V diskusích o kybernetické bezpečnosti se často zaměřujeme na obranu proti kybernetickým hrozbám a útokům. Hlavní otázkou bývá, jak zajistit bezpečnost a co dělat, když se situace zhorší. Ale jak vlastně zjistíme, že se staneme cílem útoku? Co bude napadeno? A kolik bude stát obnova organizace po kybernetickém útoku?
Odpovědi na tyto otázky poskytuje právě posouzení rizik kybernetické bezpečnosti. Je to základní prvek při vytváření účinné strategie kybernetické bezpečnosti.
Co je posouzení rizik kybernetické bezpečnosti?
Posouzení rizik kybernetické bezpečnosti je proces, který pomáhá sladit plán kybernetické bezpečnosti organizace s jejími obchodními cíli. Umožňuje lépe pochopit cíle organizace a vyhodnotit dostupná aktiva, která jsou klíčová pro udržení jejího chodu.
Hodnotící zpráva zkoumá všechny aspekty kybernetické bezpečnosti organizace a může významně posílit její kybernetickou odolnost.
Zahrnuje informace o hrozbách pro hodnotu aktiv, pojištění a další důležité faktory. Tyto informace pomáhají zainteresovaným stranám a vedení činit informovaná rozhodnutí před, během i po kybernetickém útoku.
Význam hodnocení rizik v kybernetické bezpečnosti
Díky hodnocení rizik získáte přehled o hrozbách, což vám pomůže zjistit pravděpodobnost napadení, potenciální cíle útočníků a škody, které mohou způsobit vaší organizaci.
Získáte tak přehled nejen o typech hrozeb, ale také o jejich potenciálních dopadech na organizaci.
Poskytuje vám ucelený pohled na to, jak postupovat v případě úspěšného kybernetického útoku.
Jinými slovy, posouzení rizik vám umožní uvědomit si míru rizika spojeného s kybernetickým útokem. To pomáhá organizaci, jejím zainteresovaným stranám a všem zodpovědným pracovníkům připravit se na minimalizaci rizik a vytvořit robustní plán reakce.
Typy hodnocení rizik
I když základní kroky posouzení rizik kybernetické bezpečnosti zůstávají standardní, existují různé typy hodnocení.
Typ hodnocení definuje, na co se organizace zaměřuje při vyhodnocování svých bezpečnostních potřeb.
#1. Obecné hodnocení
Hodnocení založené na dotazníku se zabývá jednoduchými, avšak efektivními postupy, které snižují bezpečnostní rizika.
Patří sem například stav zásad pro hesla, typ implementovaného firewallu, pravidelné aktualizace zabezpečení a zásady ověřování/šifrování.
I když je jednoduché a snadné, nemusí vyhovovat všem organizacím. Je vhodné pro organizace s menším počtem aktiv a méně citlivými daty.
#2. Kvalitativní hodnocení rizik
Kvalitativní hodnocení rizik může být poněkud spekulativní, protože závisí na tom, kdo (jednotlivec nebo skupina) provádí přezkum a diskusi o tématech jako je narušení dat a finanční rizika.
Nezahrnuje formální zprávu, spíše se jedná o „brainstorming“ klíčových osob zodpovědných za organizaci.
#3. Kvantitativní hodnocení rizik
Kvantitativní hodnocení pracuje s daty a analytickými poznatky k výpočtu rizika.
Toto hodnocení pomáhá pokrýt širokou škálu aspektů pro větší organizace, kde jsou finanční rizika vyšší a datová aktiva cennější.
#4. Posouzení rizik pro konkrétní místo
Posouzení rizik pro konkrétní místo se zaměřuje na jediný případ použití, ať už jde o konkrétní část organizace nebo specifické místo.
Hodnotí pouze konkrétní síť, technologii a související statické prvky. Výsledky nejsou aplikovatelné pro zbytek organizace.
#5. Dynamické hodnocení rizik
Dynamické hodnocení rizik se zabývá riziky, která se mění v reálném čase.
Aby bylo efektivní, organizace musí monitorovat a řešit hrozby/útoky okamžitě po jejich výskytu.
Kroky k provedení posouzení rizik kybernetické bezpečnosti
Kroky k provedení hodnocení závisí na organizaci a zdrojích, které má k dispozici.
I když jsou kroky podobné, mohou existovat rozdíly v počtu kroků a způsobu jejich kategorizace a prioritizace.
Zde probereme devět kroků, které vám pomohou správně provést posouzení rizik kybernetické bezpečnosti.
#1. Identifikujte svá aktiva
Identifikace aktiv organizace je klíčová a měla by být prioritou.
Aktiva mohou zahrnovat hardware (notebooky, telefony, USB disky), software (zdarma nebo licencovaný), soubory, PDF dokumenty, infrastrukturu pro elektřinu a další, včetně papírových dokumentů.
Někdy je nutné zahrnout online služby, na kterých je organizace závislá, protože nepřímo/přímo ovlivňují její fungování.
Například cloudové úložiště, které používáte pro ukládání dokumentů.
#2. Identifikujte své hrozby
Na základě identifikovaných aktiv můžete určit potenciální hrozby, které s nimi souvisejí.
Jak na to? Nejjednodušší je sledovat aktuální trendy a novinky v oblasti kybernetických hrozeb. Organizace tak získá přehled o dění.
Dále lze využít knihovny hrozeb, znalostní báze a zdroje od vládních nebo bezpečnostních agentur, aby získala informace o různých typech kybernetických hrozeb.
