Kada se govori o sajber bezbednosti, često razmišljamo o tome kako se zaštititi od pretnji i napada na internetu.
Sve se vrti oko toga šta treba učiniti da bismo bili sigurni i kako reagovati kada stvari krenu po zlu. Ali, kako neko može znati da će biti meta? Zašto bi neko bio napadnut? Koliko bi koštalo da se organizacija oporavi nakon sajber napada?
Procena rizika u sajber bezbednosti može dati odgovore na sva ova pitanja. Stoga, procena predstavlja jedan od ključnih koraka u kreiranju strategije sajber bezbednosti.
Šta je procena rizika u sajber bezbednosti?
Procena rizika za sajber bezbednost je proces koji pomaže da se plan sajber zaštite organizacije uskladi sa njenim poslovnim ciljevima. Takođe, pomaže boljem razumevanju ciljeva i proceni raspoloživih i potrebnih resursa kako bi se sistem održao funkcionalnim.
Izveštaj o proceni tehnički će obuhvatiti sve aspekte vezane za sajber bezbednost. Osim toga, može poboljšati sajber otpornost organizacije.
Od toga koje su pretnje, do vrednosti imovine i osiguranja. Sve ove informacije bi trebale pomoći zainteresovanim stranama i menadžmentu da donesu informisane odluke kada postoji rizik od sajber napada (ili nakon incidenta).
Važnost procene rizika u sajber bezbednosti
Kroz procenu rizika, dobijate pregled pretnji koji vam pomaže da shvatite šanse da budete napadnuti, potencijalne mete napadača uperene ka vašoj organizaciji i štetu koju ti napadi mogu naneti.
Ne samo da ćete biti svesni vrsta pretnji usmerenih ka vašoj organizaciji, već ćete razumeti i šta te pretnje mogu prouzrokovati i kako će se to odraziti na poslovanje.
Na taj način, stičete celokupnu sliku o tome šta možete preduzeti u slučaju uspešnog sajber napada na vaše poslovanje.
Drugim rečima, procena rizika u sajber bezbednosti pomaže vam da shvatite nivo rizika povezan sa sajber napadom. To omogućava organizaciji, njenim zainteresovanim stranama i odgovornim osobama da se adekvatno pripreme, kako bi se rizik sveo na minimum i da bi postojao čvrst plan za svaku potencijalnu situaciju.
Vrste procene rizika
Iako su koraci u procesu procene rizika za sajber bezbednost uglavnom standardizovani, vrste procena se razlikuju.
Tip procene vam pokazuje na šta se tačno organizacija fokusira pri proceni bezbednosnih potreba svog poslovanja.
#1. Generička procena
Ova vrsta procene bazira se na upitniku i bavi se jednostavnim, ali efikasnim elementima koji umanjuju bezbednosne rizike.
Na primer, procenjuje se stanje politike lozinki, tip primenjenog zaštitnog zida, redovnost bezbednosnih ažuriranja i smernice za autentifikaciju i enkripciju.
Iako je ova procena jednostavna i lako se sprovodi, možda neće biti odgovarajuća za sve vrste organizacija. Najčešće odgovara organizacijama sa ograničenom imovinom i manje osetljivim podacima.
#2. Kvalitativna procena rizika
Kvalitativna procena rizika je donekle spekulativna, jer zavisi od toga ko (pojedinac ili grupa ljudi) pregleda i analizira podatke kako bi se razmatrali aspekti kao što su kršenje podataka i finansijski rizici.
Ova procena ne uključuje specifičan izveštaj, već se više svodi na “brainstorming” sesiju za ljude na visokom nivou odgovornosti u organizaciji.
#3. Kvantitativna procena rizika
Kvantitativna procena podrazumeva rad sa podacima i analizom, kako bi se izračunao rizik.
Ovaj tip procene je pogodan za veće organizacije, gde je finansijski rizik veći, a količina i vrednost podataka značajnija.
#4. Procena rizika specifična za lokaciju
Procena rizika specifična za lokaciju fokusira se isključivo na jedan konkretan slučaj. Bilo da se radi o delu organizacije ili određenoj lokaciji, ovu vrstu procene možete posmatrati kao specifičnu za nišu.
