هناك الكثير من الغموض عندما يتعلق الأمر بتقييم مخاطر الأمن السيبراني ، بدءًا من احتمال حدوث خرق ، وانتهاءً بتقدير التأثير. من المفيد تقسيم هذه العناصر ثم العمل على تحديد نطاقات كل منها ببيانات خاصة بعملك.

عند تقييم مخاطر الأمن السيبراني ، نتبع منهجية مثبتة تبدأ بتقدير احتمالية تعرض المنظمة لخرق أو هجوم ناجح. يتطلب الاختراق الناجح وجود ثغرة أمنية يمكن أن يجدها التهديد (أو الفاعل السيئ) ويستغلها.

ومع ذلك ، من المهم أيضًا تقدير قيمة الأصل الأساسي الذي تتم حمايته. ما هي تكلفة هذا الأصل المعرض للخطر؟ وبالتالي ، هل قيمة الاستثمارات الإضافية المطلوبة في الدفاعات الإلكترونية مبررة؟

فيما يلي بعض المفاهيم الأساسية التي تمت تغطيتها أثناء تقييم مخاطر الأمن السيبراني:

نقاط الضعف في البرامج هي نقاط الضعف المتأصلة في القاعدة/المنصة التكنولوجية الذي يجعلها عرضة لهجوم ناجح.

تتزايد ثغرات/ نقاط ضعف البرامج بمعدل ينذر بالخطر لأننا ننتج المزيد من البرامج ونعيد استخدام المكونات أو الخدمات التي تحتوي على ثغرات غير معروفة. يوجد اليوم أكبر 10 موردي برامج مستقلين (ISVs) لديهم أكثر من 10000 نقطة ضعف حرجة نشطة (المستوى 8-10) ويستمرون في النمو كل عام مع 1600 مستوى آخر 8-10 تم اكتشافه العام الماضي.

يحدد مشروع أمان تطبيق الويب المفتوح (أواسب) البارامترات التالية لتقدير التعرض للضعف:

• سهولة الاكتشاف: ما مدى سهولة اكتشاف هذه المجموعة من الجهات الفاعلة مصدر التهديد لهذه الثغرة الأمنية؟
• سهولة الاستغلال: ما مدى سهولة استغلال هذه المجموعة من الجهات الفاعلة مصدر التهديد لهذه الثغرة الأمنية؟
• الوعي: ما مدى معرفة هذه المجموعة من الجهات الفاعلة مصدر التهديد لهذه الثغرة الأمنية؟
• كشف التسلل: ما مدى احتمالية اكتشاف أي استغلال لأي ثغرة أمنية؟

يعتبر موقف المنظمة فيما يتعلق بالامتثال وكذلك عواقب عدم الامتثال بعدًا إضافيًا يجب مراعاته عند تقييم المخاطر. أصبحت لوائح الأمن السيبراني أكثر صرامة ، ومع ذلك ، لا يزال هناك نقاش حول مستوى الامتثال الذي يجب على المنظمات الالتزام به والذي يضيف خطرًا إضافيًا من الدعاوى القضائية المحتملة في حالة حدوث خرق.

عند النظر إليها على حدة ، يمكن اعتبار حوكمة الأمن السيبراني والمخاطر والامتثال وظائف منفصلة ، ومع ذلك ، عند اتخاذ نظرة شاملة لهذه المكونات الحاسمة ، يصبح الترابط بينها واضحًا.

عندما يؤثر تهديد على القاعدة/المنصة التكنولوجية ، أو عندما يتم استغلال ثغرة أمنية ، أو عندما تتحقق نتيجة لعدم الامتثال ، يحدث هذا عندما تتجسد المخاطر وتتأثر الأعمال.

إذا كانت شركتك تتبنى التكنولوجيا في سلسلة القيمة الخاصة بها ، فيمكن أن تقترب قيمة هذه الأصول من قيمة الشركة بأكملها. تزداد تكلفة وقت التعطل أو خرق البيانات كل يوم مع توسيع وجودك الرقمي مع عملائك وشركائك وموظفيك. التكاليف الأساسية للخرق هي:

• الضرر المالي
• الضرر بالسمعة
• خرق الخصوصية

هذه بعض الأرقام القياسية في الصناعة لمساعدتك على تقدير المخاطر بناءً على متوسط تكلفة الخرق.

• تتعرض شركة واحدة على الأقل من كل ثلاث شركات لحادث أمني كبير كل عام.
• بالنسبة للسوق المتوسط ، يبلغ متوسط تكلفة الاختراق حوالي 400 دولار إلى 700 دولار لكل نقطة نهاية أو 141 دولار لكل سجل عميل.
• بالنسبة للشركات الأكبر حجمًا ، من المقدر أن تبلغ تكلفة الخرق حوالي 4 ملايين دولار أمريكي والتي من المقدر أيضًا أن تزيد بنسبة 10٪ على أساس سنوي.

ولكن كيف يمكنك توسيع نطاق نظام الحوكمة والمخاطر والامتثال والتأكد من دمجه في منظمتك؟