Medan digital teknik har förändrat hur organisationer fungerar, har den resulterat i en betydande ökning av organisatoriska risker. Tillväxten av mobila, flexibla och internetbaserade företag och användningen av ett brett utbud av enheter, i kombination med ökat mjukvarusamarbete och beroende av externa organisationer och partners, har ökat attackytan . Perimetersäkerhetsarkitekturen har blivit mindre och mindre relevant och räcker inte längre för att skydda datacentertrafiken. Slotts- och vallgravsarkitekturen (eller nav/ek) måste ses över, liksom relevansen av MPLS-anslutning, molnbrandväggar och VPN:er. Digital teknik skapar också nya hotvektorer som kommer att användas av personer med uppsåt att försöka infiltrera en organisation. Från skadlig programvara till nätfiskeattacker och social ingenjörskonst, de kommer ständigt att utveckla nya hot mot ditt säkerhetsförsvar. I en digital värld är säkerhet inte längre en IT-risk, utan en affärsrisk. Det är viktigare än någonsin att säkerställa datasäkerhet, behålla kundernas förtroende och skydda ditt företags rykte, samtidigt som du fortsätter att driva affärstillväxt, öka kundnöjdheten, förbättra kundnöjdheten och förbättra kundnöjdheten. . förbättra produktiviteten och minska kostnaderna.
Om författaren Neville Armstrong är en servicestrateg på Fordway Solutions.
Bedöm riskaptiten
För att ta itu med nya risker måste IT-chefer ompröva sin inställning till säkerhet, med hänsyn till modell- och beteendebaserad säkerhet och tillförlitliga nätverk. För att göra detta måste de först förstå vilka risker de står inför. De måste:
- Bedöm effekten av nya risker på din organisation.
- Utveckla en lämplig riskstrategi för att skydda din organisation utan att kväva innovation och operativ prestanda.
- Integrera detta i policyer för styrning och efterlevnad som kontinuerligt kan anpassas till föränderlig teknik och tillhörande hot.
Riskbedömning börjar med en förståelse av organisationens riskprofil. Detta inkluderar de hot du möter, både internt och externt; om organisationen och dess system är sårbara för dessa hot; och effekten om sårbarheten realiseras. Genom att tilldela värden till dessa attribut och multiplicera dem kan de som ansvarar för att hantera IT-tjänster kvantifiera risker och definiera verksamhetens riskprofil. Det sista steget är att förstå och definiera företagets riskaptit i policyn. Det innebär att överväga:
- Organisationens etiska ställning och kultur.
- de rättsliga och potentiellt moraliska ramarna som den verkar inom, som varierar från land till land och till och med inom "standardiserade" handelsblock som EU.
- dina säkerhetskrav, som till viss del kommer att bero på den bransch där du är verksam.
Ett mått på riskaptit kan vara det tröskelvärde över vilket organisationen ser var och en av de risker som identifierats i riskprofilen som ett potentiellt hot.
övertyga rådet
När riskerna väl har utvärderats är det viktigt att få engagemang och stöd från styrelsen och den högsta ledningen, eftersom investeringar kommer att krävas för att implementera och driva systemen och systemen. Nödvändiga policyer De måste förstå vikten av att anta lämpliga styrningsramverk för att hantera risker och vad det innebär att driva en lönsam och säker verksamhet. Enkelt uttryckt handlar det om att anpassa företagets strategi, mål och värderingar med affärs- och IT-funktioner genom ledningssystem, samtidigt som man följer branschstandarder och bästa praxis. De måste också förstå att detta är en del av status quo, inte en engångsaktivitet varje gång en ny risk identifieras eller ny lagstiftning antas. När organisationer förstår sin riskaptit blir beslutsfattande lättare eftersom ledare förstår de parametrar inom vilka de verkar. Detta gör att de kan fatta ett välgrundat beslut om var de ska investera för att skydda sig mot de mest kritiska hoten. Det kan vara oerhört kostsamt att vara riskvillig, eftersom alltför höga restriktioner innebär en långsam reaktion på förändrade omständigheter. Det kan dock bli ännu dyrare att göra misstag eftersom bristen på begränsningar kan äventyra framtiden för en organisation.
Styrning och efterlevnad
Styrning och efterlevnad ses ofta som en organisatorisk börda. De bör dock ses som ett uttalande om organisatoriska värderingar och en investering i framtida tillväxt, såväl som en integrerad del av riskhanteringsstrategin. De är en väsentlig del för att säkerställa att en organisation rör sig i önskad riktning och kan göra det möjligt för den att skapa mervärde. Effektiva och strömlinjeformade processer kommer att främja säkerheten och minimera fel; efterlevnad kommer att visa organisatoriskt engagemang; Slutligen kommer konsolidering av flera standarder att spara pengar genom att minska interna och externa revisionskostnader. God styrning kan skilja ett företag från sina konkurrenter och göra det möjligt för det att reagera på föränderliga marknader samtidigt som det tillhandahåller hållbara försäkringar till sina kunder. Efterlevnad av standarder säkerställer implementering av vad som anses vara universell bästa praxis. Detta kan bidra till att förenkla processer, och om en del av en extern standard revideras regelbundet kommer den sannolikt att bli mer verkställbar och mer konsekvent tillämpad. Det finns även interna fördelar. Stark styrning uppbackad av lämplig utbildning kommer att säkerställa att alla medlemmar i organisationen förstår sina roller och ansvarsområden, vilket stärker ansvarsskyldigheten och förbättrar produktiviteten. Genom att implementera policyer och processer för bästa praxis som har granskats externt kommer det att bygga internt förtroende, förbättra moralen och behålla personalen.
