Obs: Följande artikel hjÀlper dig med: Varför det Àr viktigt att skapa ett gemensamt sprÄk för cyberrisk
Alla avdelningar i en organisation mÄste vara pÄ samma sida nÀr det gÀller cybersÀkerhet, och det kommer bara att hÀnda om terminologin som anvÀnds förstÄs av alla.
Saker och ting fungerar bÀttre nÀr alla Àr pÄ samma sida, och det inkluderar möjligheten att diskutera ett Àmne med ett sprÄk som ger alla samma mening.
SER: Responspolicy för sÀkerhetsincidenter (TechRepublic Premium)
Det finns ett sĂ€llskapsspel â Whisper Down the Lane, kĂ€nd pĂ„ vissa stĂ€llen som telefon eller skvaller â som illustrerar vad som hĂ€nder nĂ€r ord och deras betydelser tolkas fel. MĂ€nniskor Ă€r i en cirkel, och nĂ„gon viskar en hemlighet till personen bredvid dem. Den personen förmedlar hemligheten till personen bredvid dem och sĂ„ vidare tills den kommer tillbaka till den första individen, och â oftare Ă€n inte â hemligheten Ă€r vĂ€ldigt annorlunda.
I sÀllskapsspel Àr det roligt, men i en vÀrld av cybersÀkerhet kan det leda till katastrof att inte tolka en kommentar eller ett dokument som upphovsmannen avsett. 2020 Global Risk Study av PwC sa att nÀstan 50 % av de tillfrÄgade anser att deras risk-, internrevisions-, efterlevnads- och cybersÀkerhetsavdelningar hindras av att inte formulera en gemensam syn pÄ hot och tillhörande risker.
Men vad kan man göra för att Ă€ndra pĂ„ detta? Joseph Schorr, vice vd för strategiska allianser pĂ„ LogicGate, kom med tankar via e-post. Schorr började med att titta pĂ„ GRC- och IRM-rymden â program som ofta anvĂ€nder tekniskt sprĂ„k/vernacular, akronymer och jargong.
âNĂ€r vi arbetar med affĂ€rspartners och intressenter Ă€r det viktigt att se till att vi hittar ett gemensamt sprĂ„k, sĂ„ att alla förstĂ„r risken vi kommunicerarâ, sa Schorr. âAtt sĂ€ga att det Ă€r troligt att det kommer att ske ett dataintrĂ„ng kan till exempel betyda 70 % sannolikt för vissa, 80 % för en annan och Ă€ndĂ„ 50 % sannolikt för nĂ„gon annan.â
Teknik och processer Àr viktiga komponenter nÀr det kommer till risksprÄk. En riskmatris anvÀnds ofta vid riskbedömningar för att definiera risknivÄn genom att ta hÀnsyn till sannolikhet och konsekvensens svÄrighetsgrad. Schorr sa att riskmatriser Àr ett vÀrdefullt verktyg som anvÀnds för att kommunicera mellan avdelningar och företag. De skulle vara Ànnu mer anvÀndbara om sprÄket som anvÀnds Àr förstÄeligt för alla parter.
SER: Hur man hanterar lösenord: BÀsta metoder och sÀkerhetstips (gratis PDF) (TechRepublic)
âNĂ€r du har en matris som accepteras och anvĂ€nds i hela verksamheten, har din organisation nu en gemensam referenspunkt för resursallokering och beslutsfattande,â sa Schorr. âAlla som anvĂ€nder samma sprĂ„k visar investeringar över hela linjen och en företagsomfattande förstĂ„else för organisationens risk och hur den risken kan anvĂ€ndas för att generera en strategisk fördel.â
Skapa ett universellt risksprÄk
Vid första anblicken verkar det omöjligt att skapa ett universellt risksprÄk, och det Àr det sannolikt. Som sagt, att anstrÀnga sig och flytta nÀrmare dÀr alla delar en gemensam förstÄelse Àr en stor förbÀttring och ökar medvetenheten. Schorr erbjuder följande metoder för att hjÀlpa till att uppnÄ det.
