{"id":1282,"date":"2020-03-03T10:00:34","date_gmt":"2020-03-03T09:00:34","guid":{"rendered":"https:\/\/blog.kryptos72.com\/?p=1282"},"modified":"2020-09-08T07:41:42","modified_gmt":"2020-09-08T05:41:42","slug":"analiza-ryzyka-moze-pomoc-twojej-organizacji","status":"publish","type":"post","link":"https:\/\/kryptos72.com\/blog\/analiza-ryzyka-moze-pomoc-twojej-organizacji\/","title":{"rendered":"W jaki spos\u00f3b analiza ryzyka mo\u017ce pom\u00f3c Twojej organizacji?"},"content":{"rendered":"

T<\/span><\/p>\n

ymczasem wielu ekspert\u00f3w ds. Bezpiecze\u0144stwa cybernetycznego zach\u0119ca „Bezpiecznik\u00f3w” do skupienia si\u0119 na zagro\u017ceniach bezpiecze\u0144stwa wewn\u0119trznego.<\/strong> W niedawnym artykule Forbes’a Michael Madon, dyrektor generalny platformy bezpiecze\u0144stwa Ataata, powiedzia\u0142: \u201eNiezamierzone zaniedbanie pracownik\u00f3w jest znacznie wi\u0119kszym problemem, ni\u017c celowe ataki organizowane przez z\u0142o\u015bliwych haker\u00f3w.\u201d<\/strong><\/p>\n

Zobacz tak\u017ce: Jak przeprowadzi\u0107 analiz\u0119 ryzyka?<\/a><\/p><\/blockquote>\n

Niezale\u017cnie od tego,<\/strong> czy zagro\u017cenie dla bezpiecze\u0144stwa korporacyjnego pochodzi z wewn\u0105trz, czy nie, podstawow\u0105 kwesti\u0105 dla dyrektor\u00f3w IT i innych mened\u017cer\u00f3w na poziomie C jest potrzeba znalezienia sposob\u00f3w identyfikowania i usuwania dziur w zabezpieczeniach przy jednoczesnym wdra\u017caniu strategii, kt\u00f3re mog\u0105 zmniejszy\u0107 ryzyko.<\/strong><\/p>\n

Jest to obszar, w kt\u00f3rym analizy mog\u0105 pom\u00f3c, szczeg\u00f3lnie przy uwzgl\u0119dnieniu du\u017cego ryzyka.<\/strong>
\nDwa najbardziej wra\u017cliwe punkty bezpiecze\u0144stwa wewn\u0119trznego dla organizacji to:
\n\u2022 zapewnienie, \u017ce uprawnienia dost\u0119pu do bezpiecze\u0144stwa dla pracownik\u00f3w s\u0105 odpowiednio ustawione, utrzymywane i monitorowane;<\/strong>
\n\u2022 zapewnienie jednolitego egzekwowania standard\u00f3w \u0142adu korporacyjnego i bezpiecze\u0144stwa w hybrydowej infrastrukturze IT<\/strong> dzia\u0142aj\u0105cej w lokalach, a tak\u017ce w chmurach publicznych i prywatnych.<\/p>\n

Po przej\u015bciu na chmur\u0119 organizacje staj\u0105 przed wi\u0119kszym ryzykiem utraty kontroli nad w\u0142asno\u015bci\u0105 intelektualn\u0105 i poufn\u0105 komunikacj\u0105 – a pracownicy mog\u0105 zaniedba\u0107 lub nawet z\u0142o\u015bliwie spowodowa\u0107 dzia\u0142ania, daj\u0105c innym dost\u0119p do danych, kt\u00f3rych nie nale\u017cy udost\u0119pnia\u0107.<\/strong> Podczas pr\u00f3by egzekwowania nowych standard\u00f3w udost\u0119pniania danych pracownicy mog\u0105 by\u0107 odporni na zmiany. Mened\u017cerowie mog\u0105 r\u00f3wnie\u017c nie chcie\u0107 regularnie sprawdza\u0107 uprawnie\u0144 dost\u0119pu pracownik\u00f3w do bezpiecze\u0144stwa.<\/strong><\/p>\n