Implementering av styrning
Implementeringen av lämpliga strategier inkluderar att utvärdera hur användarna fungerar och teknikens flexibilitet utan att kompromissa med säkerheten. Politiken måste anpassas för att passa den snabbt föränderliga miljön. ITIL 4 kan vara användbar här eftersom den är utformad för att hjälpa organisationer att göra förändringar i en jämn takt samtidigt som den behåller sin integritet. Organisationens riskaptit bör återspeglas i skräddarsydda ledningssystem, såsom ett kvalitetsledningssystem (QMS) eller ett ledningssystem för informationssäkerhet (ISMS), där slutpunktssäkerhet är avgörande för verksamhetens utveckling och hållbarhet. Organisationer som vill fokusera på kundnöjdhet kan implementera ett Service Management System (SMS) eller de som vill säkerställa att deras gemenskap och etiska värderingar vill eller behöver implementera ett ledningssystem. #39; miljö. Alla dessa system måste anpassas för att överensstämma med företagets mål. Detta kan innebära att införa organisationsspecifika policyer, processer och procedurer. Befintliga standarder ger ett grundläggande ramverk, men de måste strömlinjeformas och skräddarsys efter organisationens specifika behov och strategiska inriktning för att utvinna värde. För att följa bästa praxis måste organisationer anpassa sina ledningssystem till branschstandarder (till exempel ISO) efter behov. Ett tillvägagångssätt som implementeras av välskötta organisationer är att effektivisera styrningen genom att konsolidera säkerhets-, kvalitet-, miljö- och serviceledningssystem (ISO27000, ISO9001, ISO14001 och ISO20000). Detta innebär att de inom vissa områden har enstaka strategier att hantera snarare än flera strategier över olika system. Efter att ha definierade strategier och procedurer måste organisationer tillämpa styrning för att säkerställa efterlevnad av dessa strategier. Reglering, intern strategi, teknik och hot är inte uteslutna. Därför måste IT-avdelningar noggrant övervaka potentiella förändringar så att deras styrning, risker och efterlevnad kan hålla jämna steg.
Implementera Zero Trust
När man hanterar digitala risker måste organisationer ta en ny syn på nätverksarkitektur. Omkretssäkerhetsarkitekturen för företagsnätverk har traditionellt utformats utifrån och in. Befintliga nätverk måste dock utformas inifrån, med hänsyn till dataflöden och säkerhetsstaplar. För att upprätthålla systemprestanda och organisatorisk smidighet måste nätverk utformas med flera egresser, snarare än att bara skydda datacentertrafik. IT-avdelningar måste utmana befintliga nivåer av förtroende och implementera nya säkerhetsmodeller för att stödja noll förtroende: en granulär implementering inom säkerhetsgränser, kallad mikrosegmentering, som begränsar onödig rörelse i sidled och oönskad trafik mellan system och åtkomst för användare. I själva verket blir användare den nya säkerhetsperimetern och identitetshanteringen blir den nya perimeterhanteringen. Att implementera noll förtroende, eller begränsat förtroende, börjar med en grundlig förståelse för åtkomsthantering och anpassningen av rättigheter, privilegier och beteendemönster inbyggda i strategierna. Detta innebär att implementera standardpolicyer för minst privilegier och uteslutning för varje användare och system, med tydliga processer för att öka rättigheterna vid godkännande. Detta måste åtföljas av möjligheten att övervaka och registrera åtkomst och åtkomstfel. Användarhantering är nära relaterad till detta. System måste finnas på plats för att upptäcka och skapa varningar för onormalt användarbeteende, var och en med full medvetenhet om hot och hotvektorer. Detta kräver en stark cybersäkerhetsutbildning, såväl som acceptabla användningspolicyer relaterade till policyer för personalhantering. Utbildning måste pågå fortlöpande för att säkerställa att alla nya cyberhotsvektorer förstås och mildras av användarna. Slutligen är det viktigt att säkert hantera åtkomst till företagets resurser från mobila och andra enheter, särskilt när användningen av personalens personliga enheter är tillåten (till exempel BYOD, BYOT och IO). Tvåfaktorsautentisering bör implementeras, liksom MDM, MAM och MIM när datasäkerhet är viktigt. Neville Armstrong är servicestrateg på Fordway Solutions.