ptarZH-CNenfrdeitjarues

TI Safe Newsは、産業保護をテーマにしたシリーズを紹介しています

この商品を評価する
(1投票)
月曜日、29 6月2020 12:29

最初のエピソード:サイバーリスクとは何か、会社でそれらを識別する方法を見つける

プレゼンテーションリスクフィルター

過去数か月の間に、テレワーキングの採用を加速したcovid-19のパンデミックの副作用として、サイバー攻撃の数、データの盗難、およびこれらの侵入から生じる問題を軽減するために組織が犯した金額が増加しています。 物理的世界とデジタル世界を今までにないほどユビキタスなテクノロジーで結びつけることにより、個々の攻撃が重要なビジネスプロセスと運用プロセスを破壊する新たな可能性があります。

予防は治療よりもはるかに効果的な治療法です。 しかし、どのようにして業界の資産を適切に保護しますか? TI SafeのCTOであるThiago Branquinhoは、サイバーセキュリティは個別に見られるべきではなく、統制の継続的な改善のプロセスとして理解されるべきであると説明しています。 Thiago氏によると、ユーザーの意識を高め、ネットワークセキュリティを確立することから、厳格なアクセス制御で重要なデータやシステムを保護することまで、その慣行はさまざまです。

CTOを評価する際、これらのプラクティスの実装においてより良い費用便益比を得るには、最初のステップは、非常に明確に定義された範囲でリスク分析を実行することです。 「産業システムを考えると、アプローチはコントロールセンターのみに焦点を当てた分析から、生産プロセス全体をカバーする最も複雑なものまで多岐にわたります。 次のステップでは、評価する資産をリストします。 コンピュータ、PLC、ネットワーク機器、サーバー、さらには人々がリストを作成します。 これらの資産を取り巻く脅威の種類、それらの弱点、およびインシデントが発生した場合の運用への影響をリストアップする必要があります」と彼は説明します。

チアゴは、たとえば、人々は次のようなソーシャルエンジニアリング攻撃を受けやすいと説明しています フィッシング、プリテキスト 等 古いオペレーティングシステムを搭載したサーバーは、 ハッキング インターネットからダウンロード。

したがって、リスクは、資産の脆弱性を悪用できる一連の脅威で構成されています。 このリスクのレベルは、発生の確率と引き起こされる影響によって測定する必要があります。 リスクが理解されると、統制の実施はより客観的になります。

コントロールを決定する別のアプローチは、コンプライアンスを検証することです(コンプライアンス)、つまり、分析された会社が採用した基準と基準の採用の程度。 「ISO 27001規格は、ICT環境や産業オートメーション環境のISA / IEC 62443などで広く使用されています」とThiago氏は言います。

TI Safeは、静的検証と動的検証を組み合わせたハイブリッド評価アプローチを採用しています。 静的プロセスでは、TI Safeのスペシャリストがリスクの側面を観察し、 コンプライアンス その場での評価とインタビューに基づいています。 動的では、ネットワーク常駐の脅威と資産の脆弱性は、パッシブモニタリングツールを通じて検出されます。 最後に、XNUMXつの分析がマージされます。 チアゴによれば、この結果に基づいて、リスク管理計画が実行されます。これは、基準の順守に向けられ、各企業の主要な保護ニーズに基づいている必要があります。

TIセーフニュースでは、次の版で、効果的なリスク管理の手順について詳しく説明します。監視機能と対応機能を改善する方法、リスク防止における人々のトレーニングの役割などです。

サイバーリスクを特定する方法の詳細については、メールでお問い合わせください このメールアドレスはスパムボットから保護されています。 ご覧になるにはJavaScriptを有効にする必要があります。

保養地 30 最終更新日は火曜日、30 6月2020 16:00

著作権©2007 - 2020 - ITセーフ情報セキュリティ - すべての権利予約。