit. Ein gutes Gleichgewicht zwischen der Triade kann schwierig zu erreichen sein – ein Fokus auf Verfügbarkeit beeinträchtigt wahrscheinlich die Vertraulichkeit und Integrität, während eine zu starke Betonung von Vertraulichkeit oder Integrität sich wahrscheinlich auch auf die Verfügbarkeit auswirkt.

Nachdem eine gründliche Bewertung stattgefunden hat, besteht der nächste Schritt darin, zu bestimmen, welche Sicherheitskontrollen am besten geeignet sind, um das Geschäftsrisiko zu mindern. Diese können eine Kombination aus Technologie, Richtlinie, Prozess und Verfahren umfassen.

Risk Assessment Frameworks

Bei der Durchführung einer Sicherheitsrisikobewertung gibt es eine Reihe von Sicherheitsrahmen, die Sie auswählen können, um Sie zu unterstützen. Die fünf gängigsten sind die ISO 27000x-Serie, OCTAVE, COBIT, NIST 800-53 und das NIST Cybersecurity Framework. Von den fünf Frameworks hat sich NIST (das National Institute of Standards and Technology) als das beliebteste herausgestellt, das von Unternehmen, Bildungseinrichtungen und Regierungsbehörden regelmäßig verwendet wird.

NIST ist eine Einheit des US-Handelsministeriums und hat die Leitliniendokumente kostenlos erstellt. Das Cybersecurity Framework (CSF) wurde entwickelt, um Organisationen jeder Größe und jeden Grades an Cybersicherheit zu helfen, Best Practices des Risikomanagements anzuwenden.

Das Framework besteht aus drei Komponenten:Framework-Profil, Framework-Kern und Framework-Implementierungsebenen. Das Framework ist flexibel gestaltet und kann zusammen mit anderen Cybersicherheits-Risikomanagementprozessen wie ISO-Standards (International Organization for Standardisation) verwendet werden und ist daher auch für Risikobewertungen außerhalb der USA relevant.

NIST 800-53 wurde entwickelt, um die Einhaltung der US-amerikanischen Federal Information Processing Standards (FIPS) zu unterstützen und ist der Vorgänger des NIST Cybersecurity Framework (CSF). Diese Sonderpublikation liefert den Mitarbeitern der Organisation Nachweise über die Wirksamkeit implementierter Kontrollen, Hinweise auf die Qualität der verwendeten Risikomanagementprozesse und Informationen über die Stärken und Schwächen von Informationssystemen.

Best Practice

Mit der Kommerzialisierung der Cyberkriminalität vollziehen viele Unternehmen den Wechsel von der reinen Compliance zu einer viel umfassenderen Risikominderungs- und Datenschutzstrategie. Die Methodik der Risikobewertung bezieht sich seit jeher auf die gesamte Lieferkette und nicht nur auf interne Systeme. In letzter Zeit konzentrieren wir uns jedoch mehr auf die Bewertung der Risiken des Zugriffs von Drittanbietern auf interne Systeme.

In ähnlicher Weise hat der BYOD-Trend (Bring You Own Device) dazu geführt, dass der Fokus auf die Endpunktsicherheit und die Berücksichtigung der Auswirkungen von Endpunkten auf das Risikoprofil eines Unternehmens erhöht werden muss. Angesichts der zusätzlichen Komplexität lohnt es sich, die Vorteile der Zusammenarbeit mit einem Managed Security Services Provider (MSSP) in Betracht zu ziehen. Ihr umfassendes Wissen und ihre Erfahrung können Unternehmen dabei helfen zu verstehen, wie sie ein ständig wachsendes Netzwerk am besten sichern können.

Bei der Entwicklung eines Risikobewertungsmodells ist es wichtig, dass Sie die Unterstützung der Geschäftsleitung haben, und diese müssen die Risiken, die der Organisation innewohnen, verstehen und entweder akzeptieren oder einen Plan haben, um sie zu mindern und die Risikolage wieder in Einklang mit der Organisation zu bringen erwartete Werte.

Im Idealfall sollte der CISO oder CIO den Zeitplan für die Risikobewertung und die Ergebnisse sowie alle Sanierungspläne überwachen und die übrige Geschäftsleitung regelmäßig informieren, aber alle Mitarbeiter müssen daran erinnert werden, dass sie auch die Verantwortung tragen, wenn es um die Sicherheit des Unternehmens.

Es sollte geschult werden, wie man Risiken wie bösartige E-Mails erkennt und wie man vorgeht, wenn sie vermuten, dass sie eine identifiziert haben. Letztendlich müssen Unternehmen erkennen, dass es keine perfekte Sicherheit gibt, und das Ziel sollte sein, das optimale Sicherheitsniveau für das Unternehmen zu erreichen.

Die Einrichtung eines Risikorahmens und die Durchführung von IT-Risikobewertungen helfen dabei, das angemessene Sicherheitsniveau für Ihr Unternehmen zu ermitteln. Sobald die Schwachstellen identifiziert wurden, können sie behoben werden, um Ihr Unternehmen so sicher wie möglich zu halten.

Durch die Kombination von Risikobewertung und Sicherheitsreifebewertung kann ein Unternehmen eine Investitionsstrategie für eine Sicherheits-Roadmap erstellen und die Rendite der genehmigten Investition für das Unternehmen nachweisen.

Der Autor dieses Blogs ist Michael Aminzade, Vice President of Global Compliance and Risk Services bei Trustwave


Internet der Dinge-Technologie

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. Wie (und warum) Sie Ihre Public Cloud-Leistung vergleichen können
    2. Was ist Cloud-Sicherheit und warum ist sie erforderlich?
    3. Wie das IoT Sicherheitsbedrohungen in Öl und Gas begegnet
    4. Smart Security:So schützen Sie Ihre Smart Home-Geräte vor Hackern
    5. Was ist ein intelligentes Netzwerk und wie könnte es Ihrem Unternehmen helfen?
    6. So implementieren Sie die Multi-Faktor-Authentifizierung – und warum sie wichtig ist
    7. Wie ausgereift ist Ihr Ansatz für Rohstoffrisiken?
    8. Warum und wie man ein Vakuum-Audit durchführt
    9. So reparieren und erhalten Sie Ihre Kranräder
    10. Kraninspektionen:Wann, warum und wie?