Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Technologie de l'Internet des objets

Évaluer votre risque informatique – comment et pourquoi

Michael Aminzade de Trustwave

Assurer une protection complète contre les cybercriminels peut être une tâche pratiquement impossible, mais les organisations peuvent se donner les meilleures chances d'éviter une attaque en effectuant régulièrement des évaluations des risques informatiques. Le paysage actuel des menaces est turbulent et l'évaluation des processus de gestion des risques pour s'assurer qu'ils répondent aux défis spécifiques d'une organisation devrait être une priorité. Une fois que les risques les plus importants ont été identifiés, la mise en œuvre du niveau de sécurité optimal répondant aux besoins spécifiques de l'entreprise peut commencer, déclare Michael Aminzade, vice-président des services mondiaux de conformité et de gestion des risques chez Trustwave .

Le résultat final de la réalisation d'une évaluation des risques de sécurité de l'information est d'identifier où se trouvent les plus grandes lacunes et d'élaborer un plan qui les reconnaît et peut travailler pour atténuer les menaces. Une compréhension claire des objectifs d'une entreprise est nécessaire avant de commencer une évaluation des risques. Les menaces potentielles, la probabilité de compromission et l'impact d'une perte doivent être initialement établis. Mener des entretiens approfondis avec la haute direction, les administrateurs informatiques et les parties prenantes impliquant tous les aspects de l'organisation peut aider à déterminer où se trouvent les failles de sécurité.

Le classique CIA La triade – confidentialité, intégrité et disponibilité – est souvent utilisée comme base pour effectuer une évaluation et constitue un modèle d'orientation utile pour la cybersécurité. Un bon équilibre entre la triade peut être difficile à atteindre :une concentration sur la disponibilité est susceptible de compromettre la confidentialité et l'intégrité, tandis qu'une trop grande insistance sur la confidentialité ou l'intégrité aura également un impact sur la disponibilité.

Une fois qu'une évaluation approfondie a eu lieu, l'étape suivante consiste à déterminer quels contrôles de sécurité sont les mieux adaptés pour atténuer les risques commerciaux. Ceux-ci peuvent inclure une combinaison de technologie, de politique, de processus et de procédure.

Cadres d'évaluation des risques

Lorsque vous entreprenez une évaluation des risques de sécurité, vous pouvez choisir un certain nombre de cadres de sécurité pour vous aider. Les cinq plus courants sont la série ISO 27000x, OCTAVE, COBIT, NIST 800-53 et NIST Cybersecurity Framework. Parmi les cinq frameworks, le NIST (National Institute of Standards and Technology) s'est imposé comme le plus apprécié, les entreprises, les établissements d'enseignement et les agences gouvernementales l'utilisant régulièrement.

Le NIST est une unité du département américain du Commerce et a produit les documents d'orientation gratuitement. Le cadre de cybersécurité (CSF) a été conçu pour aider les organisations de toutes tailles et de tout degré de sophistication en matière de cybersécurité à appliquer les meilleures pratiques de gestion des risques.

Le cadre est composé de trois composants :le profil du cadre, le noyau du cadre et les niveaux de mise en œuvre du cadre. Le cadre est conçu pour être flexible et peut être utilisé avec d'autres processus de gestion des risques de cybersécurité, tels que les normes ISO (Organisation internationale de normalisation), en tant que tel, il est également pertinent pour les évaluations des risques en dehors des États-Unis.

Le NIST 800-53 a été conçu pour prendre en charge la conformité aux normes fédérales américaines de traitement de l'information (FIPS) et est le prédécesseur du NIST Cybersecurity Framework (CSF). Cette publication spéciale fournit aux responsables de l'organisation des preuves de l'efficacité des contrôles mis en œuvre, des indications sur la qualité des processus de gestion des risques utilisés et des informations concernant les forces et les faiblesses des systèmes d'information.

Meilleures pratiques

Avec la commercialisation de la cybercriminalité, de nombreuses organisations passent d'une conformité pure à une stratégie beaucoup plus large d'atténuation des risques et de protection des données. La méthodologie d'évaluation des risques a toujours concerné l'ensemble de la chaîne d'approvisionnement et pas seulement les systèmes internes. Cependant, récemment, nous nous sommes davantage concentrés sur l'évaluation des risques liés à l'accès de fournisseurs tiers aux systèmes internes.

De même, la tendance BYOD (apportez votre propre appareil) a conduit à un besoin accru de se concentrer sur la sécurité des terminaux et la prise en compte de l'impact des terminaux sur le profil de risque d'une organisation. Avec la complexité supplémentaire, il vaut la peine de considérer les avantages de travailler avec un fournisseur de services de sécurité gérés (MSSP). Leurs connaissances et leur expérience approfondies peuvent aider les organisations à comprendre comment sécuriser au mieux un réseau en constante expansion.

Lors de l'élaboration d'un modèle d'évaluation des risques, il est essentiel que vous ayez le soutien de la haute direction, et ils doivent comprendre et accepter les risques inhérents à l'organisation ou avoir un plan pour les atténuer et ramener la posture de risque en conformité avec les organisations niveaux attendus.

Idéalement, le RSSI ou le DSI devrait superviser le calendrier et les conclusions de l'évaluation des risques ainsi que les plans de remédiation et fournir des mises à jour régulières au reste de la direction, mais il faut rappeler à tous les employés qu'ils partagent également la responsabilité en matière de la sécurité de l'entreprise.

Une formation devrait être fournie sur la façon de reconnaître les risques tels que les e-mails malveillants et sur la procédure à suivre s'ils soupçonnent d'en avoir identifié un. En fin de compte, les entreprises doivent reconnaître qu'il n'y a pas de sécurité parfaite, et l'objectif devrait être d'avoir le niveau de sécurité optimal pour l'organisation.

La mise en place d'un cadre de risque et la réalisation d'évaluations des risques informatiques aideront à identifier le niveau de sécurité approprié pour votre organisation. Une fois les faiblesses identifiées, elles peuvent être corrigées, assurant ainsi la sécurité de votre entreprise.

La combinaison d'une évaluation des risques et d'une évaluation de la maturité de la sécurité permet à une organisation d'élaborer une stratégie d'investissement pour une feuille de route en matière de sécurité et de démontrer le retour sur investissement approuvé pour l'entreprise.

L'auteur de ce blog est Michael Aminzade, vice-président des services mondiaux de conformité et de gestion des risques chez Trustwave


Technologie de l'Internet des objets

  1. Comment (et pourquoi) évaluer les performances de votre cloud public
  2. Qu'est-ce que la sécurité cloud et pourquoi est-elle obligatoire ?
  3. Comment l'IoT traite les menaces de sécurité dans le pétrole et le gaz
  4. Sécurité intelligente :comment protéger vos appareils domestiques intelligents contre les pirates
  5. Qu'est-ce qu'un réseau intelligent et en quoi pourrait-il aider votre entreprise ?
  6. Comment implémenter l'authentification multifacteur et pourquoi c'est important
  7. Dans quelle mesure votre approche du risque lié aux matières premières est-elle mature ?
  8. Pourquoi et comment effectuer un audit de vide
  9. Comment réparer et entretenir les roues de votre grue