\u0141\u0105cznie czynniki<\/strong> te, przyczyniaj\u0105 si\u0119 do niew\u0142a\u015bciwego ustawienia i utrzymania uprawnie\u0144 dost\u0119pu do danych u\u017cytkownika lub do rutynowego naruszenia. Problem nie jest techniczny, ale jest zakorzeniony w ludzkich zachowaniach i praktykach.<\/b><\/p>\n

\u201ePodeszli\u015bmy do tego dylematu dotycz\u0105cego bezpiecze\u0144stwa, opracowuj\u0105c analityk\u0119 zachowa\u0144 ludzkich (HBA)<\/strong>, kt\u00f3ra wykorzystuje wyszkolenie maszynowe do badania zachowa\u0144 u\u017cytkownik\u00f3w i adekwatno\u015bci dost\u0119pu do informacji z 360-stopniowego punktu widzenia,<\/strong> niezale\u017cnie od tego, czy u\u017cytkownik ma dost\u0119p do danych w siedzibie, czy w chmurze\u201d, powiedzia\u0142 Tom Clare, wiceprezes ds. Marketingu w firmie analitycznej Gurucul .<\/strong><\/p>\n

Analizy Gurucul uwzgl\u0119dniaj\u0105 regu\u0142y biznesowe dotycz\u0105ce dost\u0119pu do organizacji,<\/strong> a nast\u0119pnie wykorzystuj\u0105 automatyzacj\u0119 maszyn, uczenie si\u0119 i inteligencj\u0119 do monitorowania nawyk\u00f3w dost\u0119pu u\u017cytkownik\u00f3w i korzystania z informacji w siedzibie lub w chmurze. Je\u015bli wyst\u0105pi anomalia u\u017cytkowania, system generuje alert, kt\u00f3ry umo\u017cliwia firmie zareagowanie i zbadanie sprawy.<\/strong> Mo\u017ce to by\u0107 tak proste, jak rozmowa z kierownikiem dzia\u0142u i stwierdzenie, \u017ce rola pracownika i potrzeby dost\u0119pu do IT uleg\u0142y zmianie lub mo\u017ce to by\u0107 wczesny wska\u017anik naruszenia dost\u0119pu do informacji.<\/strong><\/p>\n

\u201eJest to spos\u00f3b zar\u00f3wno zarz\u0105dzania dost\u0119pem, jak i ograniczania ryzyka\u201d<\/strong> – powiedzia\u0142a Clare. \u201ePomagam IT, poniewa\u017c wci\u0105\u017c istnieje wiele funkcji IT, kt\u00f3re istniej\u0105 jako silosy,<\/strong> kt\u00f3re nie komunikuj\u0105 si\u0119 ze sob\u0105 zbyt wiele. Mo\u017ce to przyczyni\u0107 si\u0119 do nadu\u017cy\u0107 u\u017cytkownik\u00f3w\u201d.<\/p>\n

Clare ma racj\u0119.<\/strong><\/p>\n

Z jednej strony masz specjalist\u0119 ds. Bezpiecze\u0144stwa,<\/strong> kt\u00f3ry monitoruje wykrywanie wtargni\u0119cia, ale nie martwi si\u0119 zbytnio kwestiami to\u017csamo\u015bci. Po drugiej stronie korytarza mo\u017ce znajdowa\u0107 si\u0119 specjalista ds. Zarz\u0105dzania to\u017csamo\u015bci\u0105 i dost\u0119pem , kt\u00f3ry jest zaniepokojony tym, jakie dzia\u0142y i osoby uzyskuj\u0105 dost\u0119p, ale nie anga\u017cuje si\u0119 w wykrywanie z\u0142o\u015bliwego oprogramowania i w\u0142ama\u0144.<\/strong><\/p>\n

Je\u015bli organizacja korzysta ze zautomatyzowanego narz\u0119dzia,<\/strong> kt\u00f3re mo\u017ce oceni\u0107 zezwolenia na dost\u0119p do danych wed\u0142ug obszaru funkcjonalnego i \/ lub u\u017cytkownika,<\/strong> a nast\u0119pnie zg\u0142osi\u0107 wszelkie anomalie, naruszenia dost\u0119pu do informacji mo\u017cna logicznie ograniczy\u0107 – i mo\u017cna obej\u015b\u0107 awarie informacji, kt\u00f3re wyst\u0119puj\u0105, gdy dzia\u0142y IT nie komunikuj\u0105 si\u0119.<\/strong><\/p>\n