HÄller med om a taxonomi: I denna situation Àr taxonomi den identifierings- eller namnstruktur som anvÀnds för att tydligt förstÄ riskbedömning, övervakning, ÄtgÀrdande och skapa ett gemensamt ordförrÄd.
Fördelen med att ha en taxonomi eller liknande struktur pĂ„ plats nĂ€r man samarbetar med andra avdelningar skapar en funktionell referens som möjliggör genomtĂ€nkt gruppering och aggregerad rapportering. âTaxonomi delad i hela organisationen ökar effektiviteten i rapportering och beslutsfattande,â sa Schorr. âOch standardiserad taxonomi underlĂ€ttar jĂ€mförelser mellan historiska data, tidsperioder, affĂ€rsenheter och regioner.â
UpprÀtta ett förstÄeligt betygssystem: Riskklassificeringssystemet mÄste gÄ lÀngre Àn bara lÄg, medel och hög och inkludera referenspunkter som Àr förstÄeliga för alla berörda parter.
AnvÀnd ett konsekvent företagsomfattande ramverk för riskrespons: Denna typ av ramverk kommer att styra processen för riskhantering. Schorr föreslÄr att man inkluderar mÀtvÀrden som identifierar vilka risker som Àr acceptabla och lyfter fram ÄtgÀrder som krÀvs. Det Àr ocksÄ avgörande att anvÀnda ramverket i hela företaget; att göra det möjliggör snabbare beslutsfattande och odlar en riskhanteringskultur.
Gör ramverket tillgĂ€ngligt: Alla som behöver riskhanteringsinformation bör ha enkel tillgĂ„ng till den. âRiskhanteringssystem/processer med samma taxonomi (risksprĂ„k) sĂ€kerstĂ€ller lĂ€mplig, systematisk anvĂ€ndning av data som samlas in över hela företaget,â sa Schorr. âTeknik som integrerar och standardiserar data över regioner/affĂ€rsenheter driver effektiv resursallokering, vilket möjliggör bĂ€ttre informerade beslut.â
FĂ„ inköp frĂ„n mĂ€nniskor pĂ„ olika nivĂ„er i en organisation: Detta Ă€r förmodligen den viktigaste praxisen för gĂ€nget, sĂ€rskilt att fĂ„ buy-in frĂ„n den högsta ledningen. âEfter att det Ă€ntligen fanns tillrĂ€ckligt med intrĂ„ng pĂ„ hög nivĂ„, Facebook-hack och attacker pĂ„ POS-system, blev sĂ€kerhet och risk Ă€ntligen ett problem pĂ„ styrelsenivĂ„â, sa Schorr.
SER: Ransomware-attack: Varför ett litet företag betalade 150 000 $ lösen (TechRepublic)
Han föreslog ocksĂ„ att man skulle hitta en mĂ€stare â nĂ„gon intern i företaget, möjligen en sĂ€kerhetsarkitekt eller risk- och efterlevnadsspecialist â som kommer att lyfta diskussionen och prata mer om verksamhetens begrĂ€nsningar och mĂ„l.
Fördelar med ett gemensamt risksprÄk
Schorr sa att han Àr övertygad om att det Àr i en organisations bÀsta intresse att införliva standarddefinitioner och översÀttningsverktyg i en riskhanteringsplattform (GRC eller IRM).
Standarddefinitioner och översÀttningsverktyg:
- TillÄt aggregering av individuella risker i teman
- Ge konsoliderade riskpoÀng frÄn hela organisationen, vilket innebÀr ytterligare datainmatning i organisationens processer
- Skapa ett delat datalager som kan anvÀndas för att spÄra trender, förutsÀga nya möjligheter och identifiera fokusomrÄden
Att anvĂ€nda terminologi som alla förstĂ„r Ă€r inte nytt och Ă€r inte raketvetenskap. Vad som Ă€r nytt Ă€r att anvĂ€nda detta koncept för att hantera risker med avseende pĂ„ cybersĂ€kerhet â ett komplext och snabbt förĂ€nderligt omrĂ„de. Det kanske inte Ă€r perfekt men att flytta fĂ€ltet till dĂ€r alla Ă€r pĂ„ samma sida verkar vara ett bra stĂ€lle att börja.