Vulnerabilități și riscuri și cum poate un departament IT să îmbunătățească securitatea
O breșă de securitate afectează reputația și poate costa destul de mult companiile, dar cunoașterea diferenței dintre vulnerabilități și riscuri ajută la îmbunătățirea securității.
Combinarea termenilor de securitate evocă temeri dar nu ajută angajații să înțeleagă mai bine diferența dintre vulnerabilități și actuale riscuri, conform csoonline.com.
Donald Freese, din cadrul FBI, și Brandon Dunlap, director executiv la Brightfly, au prezentat diferențele dintre vulnerabilități și riscuri în cadrul unei conferințe.
Guy Bejerano, CEO și cofondator al SafeBreach, a spus că o vulnerabilitate este o slăbiciune a unui sistem sau a unei aplicații care poate fi exploatată fără a avea informații despre impact.
Un risc ia în considerare mai mult decât vulnerabilități cunoscute, dar orice acțiune care ar avea un impact. Un exemplu de risc este trimiterea unui e-mail cu informații despre cardul de credit. De asemenea, riscurile sunt separate de vulnerabilități, putând exista chiar și dacă nu se cunoaște nicio vulnerabilitate ca în cazul unui e-mail de phishing sau o configurare greșită.
Freese și Dunlap au spus că transformarea fiecărei amenințări în risc face ca mesajul sa fie neclar. Freese spune că emoțiile și frica trebuie eliminate din conversație.
Frica face dificilă identificarea deversarului real și a scenariilor de risc reale. Administrarea riscului înseamnă deosebirea dintre probabilitate și posibilitate.
Dunlap spune că cunoașterea rețelei duce la descoperirea listei cu adevăratele riscuri. O altă parte importantă a administrării riscului este și verificarea faptului că se vorbește despre risc în companie. Este important ca personalul care se ocupă de securitatea cibernetică să poată vorbi despre afacere într-un fel în care să poată comunica adevăratele riscuri într-un mod care permite construirea unei mai bune securități.
Conform informationsecuritybuzz.com, există o listă cu cinci metode prin care departamentele de securitate IT pot îmbunătății securitatea datelor:
1. Pregătește temeinic angajații – Anagajații pot reprezenta un risc substanțial pentru securitatea datelor. Mulți angajați s-ar putea să nu conștientizeze că acțiunile lor sunt riscante, așa că pregătirea este esențială pentru a clarifica acest lucru.
2. Este la curent cu cele mai noi amenințări de securitate – Profesioniștii din securitatea IT știu că o parte importantă din administrarea riscului implică nu doar identificarea amenințărilor, ci și clasificarea lor și realizarea unei previziuni referitoare la cum ar putea să se producă și să afecteze compania.
3. Rămâne foarte eficient fără a pierde timp din cauza resurselor care nu sunt adecvate și probabil nu vor fi pregătiți să facă foarte repede munca care necesită cea mai bună calitate.
4. Departamentul IT observă modul de lucru al angajaților și ia măsurile necesare – Cele mai potrivite îmbunătățiri apar atunci când departamentul IT examinează modul în care angajații preferă să lucreze și apoi se adaptează pe cât posibil pentru a păstra organizația în siguranță.
5. Departamentul IT se asigură că angajații înțeleg cu adevărat care este rolul lor în reducerea problemelor – simpla pregătire a angajaților și presupunere că aceștia au înțeles totul nu este suficientă. Departamentul IT trebuie să se asigure că toți angajații știu că breșele de securitate sunt amenințări reale ce necesită o pregătire permanentă pentru a vedea nivelul de înțelegere și pentru a-i încuraja să pună în practică ce au învățat.