Ona procenjuje samo određenu mrežu, tehnologiju i slične statične elemente. Ne očekujte da će ovakva procena biti korisna za ostatak organizacije.
#5. Dinamička procena rizika
Dinamička procena rizika bavi se rizicima koji se menjaju u realnom vremenu.
Da bi ova procena bila efikasna, organizacija mora pratiti i reagovati na pretnje i napade u trenutku kada se dogode.
Koraci za procenu rizika u sajber bezbednosti
Koraci za sprovođenje procene zavise od same organizacije i resursa koje ona ima na raspolaganju.
Iako su koraci uglavnom slični, mogu postojati manje varijacije između organizacija. Na primer, broj koraka i način kategorizacije i određivanja prioriteta svakog koraka.
U nastavku razmatramo devet koraka koji nam omogućavaju da se pozabavimo svim sitnim detaljima, što bi trebalo da vam pomogne da pravilno izvršite procenu rizika u oblasti sajber bezbednosti.
#1. Identifikujte svoju imovinu
Identifikacija imovine u vašoj organizaciji je kritična i treba joj dati prioritet.
Imovina može uključivati hardver (laptopovi, telefoni, USB diskovi), softver (besplatan ili licenciran), fajlove, PDF dokumente, električnu infrastrukturu i slično, kao i fizička dokumenta na papiru.
Ponekad je neophodno uključiti i online usluge od kojih organizacija zavisi, jer one indirektno/direktno utiču na određene operacije organizacije.
Na primer, rešenje za skladištenje u oblaku koje koristite za čuvanje dokumenata.
#2. Identifikujte svoje pretnje
Na osnovu vaše imovine, možete identifikovati potencijalne pretnje koje bi mogle biti povezane sa njom.
Kako to učiniti? Najlakši način je pratiti najnovije trendove i vesti u vezi sa sajber pretnjama. Na taj način, organizacija će biti informisana o svemu što se događa.
Zatim, mogu se koristiti i biblioteke pretnji, baze znanja i resursi državnih ili bezbednosnih agencija kako bi se informisali o svim vrstama sajber pretnji.
Takođe, možete iskoristiti pomoć okvira poput lanca sajber ubistava kako biste procenili koje korake treba preduzeti da biste zaštitili svoju imovinu od tih pretnji.
#3. Procenite svoje ranjivosti
Sada kada znate svoju imovinu i potencijalne pretnje, kako napadač može doći do nje?
Naravno, ukoliko vaši uređaji, mreža ili bilo koja imovina ima ranjivosti, to može omogućiti napadaču da ih iskoristi za neovlašćen pristup.
Ranjivosti mogu postojati u operativnom sistemu na laptopu, telefonu, veb lokaciji kompanije, ili u online nalozima. Bilo šta može predstavljati ranjivost. Čak i jednostavna lozinka koja se lako može provaliti, računa se kao ranjivost.
Možete pogledati katalog poznatih iskorišćenih ranjivosti da biste saznali više.
U suštini, ranjivosti mogu postojati svuda, bilo unutar sistema ili spolja. Stoga, preduzimanje koraka za otklanjanje poznatih ranjivosti je neophodno.
#4. Izračunajte svoj rizik
Rizik se izračunava na osnovu opasnosti, ranjivosti i vrednosti imovine.
Rizik = pretnja x ranjivost x vrednost
Kada se procenjuje rizik, on se odnosi na verovatnoću da pretnja utiče na organizaciju.
Što je veća verovatnoća, veći je i rizik. Ipak, to se ne može precizno predvideti jer se situacija sa pretnjama stalno menja.
Zato, umesto toga, treba izračunati nivo rizika, koji pokazuje koliko je rizik značajan – ako se nešto iskoristi. Nivo rizika se može odrediti tako što se analizira koja imovina je vrednija i kakav bi uticaj na organizaciju imao gubitak ili oštećenje te imovine?
Ovo se može razlikovati od organizacije do organizacije. Na primer, PDF fajl za jednu kompaniju može biti javno dostupna informacija, dok za drugu može predstavljati poverljiv podatak od velike važnosti.
