A hatékony kiberbiztonsági stratégia nem csupán a technikai felkészültségről szól, hanem stratégiai sikertényező, amely befolyásolja az összes érdekelt féllel való kapcsolatot, és meghatározó része a szervezet hatékonyságának. Az átfogó kockázatvállalási készségbe ágyazott integrált kockázati és ellenőrzési keretrendszerre nemcsak a kiberfenyegetések hatékony mérsékléséhez, hanem a versenyelőny megteremtéséhez is szükség van.

A Horváth csoport egyik legnépszerűbb megoldásaként igény esetén átfogó kiberbiztonsági érettségi értékelést (Cyber Security Maturity Assessment, CSMA) végzünk, amely hasznos eszköz a kiberbiztonsági stratégia és program kialakításához, optimalizálásához. A felmérés segít megérteni a vállalat kiberbiztonsági kockázatait, kitettségét és meghatározza, hogy hol van a legnagyobb szükség a beavatkozásra. Szorosan együttműködünk vállalatának csapataival, hogy holisztikusan felmérjük a jelenlegi képességeket az irányítástól és a kulturális szempontoktól kezdve az alkalmazottak készségein át egészen a kiberbiztonsági infrastruktúráig. A CSMA egy az Ön válalatára adaptálható értékelés, amely a a kiberbiztonsági keretrendszerek legjobb gyakorlatait alkalmazza, hogy megválaszolja a vállalat meglévő kiberbiztonsági stratégiáját és programját érintő legsürgetőbb kérdéseket.

Ilyen kérdések lehetnek:

• Hol tart az Ön vállalatának jelenlegi biztonsági stratégiája és szervezete?
• Milyen elemeket kell figyelembe venni a kiberbiztonsági stratégia és szervezet részeként?
• Mely területeken van szükség képzésre és a tudatosság növelésére?
• Melyek vállalatának legnagyobb kiberbiztonsági kockázatai?
• Hogyan tudja javítani irányítását, folyamatait és ellenőrzéseit, hogy ezeket megfelelően mérsékelje?
• Mire összpontosítják erőfeszítéseiket versenytársai, és hol áll ehhez képest az Ön vállalata?

A CSMA célja, hogy áttekintést nyújtson a vállalat jelenlegi kiberbiztonsági irányításáról és működéséről, a meglévő intézkedések objektív felülvizsgálatáról, valamint útmutatót adjon a stratégia kialakításához és a szükséges akciók prioritási sorrendjének meghatározásához. A felmérés több, mint egy hagyományos, technológiai elemzés, és túlmutat a hagyományos kiberbiztonsági érettségi értékeléseken: átfogó képet ad az irányításról, a folyamatokról, az emberekről és a kiberbiztonsági infrastruktúráról. Ez segít szervezetének a stratégiai és taktikai irányok kidolgozásában, hogy továbbfejlessze és erősítse biztonsági programját. Mi több, kiberbiztonsági érettségi értékelésünk lehetővé teszi, hogy vállalata megfeleljen az iparági compliance előírásoknak (pl. ISO 27001, TISAX, MNB előírások), mivel biztonsági programját az értékelésünkben javasolt legjobb gyakorlatokhoz igazítja.

Egyedi átvizsgálást végzünk a szervezet kulcsfontosságú érintettjeinél a vezetői szinttől az operatív szintig. Ezzel egyidejűleg elemezzük a belső irányítás, az irányelvek és eljárások szervezeti hatékonyságát és érettségét, továbbá javaslatot teszünk az egyes ellenőrzési területekre vonatkozó legjobb működési gyakorlatokra. Kiberbiztonsági érettségi értékelésünket úgy lehet testre szabni, hogy az igazodjon több különböző elismert kiberbiztonsági keretrendszerhez, az Ön szervezetének céljai, ágazata és érettségi szintje alapján. A CSMA egyesíti a különböző iparági követelményeknek, valamint a következő keretrendszereknek és kontrollkészleteknek való megfelelést:

Keretrendszerek:

• NIST Kiberbiztonsági Keretrendszer (NIST CSF)
• ISO/IEC 27001:2013 (ISO 27001)

Biztonsági ellenőrzési célok és készletek:

• NIST Special Publication 800-171 (NIST 800-171)
• ISO/IEC 27002:2013 (ISO 27002)
• CIS-18: CIS kritikus biztonsági ellenőrzések (CIS Controls)
• TISAX

Ezen ellenőrzési keretrendszerek és készletek mindegyike összehangolt és úgy lett kialakítva, hogy olyan struktúrát biztosítson, amellyel a biztonsági program hatékonysága és érettsége mérhető - mind a mai, mind a jövőbeli követelményeknek megfelelően.

Kiberbiztonsági érettségi értékelésünk segítséget ad a jelenlegi irányítás, folyamatok és sebezhetőségek megértéséhez, a javítandó területek azonosításához és rangsorolásához, valamint a vállalati és működési megfelelés bizonyításához. Az információs kockázatokat üzleti előnnyé alakítja. Segít az üzleti célok támogatásában és elérésében, a kockázatok kezelésében, a bizalom kiépítésében és a teljesítmény mérésében azáltal, hogy felvázolja azokat a kiberképességeket, amelyekre a vezetésnek összpontosítania kell.

Kiberbiztonsági érettségi értékelésünk támogatja Önt abban, hogy ezeket a képességeket operatív, az üzleti tevékenységet lehetővé tevő funkcióvá alakítsa, és többek között a következő előnyökkel jár:

Kiberbiztonsági érettségi értékelésünk eredményei segítenek Önnek összehasonlítani vállalata kiberbiztonsági érettségét az Ön kockázatvállalási hajlandóságával és az iparági versenytársakkal a kiválasztott kritériumok alapján. Az érettségi értékelés eredményei grafikonon megjeleníthetők, hogy bemutassák a legnagyobb potenciális fejlesztési területeket. Az alábbi példában a vállalat nagymértékben ki van téve külső felhőszolgáltatóknak. Nem áll rendelkezésre dedikált külső kockázatkezelési csapat, amely szabványosított kockázatértékeléseket (kezdeti és folyamatos) végez, és a külső szolgáltatókat sem kategorizálják úgy, hogy a biztonsági értékelést és követelményeket az egyéni kockázati pontszámokhoz adaptálják.

Napjaink digitálisan összekapcsolt üzleti világa növeli a kibertámadások kockázatát, amelyek súlyos pénzügyi, jogi és hírnévbeli károkat okozhatnak vállalatának. Ezért elengedhetetlen, hogy alaposabban megvizsgálja kiberbiztonsági stratégiáját.

Holisztikus megközelítésünk áttekintést nyújt vállalatának kiberbiztonsági erősségeiről és gyengeségeiről, és összehasonlítást tesz az Önök számára releváns szervezetekkel az iparágon belül. Segít abban, hogy vállalatának kiberbiztonsági stratégiáját és programját az iparágának, kockázati profiljának és kockázatvállalási hajlandóságának, valamint a folyamatosan változó környezetnek megfelelően alakítsa ki.

Eredeti cikk: Balmer, D. / Müllerschön, D. / Magagna, D.

A témával kapcsolatban Magyarországon forduljon Tanács Zoltánhoz, az IFUA Horváth partneréhez.