Nakonec můžete také použít metodiky jako je „cyber kill chain“, abyste vyhodnotili, jaké kroky je třeba podniknout k ochraně aktiv před těmito hrozbami.
#3. Posuďte své zranitelnosti
Nyní, když znáte svá aktiva a potenciální hrozby, je nutné zjistit, jak k nim může útočník získat přístup?
Pokud má vaše zařízení, síť nebo jakékoli aktivum zranitelná místa, mohou být zneužity k získání neoprávněného přístupu.
Zranitelnosti mohou být v operačním systému notebooku, telefonu, na webových stránkách firemního portálu nebo v online účtu. I jednoduché heslo, které lze snadno prolomit, se počítá jako zranitelnost.
Pro více informací si můžete prostudovat katalog známých zranitelností.
Zranitelnosti mohou existovat jak uvnitř systému, tak i z vnějšku. Proto je důležité přijímat opatření k odstranění běžných/známých zranitelností.
#4. Spočítejte si své riziko
Riziko se počítá z kombinace hrozby, zranitelnosti a hodnoty aktiva.
Riziko = hrozba x zranitelnost x hodnota
Hodnocení rizika se vztahuje na pravděpodobnost, že hrozba ovlivní organizaci.
Čím vyšší je pravděpodobnost, tím vyšší je riziko. Nelze jej však přesně předpovědět, protože prostředí hrozeb se neustále mění.
Místo toho se určí úroveň rizika, která ukazuje, jak významné je riziko – pokud by bylo aktivum zneužito. Úroveň se určí diskusí o tom, které aktivum je cennější a jaký dopad by mělo jeho kompromitování nebo odcizení na organizaci?
Důležitost aktiv se může mezi organizacemi lišit. Například PDF soubor může být pro jednu společnost veřejně dostupný, zatímco pro jinou vysoce důvěrný.
#5. Upřednostněte svá rizika
Jakmile změříte úroveň rizika, je snadné je upřednostnit.
Na co byste se měli zaměřit při ochraně? Na typ útoku, který je nejpravděpodobnější, a ten, který může způsobit největší škody?
Stejně jako mnoho věcí, i toto může být subjektivní. Nicméně, pokud dokážete rizika kategorizovat, můžete pro ně vytvořit prioritní pořadí.
Priorizace může probíhat dle těchto kritérií:
- Upřednostnění rizik podle hodnoty.
- Filtrování rizik na základě hardwaru, softwaru a dalších externích faktorů, jako jsou dodavatelé a přepravní služby.
- Filtrování rizik na základě předpovědi budoucího postupu, pokud se riziko stane realitou.
Pro lepší pochopení:
Pokud má riziko hodnotu 1 milion USD a jiné 1 miliardu USD, druhému je samozřejmě věnována větší pozornost.
Dále, pokud jsou vaše obchodní cíle více závislé na hardwaru, než na vnějších faktorech, upřednostníte ho více.
Stejně tak, pokud určité riziko vyžaduje rozsáhlé kroky, mělo by mít vyšší prioritu.
#6. Implementujte ovládací prvky
Implementace ovládacích prvků se týká bezpečnostních opatření, která pomáhají řídit rizika.
Ovládací prvky pomáhají snižovat rizika a někdy je i eliminují.
Ať už jde o vynucení řízení přístupu, přísné zásady hesel nebo firewall, všechna tato opatření pomáhají řídit rizika.
#7. Sledovat a zlepšovat
Všechna aktiva, záplaty zranitelností a potenciální rizika je nutné monitorovat, aby bylo možné identifikovat prostor pro zlepšení.
Kybernetické hrozby se neustále vyvíjejí a mohou zmařit i solidní bezpečnostní strategii, proto je nezbytné pravidelně kontrolovat připravenost.
Bezpečnostní audity jsou užitečné, ale po dosažení dobrých výsledků v auditu nelze přestat sledovat situaci.
Pokud monitoring není prováděn, snižuje se ostražitost před kybernetickými hrozbami.
#8. Soulad a předpisy
I když provedení hodnocení kybernetické bezpečnosti přirozeně přiměje organizaci dodržovat určité standardy a zákony, je dobré se o nich informovat.
Hodnocení by nemělo být primárně vedeno požadavky na shodu. Spíše by se mělo zaměřit na hodnocení rizik a následné úpravy, aby se splnily požadavky, které organizaci umožní fungovat bez porušování zákonů nebo norem.
Například, shoda s HIPAA je nezbytná, pokud vaše organizace pracuje s informacemi o zdravotní péči ve Spojených státech.
Měli byste prozkoumat regulační požadavky v geografické lokalitě vaší firmy/organizace a následně je implementovat.
#9. Neustálé zlepšování
Bez ohledu na kvalitu opatření, ovládacích prvků a výzkum hrozeb – je klíčové neustále se snažit o jejich zlepšování.
Pokud organizace nebude neustále revidovat, zlepšovat a provádět drobné změny, může její strategie kybernetické bezpečnosti selhat dříve, než se očekávalo.
Posouzení rizik kybernetické bezpečnosti je zásadní
Hodnocení rizik kybernetické bezpečnosti je zásadní pro všechny typy organizací.
Bez ohledu na to, zda je velká nebo malá a zda spoléhá na méně nebo více online služeb. Posouzení pomůže vedení, zainteresovaným stranám nebo dodavatelům organizace poznat zdroje potřebné k zajištění bezpečnosti a minimalizovat škody po jakémkoli kybernetickém útoku.
Můžete si také prostudovat Kontrolní seznam kybernetické bezpečnosti pro malé a střední podniky.