Zarządzanie ryzykiem w kontekście NIS 2

Kontekst i znaczenie zarządzania ryzykiem

• NIS 2 definiuje konkretne wymogi w ramach zarządzania ryzykiem, polityk analizy ryzyka czy zarządzania kryzysowego.
• Ponadto jednym z wyzwań zespołów bezpieczeństwa jest przejście z reaktywnego podejścia do proaktywnego działania (co potwierdza popularyzacja programów jak CTEM).
• Narzędzia klasy IT GRC oferują zdolności do dynamicznej analizy i zarządzania ryzykiem czy zarządzania kryzysowego.
• Dzięki temu zespołu ds. cyberbezpieczeństwa mogą efektywnie identyfikować kluczowe ryzyka przed ich materializacją. 

Analiza ryzyka w narzędziach klasy IT GRC

Narzędzia klasy IT GRC mogą okazać się niezwykle pomocne w identyfikacji i szacowania ryzyk. Wspomniane narzędzia identyfikują profil ryzyk poszczególnych zasobów i same przypisują indywidualne poziomy ryzyk. 

Każde indywidualne ryzyko jest liczone na podstawie wybranej formuły dostawcy narzędzi IT GRC – tak przykładowo może wyglądać formuła do szacowania ryzyka:

• Poziom ryzyka = krytyczność wybranego zasobu x prawdopodobieństwa przełamania zabezpieczeń

Wynik osiągnięty w narzędziach IT GRC pozwala zakwalifikować je do odpowiedniej grupy ryzyk spośród kilku poziomów.

Przykład analizy ryzyka w rozwiązaniu SecureVisio

Jak przykładowo wygląda szacowanie ryzyka i krytyczności w narzędziach IT GRC?

Proces wyznaczania prawdopodobieństwa wystąpienia zagrożenia może wyglądać w następujący sposób:

• Określenie zagrożeń, na jaki narażony jest zasób oraz z jakich kierunków (stref bezpieczeństwa) mogą pochodzić zagrożenia
• Ustalenie, jakie zabezpieczenia lokalne posiada zasób oraz jakie zabezpieczenia sieciowe mają urządzenia na trasie pomiędzy źródłami zagrożeń a zasobem
• Sprawdzenia, czy występują szczególne warunki zmieniające listę zagrożeń lub poziom prawdopodobieństwa wystąpienia określonego zagrożenia

Z kolei szacowanie krytyczności zasobu może odbywać się poprzez analizę konsekwencji naruszenia bezpieczeństwa danych, wagi powiązanych procesów biznesowych oraz ogólnej roli zasobu w ramach organizacji. Do wybranych czynników wpływających na finalny wynik należą:

• Poufność danych powiązanych z zasobem
• Sposób użytkowania danych 
• Powiązanie zasobu z krytycznym procesem biznesowym
• Ryzyko reputacyjne
• Pozostałe

Po określeniu ryzyk, systemy IT GRC wspierają zespoły bezpieczeństwa w automatycznym zdefiniowaniu środków (np. narzędzi z zakresu cyberbezpieczeństwa), które umożliwią ograniczenie konsekwencji ryzyka.

Wdrożenie strategii do zarządzania ryzykiem

Po zdefiniowaniu poziomu ryzyka dla konkretnych zasobów i stworzeniu matrycy ryzyka zespoły przechodzą do wybrania samej strategii reakcji. Wyróżniamy 4 strategie reakcji:

• Akceptacja ryzyka (i aktywne śledzenie ryzyka)
• Ograniczenie ryzyka przez identyfikację i wdrożenie dodatkowych środków umożliwiających ograniczenie ryzyka
• Zapobieganie ryzyka czyli zmiana procesowa lub zasobowa, która umożliwia niemal pełne wyeliminowanie ryzyka 
• Transfer ryzyka

Po identyfikacji konieczności ograniczenia ryzyka organizacje wdrożają odpowiednie procesy i narzędzia. W zależności od konkretnych przypadków możemy mówić m.in. o:

• Regularnej instalacji aktualizacji 
• Inwestycji w konkretne rozwiązanie
• Wykorzystaniu uwierzytelniania wieloskładnikowego
• Przeprowadzaniu regularnych szkoleń pracowników
• Aktualizacji planu reagowania na incydenty 
• Ograniczeniu i kontroli dostępu do systemów
• Poprawie skuteczności planu ciągłości działania
• Poprawie skuteczności funkcji bezpieczeństwa sprzętowego
• Zabezpieczeniu kont, w tym kont uprzywilejowanych
• Pozostałych zmianach

Jeśli chciałbyś poznać możliwości technologii do analizy ryzyka czy innych rozwiązań wspierających spełnienie wymogów NIS 2, zapraszamy do kontaktu.