彼の欠点について聞いたことで、改善できる人は幸せです(c)W. Shakespeare
暗号ランサムウェアウイルス、マイニングプラグイン、フィッシングモバイルアプリケーションは、それらが何を可能にし、何を可能にしなかったかをますます示しています。
サイバーセキュリティシステムを実装する場合、企業は多くの場合、既製のソリューションをコピーします。 ただし、一部の企業が他の企業に損害を与えるのに役立つもの。 さまざまな企業では、原則として、さまざまなITシステム、デバイス、情報の種類、および情報の価値評価からのユニークなパズルが追加されます。
一部の企業は、セキュリティをセキュリティソフトウェアのインストールとしてのみ認識しています。 ファイアウォールと侵入検知ソフトウェアのインストールは、情報を保護し、ハッカーと戦う効果的な手段としてよく使用されます。 しかし、従業員がフィッシングサイトにパスワードを残したり、誤って(または具体的に)パスワードを第三者に漏らした場合、最先端のソフトウェアでもサイバーセキュリティの問題を解決できません。
他の会社は、必要のないセキュリティに莫大な金額を費やしています。 建物の周囲に武装した警備員を配置することは印象的ですが、主な脅威が知的財産または機密情報への不正なリモートアクセスである場合、そのようなセキュリティはほとんど重要ではありません。
サイバーセキュリティはプロセスであり、製品ではありません。 このプロセスは、潜在的な脅威を特定し、適切なセキュリティ対策を適用することにより構築されます。
サイバーセキュリティプロセスは標準化できません。 例としていくつかの手順を使用して、サイバーセキュリティの開始方法を説明します。
1.情報リソースの特定
情報セキュリティの適用を開始するには、まず、どのオブジェクトに努力を費やすかを決定する必要があります。 多くの場合、企業は、予期しない場所で機密情報を見つけることができるとさえ考えていません。 次の質問に対する答えを探しています。
- どの情報、ネットワーク、プロセスを保護しますか?
- どの情報システムが関係しており、どこにありますか?
- どのような法的要件を遵守する必要がありますか(たとえば、個人データに関する法律、情報に関する法律、情報化および情報保護など)。
2.定期的なリスク評価
次のステップは、情報セキュリティを脅かす潜在的なリスクを評価することです。 これには以下が含まれます:
- 考えられるすべての内部および外部の脅威の識別。
- 脅威が実現する可能性の評価。
- インシデント発生時の潜在的な損害の評価。
- インシデント発生時の会社のポリシーと手順の評価。
リスクは、ビジネスの性質、ビジネスとパートナーの保存された情報の価値、トランザクションのサイズと量、およびその数に基づいて評価されます。 この段階での評価の目的は、許容可能なリスクのレベルを決定することです。 このレベルを理解することにより、潜在的なリスクとの闘いに必要な金融投資を評価することができます。
3.セキュリティプログラムの開発と実装
リスク評価の結果に基づいて、安全プログラムが開発および実施されます。 セキュリティプログラムは、評価中に特定されたリスクを管理および確立するための物理的、技術的、および管理的なセキュリティ対策で構成されます。
リスクを許容可能なレベルに減らすためのセキュリティプログラムが開発されていることを忘れないでください。
まとめ
企業をサイバーセキュリティの失敗に導く7つの致命的な誤り:- ソフトウェア保護(ウイルス対策、ブランド管理者)のみを使用します。
- パターン化されたセキュリティポリシーの使用
- アカウントおよび場所の機密情報に関するデータの不足が保存されます。
- データの流通と保管に関する法律の要件に関する知識の欠如;
- ビジネスのための情報の価値評価の欠如;
- リスクの許容レベルの理解不足。
- 合理的なレベルのリスクを維持および管理するために、合理的なレベルのコストを計算できない。