#5. Odredite prioritete rizika
Kada se procene nivoi rizika, lako je odrediti prioritete.
Na šta bi se prvo trebalo fokusirati kada je zaštita u pitanju? Na one tipove napada koji su najverovatniji i koji mogu izazvati najveću štetu, zar ne?
Kao i sve ostalo, i ovo može biti subjektivno. Ali, ako možete kategorizovati rizike, možete im odrediti prioritete.
To može biti jedno od sledećeg:
- Rizicima se dodeljuje prioritet prema vrednosti koja je povezana sa njima.
- Rizici se filtriraju na osnovu hardvera, softvera i drugih spoljnih faktora, kao što su dobavljači, usluge slanja itd.
- Rizici se filtriraju na osnovu predviđanja budućih posledica ako se neki od rizika ostvari.
Dozvolite da razjasnim ove tri tačke:
Ako je jedan rizik procenjen na milion dolara, a drugi ima vrednost od milijardu dolara. Naravno, ovaj drugi zaslužuje veću pažnju.
Zatim, ako poslovni ciljevi zavise od hardvera, a ne od spoljnih faktora, onda se hardveru daje veći prioritet.
Slično tome, ako je za rešavanje određenog rizika potreban veliki napor, onda i on treba da bude prioritet.
#6. Implementirajte kontrole
Kada se govori o implementaciji kontrola, misli se na mere bezbednosti koje pomažu u upravljanju rizicima.
Kontrole mogu pomoći u smanjenju rizika, a ponekad i u njegovom potpunom eliminisanju.
Bilo da se radi o primeni kontrole pristupa, strogoj politici lozinki ili zaštitnom zidu, sve ove mere vam pomažu da upravljate rizikom.
#7. Pratite i unapređujte
Sva imovina, ažuriranja ranjivosti i potencijalni rizici moraju biti praćeni kako bi se identifikovale oblasti za poboljšanje.
S obzirom na to da se sajber pretnje neprestano razvijaju i mogu nadjačati i najjaču strategiju zaštite, od suštinskog je značaja da se redovno proverava stepen pripremljenosti.
Naravno, bezbednosne revizije pomažu, ali se ne sme stati sa nadzorom nakon dobrih rezultata revizije.
Ako ne nadgledate, smanjujete nivo opreza prema sajber pretnjama.
#8. Usklađenost i propisi
Iako sprovođenje procene sajber bezbednosti prirodno dovodi do toga da se organizacija pridržava određenih standarda i zakona, možda je potrebno detaljnije proveriti tu oblast.
Nemojte raditi procenu samo da biste ispunili uslove usklađenosti. Prvo izvršite procenu, a zatim je prilagodite kako bi ispunila zahteve usklađenosti koji vam omogućavaju da radite bez kršenja zakona ili standarda.
Na primer, usklađenost sa HIPAA je neophodna ako se vaša organizacija bavi zdravstvenim informacijama u Sjedinjenim Američkim Državama.
Istražite regulatorne zahteve na geografskoj lokaciji vašeg preduzeća/organizacije i zatim radite na njima.
#9. Kontinuirano unapređivanje
Bez obzira na to koliko su dobre mere, kontrole i istraživanje pretnji – sve se svodi na kontinuirane napore da se te oblasti unaprede.
Ukoliko organizacija nema želju da ponovo analizira, unapređuje ili izvrši manje izmene kako bi ispravila/poboljšala stvari, strategija sajber bezbednosti može propasti pre nego što se očekuje.
Procena rizika za sajber bezbednost je od suštinskog značaja
Procena rizika u sajber bezbednosti je od ključnog značaja za sve vrste organizacija.
Bilo da su velike ili male, da koriste više ili manje online usluga; ona je važna. Procena će pomoći administratorima, zainteresovanim stranama ili saradnicima povezanim sa organizacijom da razumeju koji su resursi neophodni kako bi se osigurala bezbednost i da budu spremni da minimiziraju štetu nakon sajber napada.
Takođe, možete istražiti kontrolnu listu sajber bezbednosti za mala i srednja preduzeća.