منو سایت

ارزیابی ریسک تهدید 101 | کاربید

 تاریخ انتشار :
/
  وبلاگ
ارزیابی ریسک تهدید 101 | کاربید


وقتی صحبت از محافظت از شرکت شما می شود، به سادگی یک گزینه برای همه وجود ندارد. هر کسب و کاری مجموعه ای از الزامات امنیتی و حریم خصوصی خود را دارد که بر اساس همه چیز از صنعتی که در آن عضو هستید گرفته تا مقررات خاص کشورتان است. حقیقت سخت این است که شما نمی توانید در برابر چیزهایی که درباره آن نمی دانید محافظت کنید – به همین دلیل است که شناسایی تهدیدها و خطرات خاص شرکت شما برای ایجاد یک برنامه امنیتی قوی و حفظ حریم خصوصی ضروری است. اینجاست که ارزیابی خطر تهدید (TRA) وارد عمل می شود.

اول از همه – ارزیابی ریسک تهدید چیست؟ NIST آن را به عنوان ابزاری تعریف می کند که «[identifies, estimates, and prioritizes] خطری برای عملیات سازمانی، دارایی ها، افراد، سایر سازمان ها و ملت ناشی از عملیات و استفاده از سیستم های اطلاعاتی.

ریسک = احتمال x تاثیر
یک TRA جامع راه هایی را برای کاهش احتمال نقض و تأثیر آن در صورت وقوع اولویت بندی می کند.

در نهایت، TRA یک فرآیند سیستماتیک است که به دنبال پاسخگویی به سوالات زیر است:

  • چه دارایی هایی باید تضمین شوند؟
  • اگر دارایی ها آسیب ببینند یا از بین بروند، چگونه کسب و کار تحت تأثیر قرار می گیرد؟
  • تهدیدات فعلی و بالقوه چیست؟
  • آسیب‌پذیری‌های فعلی و بالقوه چیست؟
  • برای بهینه سازی برنامه امنیت و حریم خصوصی خود چه کاری می توان انجام داد؟
  • برای به حداقل رساندن آسیب در صورت نقض چه کاری می توان انجام داد؟

نتیجه یک TRA جامع باید درک روشنی از تهدیدها و خطرات منحصر به فرد شرکت شما و تاکتیک هایی برای بهینه سازی برنامه امنیت و حریم خصوصی شما در برابر آنها باشد.

آیا به TRA نیاز دارم؟

ارزیابی خطر تهدید بهترین راه برای ایجاد یک پایه محکم برای برنامه امنیت و حریم خصوصی شما است و برای مدیریت ریسک و حفاظت از داده ها بسیار مهم است.

هر ارزیابی یک تصویر فوری از برنامه شما در آن مقطع زمانی خاص ارائه می دهد. شرکت با رشد بالا شما به تکامل خود ادامه خواهد داد و به همین ترتیب چشم انداز تهدید سایبری نیز ادامه خواهد داشت، انجام منظم TRA مهم است. جدول زمانی شناخته شده صنعت یک سال در میان است.

مزایای کلیدی انجام یک TRA در شروع سفر امنیتی شما و به طور منظم پس از آن:

  • خلاصه ای مبتنی بر داده از وضعیت فعلی شما همراه با توصیه های واضح در مورد نحوه بهینه سازی برنامه خود را ارائه می دهد.
  • با حمایت از رهبران در تصمیم گیری آگاهانه در مورد امنیت و حریم خصوصی، اثربخشی استراتژی امنیتی را بهبود می بخشد.
  • توصیه هایی در مورد نحوه بهینه سازی برنامه امنیتی خود برای محافظت در برابر حملات و کاهش آسیب ارائه می دهد.
  • الزامات انطباق را برای چارچوب هایی از جمله HIPAA، PIPEDA و GDPR برآورده کنید.
  • با کمک به ایجاد آموزش، مواد و منابع امنیت و حفظ حریم خصوصی، به توسعه فرهنگ امنیتی سازمانی کمک می کند.

علاوه بر این، بسیاری از چارچوب‌های نظارتی مانند ISO27001، GDPR و OTN به ارزیابی‌های به‌روز خطر تهدید برای دستیابی به انطباق نیاز دارند.

