Řízení rizik v digitálním věku
Řízení rizik je nikdy nekončící proces. Otázka však je, kdy a případně jak často by se měl tento cyklus spouštět.
Donedávna platilo, že v okamžiku každé významné změny a pak řekněme třeba na roční bázi, protože se mění krajina hrozeb, hodnota aktiv a rovněž se může objevit i nová zranitelnost, které by mohlo být následně zneužito.
Ovšem vzhledem k turbulentním změnám, ke kterým v posledních letech dochází, se ukazuje, že je nutné rizika hodnotit prakticky neustále a okamžitě na ně reagovat zavedením vhodných bezpečnostních opatření organizační a technické povahy.
Kromě toho je naše závislost na informačních technologiích den ode dne větší a větší, stále více systémů je trvale připojeno do sítě, jsou dostupné z internetu a to i včetně donedávna zcela oddělených operačních technologií.
Podstatně se nám také zrychlil vývojový cyklus, především díky agilitě, na což někteří reagovali zavedením DevSecOps. Zvýšil se nám i počet systémů od různých dodavatelů a jejich komplexita, takže je nutné věnovat dostatečnou pozornost probíhající integraci těchto řešení (multivendor orchestration), která jsou stále méně často umístěna on-premise.
A jak nám roste počet uživatelů a stále více dat a systémů je umístěno v cloudech a přístup k nim je možný kdykoliv, odkudkoliv a z čehokoliv, potažmo i z nezabezpečených soukromých zařízení zaměstnanců z prohlížeče bez nutnosti a možnosti na nich cokoliv instalovat, je nutné vyhodnocovat i toto.
V souvislosti s výše uvedenými změnami se již před pár lety začaly objevovat nové frameworky pro řízení rizik, které na tyto změny reagují, např. Continuous Adaptive Risk and Trust Assessment, zkr. CARTA, který se skládá ze 4 fází Predict threats, Prevent attacks, Detect incidents, Respond to incidents.
V zásadě ale tyto frameworky nepřináší nic převratného, tedy kromě znovuobjevené myšlenky, že všechny komponenty informačního systémy mohou být potenciálně kompromitovány a priori jim tak nelze důvěřovat a každý požadavek na přístup k datům a službám je nutné neustále ověřovat, tedy kdo se, odkud a kam připojuje a jaká data přenáší.
Takže v zásadě volají po nulové důvěře (Zero Trust) a obraně v hloubce (defense in depth) a s tím i související analýze v hloubce (analytics in depth) a k tomu by měl pomoci nepřetržitý monitoring, analýza a korelace veškerých událostí, což ale vyžaduje sběr data ze všech komponent (visibility) a zapojení technologií jako je AI/ML, které by měly i automaticky reagovat na vzniklé incidenty.
Štítky: řízení informačních rizik
K článku “Řízení rizik v digitálním věku” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.