Ale to nie leczy wszystkiego…<\/p>\n

Obecnie nie ma uniwersalnego narz\u0119dzia do automatyzacji, kt\u00f3re obejmowa\u0142oby wszystkie scenariusze dost\u0119pu do IT. Na przyk\u0142ad niewiele narz\u0119dzi mo\u017ce \u015bledzi\u0107 zachowanie u\u017cytkownik\u00f3w i dost\u0119p do informacji<\/strong> w \u015brodowiskach chmurowych typu oprogramowanie jako us\u0142uga (SaaS). Na dzie\u0144 dzisiejszy zautomatyzowane narz\u0119dzia nie mog\u0105 \u015bledzi\u0107 dost\u0119pu poza granice wszystkich publicznych sieci chmurowych.<\/strong><\/p>\n

W przypadku wy\u017cszej kadry zarz\u0105dzaj\u0105cej wymagana jest mieszana strategia analityczna, kt\u00f3ra \u0142\u0105czy monitorowanie hybrydowego lokalnego dost\u0119pu<\/strong> i dost\u0119pu do chmury oraz dzielenia si\u0119 informacjami, tam gdzie jest to wykonalne, z bardziej staromodnym podej\u015bciem polegaj\u0105cym na zapewnieniu regularnego spotkania mened\u017cer\u00f3w IT i u\u017cytkownik\u00f3w ko\u0144cowych i przejrzyj uprawnienia bezpiecze\u0144stwa u\u017cytkownik\u00f3w.<\/strong><\/p>\n

Stosuj\u0105c obie techniki, ryzyko nadu\u017cycia i udost\u0119pniania informacji mo\u017ce zosta\u0107 zmniejszone.<\/strong> Kluczem jest u\u015bwiadomienie wszystkim w ca\u0142ej organizacji, jak wa\u017cne jest regularne sprawdzanie zasad i uprawnie\u0144 dost\u0119pu do informacji – i odmowa przeniesienia tej stosunkowo przyziemnej funkcji na niski priorytet, jakie mo\u017ce nie\u015b\u0107 konsekwencje.<\/strong><\/p>\n

Zapoznaj si\u0119 z narz\u0119dziem, kt\u00f3ry zosta\u0142 stworzony dla opracowania analizy ryzyka<\/a><\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

T ymczasem wielu ekspert\u00f3w ds. Bezpiecze\u0144stwa cybernetycznego zach\u0119ca „Bezpiecznik\u00f3w” do skupienia si\u0119 na zagro\u017ceniach bezpiecze\u0144stwa wewn\u0119trznego. W niedawnym artykule Forbes’a Michael Madon, dyrektor generalny platformy bezpiecze\u0144stwa Ataata, powiedzia\u0142: \u201eNiezamierzone zaniedbanie pracownik\u00f3w jest znacznie wi\u0119kszym problemem, ni\u017c celowe ataki organizowane przez z\u0142o\u015bliwych haker\u00f3w.\u201d Zobacz tak\u017ce: Jak przeprowadzi\u0107 analiz\u0119 ryzyka? Niezale\u017cnie od tego, czy zagro\u017cenie dla bezpiecze\u0144stwa […]<\/p>\n","protected":false},"author":1,"featured_media":1288,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[46],"tags":[419,2093,2094,2095],"yst_prominent_words":[383,267,2091,222,918,2088,371,2086,2090,1816,138,1971,2092,2087,127,179,384,920,2089,152],"_links":{"self":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/1282"}],"collection":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/comments?post=1282"}],"version-history":[{"count":4,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/1282\/revisions"}],"predecessor-version":[{"id":1446,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/posts\/1282\/revisions\/1446"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media\/1288"}],"wp:attachment":[{"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/media?parent=1282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/categories?post=1282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/tags?post=1282"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/kryptos72.com\/blog\/wp-json\/wp\/v2\/yst_prominent_words?post=1282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}