3 trin til at udføre en datasikkerhedsrisikovurdering med succes

Adskillige overholdelsesmandater, herunder GDPR, fastslår, at datasikkerhedsrisikovurderinger bør være en fast del af din it-sikkerhedsstrategi. Disse mandater er dog ofte meget vage med hensyn til, hvad de mener med en risikovurdering. For eksempel siger GDPR, at organisationer skal tage en "risikobaseret tilgang" til at beskytte EU-borgeres data, men går ikke i detaljer om, hvad det kan betyde.

Som følge heraf er it-teams ofte opmærksomme på, at regelmæssige it-risikovurderinger er en nødvendig del af it-sikkerheden, men de ved ikke, hvordan de skal gribe dem an på en måde, der garanterer overholdelse. Det er bedst ikke at tænke på risikovurderinger som et nødvendigt skridt i overholdelse, og mere som en grundlæggende del af at sikre, at dine data er sikre. Risikovurderinger hjælper dig med at forstå, hvor dine følsomme data er, hvem der har adgang til dem, og hvilke ændringer der sker omkring dem.

En vellykket datasikkerhedsrisikovurdering kan normalt opdeles i tre trin:

  1. Identificer, hvilke risici der er for dine kritiske systemer og følsomme data
  2. Identificer og organiser dine data efter vægten af den risiko, der er forbundet med dem
  3. Træf handling for at mindske risiciene

På mange måder hænger disse tre trin sammen, men jeg har brudt dem op, så vi lettere kan tackle dem.

Trin 1. Identificer risiciene for kritiske systemer og data

Begrebet "risiko" er vanskeligt at definere, da det vil variere afhængigt af systemets kritikalitet eller arten af de involverede data. Der er adskillige faktorer, der indgår i beregningen af risiko, herunder hvilke trusler du står over for, hvor sårbare dine systemer er over for den trussel, og hvor vigtige de pågældende data er.

1.1 Identificer trusler

Den første ting at gøre er at identificere de trusler, du står over for. En trussel kan defineres som alt, der ville skade din organisation, lige fra et jordskælv til en fuldstændig nedlukning af systemet. Trusler kan antage mange former, så det er vigtigt at tage sig god tid og gennemgå alle muligheder. Glem ikke også at tage hensyn til truslen indefra, da menneskelige fejl, utilsigtet misbrug og ondsindede insidere står for en drastisk høj andel af alle sikkerhedsbrud.

1.2 Vurder sårbarheder

Dernæst, hvor sårbar er du over for de trusler, du lige har skitseret? Sårbarheder er svagheder, som en trussel kan bruge til at bryde dine systemer og data. Sårbarheder kan opdages gennem audits, testsystemer og andre anmeldelser. Hvor ofte patcher og opdaterer du software i hele virksomheden? Er dine serverrum let tilgængelige? Hvor ofte ændres adgangskoder? Hvor ofte får medarbejdere træning i sikkerhedsbevidsthed? Det er den slags spørgsmål, du bør stille.

Trin 2. Identificer og organiser data baseret på risiko

En af de vigtigste dele af en it-risikovurdering er at kunne forstå, hvor dine mest følsomme data befinder sig i dit it-miljø, og hvilke filer og mapper der indeholder de mest kritiske informationer. Hvis en fil indeholder et navn, tæller den som personligt identificerbar information, men i sig selv er den ubrugelig for en angriber. Men hvis den samme fil indeholder en fuld adresse og kreditkortoplysninger, er den potentielle risiko for, at den fil bliver brudt pludselig steget dramatisk.

Ved at bruge en tredjeparts opdagelses- og klassificeringsløsning (såsom Lepide Data Security Platform) eller Discovery & Classification-funktionaliteten i File Server Resource Manager (FSRM), kan du opdage, tagge og klassificere dine ustrukturerede data for at finde ud af, hvor de befinder sig, og hvilke filer og mapper der er mest kritiske.

For hvert aktiv, du har identificeret som værdifuldt, skal du indsamle oplysninger om, hvordan du opbevarer/håndterer/sikrer det for at give et bedre billede af de involverede risici (f.eks. hvor opbevares det? Hvem har adgang til det? Hvad er der politikker for at sikre det? osv.). Bestil disse aktiver fra mest kritiske til mindst kritiske afhængigt af de tilknyttede omkostninger ved at miste dem.

Trin 3. Tag handling for at mindske risici

Når du har identificeret, hvilke data der er i fare, og hvad disse risici er, skal du se på, hvilke kontroller du i øjeblikket har på plads for at tilslutte sårbarheder. Kontroller kan være både fysiske og virtuelle, fra sikkerhedsvagter til firewalls og revisionsløsninger.

Når du har alle disse oplysninger, bør du være et godt sted at vurdere, hvad sandsynligheden for og virkningen af en sikkerhedstrussel kan have på din organisation. Det vil for det meste være et skøn, men det vil blive informeret om alt det tidligere arbejde, du har udført.

Ved at bruge din vurdering af sandsynligheden for trusler kan du foreslå, hvilke kontroller du skal have på plads som følge heraf. Ved at dokumentere alle trin og resultater af din datasikkerhedsrisikovurdering kan du opbygge et billede af, hvilke handlinger hver afdeling skal tage for at afbøde trusler. Prioriter disse handlinger i henhold til deres kritikalitet, og du bør være i stand til at se en køreplan foran dig mod bedre it-sikkerhed og compliance.