Дайджест Капитали$та «Финансовая свобода» №24: Как провести оценку риска кибербезопасности
Выполнение оценки риска в кибербезопасности вашего бизнеса должно быть рутинным процессом, независимо от того, насколько вы велики или в какой отрасли вы находитесь.
Случаи безопасности могут случиться с любым бизнесом, особенно с малым бизнесом, потому что хакеры считают, что они являются легкой целью или они пытаются нарушить более крупную компанию, пройдя через своих маленьких партнеров. Хотя самооценка и мониторинг должны быть непрерывным процессом, комплексная оценка риска безопасности должна проводиться не реже одного раза в два года, согласно данным Ассоциации аудита и контроля информационных систем.
Существуют различные уровни оценки риска, и, к счастью, можно провести всесторонний анализ вашей безопасности самостоятельно. Не хватает поставщиков кибербезопасности, специализирующихся на тестировании уязвимостей и оценке рисков для клиентов. Эти услуги могут быть дорогостоящими и не могут быть экономически эффективными, если вы являетесь малым бизнесом, работающим с небольшой сетью.
Выполнение собственной оценки риска намного более доступно. Единственный компромисс заключается в том, что вам нужно будет использовать свое время и ресурсы для его выполнения.
Выполнение собственной оценки риска — для вашего собственного самосознания и повышения эффективности безопасности, но если вы работаете в отрасли, которая требует профессиональных оценок и аудитов от сертифицированного лица, у вас не останется иного выбора, кроме как использовать стороннюю оценку чтобы получить официальную сертификацию. Эти группы редко принимают самооценки.
Важно, чтобы вы знали, что делаете и что ищете, когда выполняете оценку риска. Недостаточно знаний о кибербезопасности для поиска уязвимостей, которые могут использовать злоумышленники. Если у вас есть ИТ-персонал, лучше работать с ними, когда вы планируете провести оценку риска. В некоторых случаях он может предложить вам больше преимуществ для вашей собственной оценки риска, потому что вы знаете, как работает ваша сеть, и потому, что вы можете ее создать.
Если вы уверены, что у вас и ваших сотрудников есть коллективный опыт проведения оценки риска, следующее, о чем вам нужно помнить, это то, что вы должны быть объективны, глядя на свою систему. Часто компании упускают определенные аспекты безопасности, потому что изменение этих вещей может вызвать слишком много сбоев или это будет стоить слишком много, чтобы исправить ситуацию. Вы должны быть готовы внести большие изменения, если ваши результаты указывают на большие отверстия в вашей сети.
Как выполнить оценку риска
При проведении оценки риска ваши цели — выявлять риски и уязвимости в вашей сети, оценивать их, определять эффективность ваших текущих ресурсов безопасности и вычислять эти факторы в общий риск.
Существует несколько автоматических инструментов, таких как платное приложение Nessus Professional и бесплатный инструмент OpenVAS, которые запускают уязвимость, сканируя несколько аспектов вашей сети для обнаружения рисков.
По словам Райана Злоки (Ryan Zlockie), глобального вице-президента по аутентификации в Entrust Datacard, три основных направления деятельности малых предприятий должны быть сосредоточены на том, чтобы проводить оценку риска — это их сотрудники, веб-страницы и физические устройства, которые подключаются к Интернету.
Одна из главных причин нарушений данных непреднамеренно вызвана сотрудниками, которые случайно нажимают на подозрительные ссылки или загружают вложения из фишинговых писем. Уязвимость тестирования ответов сотрудников и онлайн-практики может быть полезна до начала специализированного обучения кибербезопасности.
Интернет-фишинг-симуляторы позволяют настраивать электронные письма, замаскированные под коллеги, с целью убедить сотрудников загрузить вложение или предоставить учетные данные. Отрицательные результаты не должны приводить к каким-либо карательным действиям, а вместо этого должны позволять вам определить, сколько дополнительного обучения вашим персоналу необходимо в практике кибербезопасности. Это также поможет вам определить, следует ли применять двухфакторную аутентификацию при доступе к сети.
Защита вашей сети от веб-атак — важный фронт для защиты вашего бизнеса. Если у вас есть веб-страница, где вы продаете товар и принимаете платежи от клиентов, определение того, является ли оно безопасным, имеет первостепенное значение не только для защиты себя, но и для ваших клиентов. Множество инструментов существует в Интернете, чтобы помочь вам определить, могут ли злоумышленники легко прокладывать себе путь в вашу сеть через ваш сайт. Например, Pentest Tools — это платная услуга, которая сканирует ваши веб-сайты, веб-приложения и сеть, чтобы определить, существуют ли уязвимости. Обычными проблемами с веб-сайтами являются отсутствие сертификатов SSL / TLS и HTTPS, которые являются факторами обеспечения безопасности домена.
В офисе важно убедиться, что ваши физические устройства также защищены. Злоумышленники часто получают доступ через устройства с поддержкой Интернета и получают доступ к вашей сети через неподдерживаемые эксплойты. Устройства, такие как беспроводные принтеры, маршрутизаторы Wi-Fi и мобильные устройства, могут быть использованы для предоставления хакерам доступа к остальной части вашей сети.
Легкий способ избежать проблем — убедиться, что прошивка вашего устройства обновлена. У Microsoft есть бесплатный инструмент, который поможет вам определить, обновлены ли ваши продукты Microsoft в вашей сети.
Наличие профессионального консультанта по кибербезопасности для оценки риска для вас — это дополнительные расходы, но они, вероятно, найдут несколько недостатков и рисков, которые вы, возможно, упустили. Комплексная оценка риска, выполняемая службой, иногда может помочь вам избежать серьезных нарушений данных, вызванных некоторыми из самых новых и самых тонких эксплойтов, но ваша оценка кибербезопасности может по крайней мере помочь вам обнаружить некоторые из самых вопиющих и непосредственных рисков для вашей сети. Еще одно преимущество заключается в том, что проведение собственной оценки риска поможет вам лучше узнать вашу сеть и как она работает.