یک TRA خوب چگونه به نظر می رسد؟

وقتی نوبت به ارزیابی تهدیدات و آسیب‌پذیری‌های شرکت شما می‌رسد، اینجا جایی نیست که به آن توجه کنید. متأسفانه، به ویژه برای شرکت‌هایی که به سرعت در حال رشد هستند، جذابیت دنبال کردن مسیر سریع بیشتر از انجام کارها به روش صحیح است. این منجر به TRA هایی می شود که پر از حفره ها هستند و می توانند منجر به آسیب پذیری های کاملاً قابل اجتناب و حتی بدتر از آن نقض شوند.

هنگامی که می خواهید فرآیند TRA خود را شروع کنید، یا اگر کار را برون سپاری می کنید، مطمئن شوید که گزارش نهایی شما شامل موارد زیر است:

  • خلاصه اجرایی – یک خلاصه اجرایی که جزئیات TRA، از جمله برنامه، محدوده، تیم، روش شناسی و سیستم های در حال بررسی را تشریح می کند.
  • سیاست ها و اقدامات احتیاطی – سیاست‌ها و پادمان‌های امنیتی و حفظ حریم خصوصی شرکت، مانند شناسایی و کاهش خطر، خطر امنیت و حریم خصوصی، آموزش آگاهی و واکنش به حادثه را مرور کنید.
  • تست آسیب پذیری و نفوذ – خلاصه ای از نتایج هر آزمایشی که برای شناسایی نقاط ضعف بالقوه و ارائه یک نمای کلی از وضعیت امنیتی شرکت شما انجام شده است.
  • توصیه ها و برنامه های عملیاتی – جزئیات در مورد اینکه چگونه می توانید سیستم های اطلاعاتی و برنامه کلی امنیت و حریم خصوصی خود را بهبود بخشید.

با انجام TRA از کجا شروع کنم؟

5 مرحله اصلی برای انجام یک TRA وجود دارد:

1. همه دارایی های تجاری را شناسایی کنید

دارایی ها منابع فیزیکی و آنلاینی هستند که برای انجام وظایف حیاتی یک کسب و کار استفاده می شوند. فهرست‌بندی دارایی‌های شرکت شما به شناسایی آسیب‌پذیرترین و بهترین روش‌ها برای محافظت از آنها کمک می‌کند.

دارایی ها می تواند شامل موارد زیر باشد:

  • دارایی های مشهود: ساختمان ها، وسایل نقلیه، سخت افزار، ماشین آلات، نرم افزار، مواد خام، شبکه ها یا پول نقد.
  • دارایی های نامشهود: زنجیره های تامین، شهرت تجاری یا دانش صنعت. آنها در ترازنامه ذکر نشده اند، اما بر توانایی شرکت در ایجاد درآمد تأثیر می گذارند.
  • دارایی های فکری: ثبت اختراع، علائم تجاری، نام های تجاری، آرم ها، داده های جمع آوری شده و اسرار تجاری. اگرچه قوانین مشابه دارایی های نامشهود است، اما از مالکیت شرکت بر دارایی های فکری محافظت می کند.

2. شناسایی تهدیدهایی که هر دارایی در معرض آن است

قوانین امنیت و حریم خصوصی به کاهش خطر نقض، سرقت یا آسیب به اطلاعات محرمانه از طریق تهدید بستگی دارد.

شناسایی تهدیدها و خطرات شرکت شما به شرکت شما امکان می دهد تا حد ممکن برای کاهش احتمال نقض و آماده سازی تیم شما در صورت وقوع چنین اتفاقی آماده باشد.

چندین نوع خطر وجود دارد که می تواند بر تجارت شما تأثیر بگذارد:

  • تهدیدات انسانی: خطای انسانی، نشت عمدی، عدم پرداخت پول به مشتریان، خشونت در محل کار، مدیریت ناکارآمد، و بیماری یا آسیب کارکنان.
  • تهدیدهای فناوری: حملات سایبری، تولید یا عرضه قطع شده، سخت افزار یا نرم افزار قدیمی، ویروس ها و داده های خراب.
  • تهدیدهای فیزیکی: از دست دادن یا آسیب دارایی های فیزیکیقطعی اینترنت یا خدمات برقی، وسایل دزدیده شده، امکانات ناامن، حوادث و آتش سوزی.
  • تهدیدات اقتصادی: تغییرات در شرایط بازار، ترجیحات مصرف کننده، رکود اقتصادی ناگهانی و سایر فشارهای موثر بر قیمت گذاری.
  • تهدیدات سیاسی: تغییرات در قوانین واردات/صادرات و تعرفه ها، معرفی الزامات انطباق ملی و مقررات یا قوانین تحمیلی توسط دولت.
  • خطرات طبیعی: طوفان، گردباد، آتش سوزی جنگلی، سیل و زلزله.

