Risicobeheer
Experts pushen risicobeheer als de beste keuze als het gaat om het handhaven van cyberveiligheid. Op het eerste gezicht zou dat kunnen worden opgevat als het opgeven van de huidige technologie, maar dat is niet het hele plaatje.
Risicobeheer is een manier om al het mogelijke te hebben om de gevolgen van een cyberbeveiligingsincident te verminderen, en dat is een goede zaak. Een andere even belangrijke functie van risicobeheer is dat het kan worden beschouwd als een proactieve methodologie die wordt gebruikt om risico’s in het cyberbeveiligingsraamwerk van een organisatie te identificeren.
Bedrijfseigenaren en managers hebben een heel andere mindset dan cybercriminelen. Voldoende marges en kostenbesparingen vullen de dagen van leiders. Cybercriminelen zijn veel meer gefocust – ze zoeken gewoon naar manieren om illegaal geld te verdienen, hetzij door lucratieve gegevens te stelen en te verkopen, of door losgeld van een bedrijf af te persen door belangrijke digitale bestanden te versleutelen. Als geen van beide partijen rekening houdt met de andere, gebeuren er meestal slechte dingen.
In het EconoTimes-artikel “Risicobeheer gebruiken om hiaten in cyberbeveiliging te identificeren” wordt risicobeheer gedefinieerd als een proactieve mentaliteit die erop gericht is het voor cybercriminelen moeilijker te maken:
“Risicobeoordeling stelt het beveiligingsteam in staat om bedreigingen en risico’s te identificeren. Dit stelt hen in staat om hiaten te dichten en de juiste beveiliging te bieden aan gevoelige gegevens. De evaluatie behandelt ook de nalevings- en regelgevingsvereisten voor PCI DSS en HIPAA.”
Geautomatiseerde scansoftware
De meeste bedrijven zijn financieel slank en het is volgens het artikel duur en beperkt in omvang om een externe leverancier een risicobeheerbeoordeling te laten uitvoeren. De auteur van het artikel suggereert: “Bedrijven kunnen ervoor kiezen om intern risicobeoordelingen uit te voeren. SaaS-platforms hebben dit mogelijk gemaakt door geautomatiseerde tests, rapporten en monitoring aan te bieden. Een van de beste benaderingen van risicobeheer is het gebruik van geautomatiseerde scansoftware.”
Uit het artikel: “De tools zullen dan de ontdekte problemen rapporteren en suggesties doen om ze te bestrijden.” De auteur voegde eraan toe dat het bij het kiezen van een tool voor risicobeoordeling belangrijk is om te overwegen hoe vaak de tool wordt bijgewerkt, hoe gemakkelijk het is om op de resultaten te reageren en hoe goed de tool interageert met andere cybersecurity-tools.
Iedereen moeten betrokken worden
De enige manier waarop risicobeoordeling werkt, is als alle afdelingen erbij betrokken zijn, evenals belangrijke managementspelers.
“Hoewel dit proces tijdrovend kan zijn, sla het niet over”, schreef de auteur van het EconoTimes-artikel, eraan toevoegend dat er speciale aandacht moet worden besteed aan afdelingen die zich rechtstreeks bezighouden met consumenten- en bedrijfsgegevens.
Het hele punt van dit soort risicobeheer is om proactief cyberbeveiligingsrisico’s te identificeren en het risico indien mogelijk weg te nemen; als dat niet mogelijk is, ontwikkel dan reacties die de impact verminderen als er toch een cyberaanval plaatsvindt. Hier volgen tips uit het EconoTimes-artikel over hoe u dit kunt bereiken.
Ontwikkel een cultuur: bedrijven hebben niet de gewoonte om cyberveilig te denken, en dat moet veranderen, zei ze. In het bijzonder moeten alle werknemers zich in de veiligheidscultuur van een organisatie aansluiten.
Onderwijs medewerkers: De auteur van het artikel zegt dat cyberbeveiliging niet alleen de verantwoordelijkheid is van de IT-afdeling: al het personeel moet herkennen wanneer er een aanval plaatsvindt en weten wat hun rol is bij het beperken van de schade. De auteur gaat nog een stap verder en vindt het van vitaal belang dat elke werknemer begrijpt dat een ernstige cyberaanval kan leiden tot verlies van werkgelegenheid als het bedrijf zijn deuren moet sluiten. Uit het EconoTimes-artikel: “Communiceer uw plannen voor risicobeperking met alle belanghebbenden en houd ze betrokken.”
Creëer een cyberbeveiligingsraamwerk: het National Institute of Standards and Testing (NIST) beschrijft een cyberbeveiligingsraamwerk als: “Vrijwillige begeleiding, gebaseerd op bestaande standaarden, richtlijnen en praktijken voor organisaties om cyberbeveiligingsrisico’s beter te beheren en te verminderen. Naast het helpen van organisaties bij het beheren van en om risico’s te verminderen, werd het ontworpen om de communicatie over risico- en cyberbeveiligingsbeheer tussen zowel interne als externe belanghebbenden van de organisatie te bevorderen. “
I