ما نمی توانیم برای هر تهدیدی که وجود دارد برنامه ریزی کنیم. با تهدیدات شناخته شده ای شروع کنید که از نظر جغرافیا، صنعت و غیره با شرکت شما مرتبط هستند… استخدام یک متخصص شخص ثالث می تواند به شناسایی تهدیدات ناشناخته احتمالی که ممکن است نادیده گرفته شده باشند کمک کند و به تعیین سطح خطری که شرکت شما با آن مواجه است کمک کند. TRA.

3. برای هر دارایی یک تحلیل تاثیر انجام دهید

در طول تجزیه و تحلیل تأثیر، شما به روش‌های مختلفی که هر تهدید و آسیب‌پذیری می‌تواند بر دارایی‌ها و عملیات تجاری گسترده‌تر تأثیر بگذارد، نگاه می‌کنید. برخی از عواقب قابل در نظر گرفتن ممکن است شامل موارد زیر باشد:

  • صدمات یا تلفات به پرسنل
  • صدمه به اموال
  • از دست رفتن داده ها
  • وقفه در فرآیند کسب و کار
  • از دست دادن مشتریان و شهرت
  • جریمه و جریمه
  • دعاوی حقوقی

عواقب مرتبط با هر دارایی را شناسایی کنید و تعیین کنید که آیا دارایی را غیرعملکرد، در معرض خطر قرار می دهد یا به طور کامل حذف می کند.

4. منابع مورد نیاز برای رفع آسیب پذیری ها را شناسایی کنید

درک کنید که برای محافظت از یک دارایی، چه از طریق کاهش یا حذف آسیب‌پذیری‌ها، یا با جایگزین کردن دارایی با جایگزین ایمن‌تر، چه اقداماتی لازم است.

این نکات را دنبال کنید تا مطمئن شوید که طرح شما سودآور است:

  • هرگز برای محافظت از یک دارایی بیشتر از هزینه ای که برای جایگزینی آن با یک جایگزین امن تر و به روز هزینه می شود، خرج نکنید. این ممکن است واضح به نظر برسد، اما تعجب خواهید کرد که هر چند وقت یکبار این اتفاق می افتد – معمولاً با هزینه های انباشته و غیرمنتظره.
  • چرخه عمر دارایی را در نظر بگیرید. شاید اکنون ارزش محافظت از آن را داشته باشد، اما زمانی می رسد که بهتر است آن را جایگزین کنید.
  • هدف محافظت از یک دارایی به اندازه کافی برای کاهش خطر از دست دادن است، اما نه آنقدر که بر عملکرد دارایی تأثیر بگذارد. همیشه لازم نیست – یا مقرون به صرفه – به دنبال محافظت کامل باشید.

5. یک گزارش ارزیابی خطر تهدید ایجاد کنید

گزارش شما باید یافته ها و فرصت های بهبود را با مدیران ارشد و مدیران فنی مورد بحث قرار دهد. پس از تایید، با استراتژی های کاهش خود به جلو بروید.

توجه داشته باشید که این یک نمای کلی بسیار کلی از TRA است و پیچیدگی و عمق هر یک بسته به شرکت و الزامات امنیتی و حریم خصوصی خاص آن متفاوت است. به همین دلیل است که درگیر کردن یک متخصص با تجربه و بینش می تواند روند را ساده کند. انجام یک TRA یک فرآیند خسته کننده است، اما لازم نیست سخت باشد!

مطمئن نیستم از کجا شروع کنم؟ با تیم Carbide تماس بگیرید تا در مورد اینکه چگونه می توانیم از سفر امنیت و حریم خصوصی شما با راه حل های انتها به انتها، از جمله TRA پشتیبانی کنیم، بیشتر بدانید.