Категории
Проблемы которые решает
Отсутствие политики информационной безопасности
Утечка конфиденциальной информации или ее риск
Отсутствие отслеживания ИТ-процессов компании
Отсутствие или децентрализация управления ИТ-инцидентами
Угрозы хакерских атак
Риск потери и повреждения данных
Недостаточное управление рисками
Ценности
Безопасность и непрерывность бизнеса
Соответствие требованиям
Управление рисками
THE CHERTOFF GROUP Cyber Security Risk Management
Управляемые услуги по стратегическому планированию снижения рисков.
О продукте
Описание
Кибер-эффективность
В последнее десятилетие наблюдалось значительное увеличение киберрегулирования и инвестиций, но киберриски только выросли. 2017 год стал одним из самых дорогостоящих и разрушительных кибератак в истории. Теперь руководители всех секторов спрашивают — как мы узнаем, есть ли у нас эффективная программа кибербезопасности?The Chertoff Group Cyber Security Risk Management
- Применять анализ защиты, основанный на нарушении, для оценки технологических сред с точки зрения противника
- Подход определяет приоритеты профилактических мер, основанных на риске.
- С учетом изменяющейся природы неотъемлемого риска, связанного с надзором за программами, методология также учитывает риски реализации, поэтому организации избегают путаницы при разработке своих программ.
- Убедитесь, что программы учитывают риск от сторонних вендоров
- Важность тестирования и постоянного мониторинга мер по смягчению для демонстрации эффективности безопасности
Для кого?
- Организации, нуждающиеся в комплексной оценке программы безопасности с технической проверкой
- Руководители, которым нужна быстрая оценка программы или критический отзыв третьей стороны
- Организации, нуждающиеся в комплексной программной сборке, рассчитанной на эффективность
Как?
Подход The Chertoff Group основан на убеждении, что эффективная безопасность - это не столько конечное состояние, сколько непрерывный процесс, основанный на цикле действий по оценке, смягчению и мониторингу рисков безопасности. Команда постоянно работает над тем, чтобы учесть идеи, которые извлекает из клиентских проектов, обсуждений с заинтересованными сторонами правительства и взаимодействия с поставщиками решений. В результате они предлагают клиентам дифференцированный подход к достижению ключевых стратегических целей.Оценка рисков
Мандаты по соблюдению являются «необходимыми, но недостаточными» - планирование должно отражать изменяющиеся факторы бизнеса, технологий, клиентов, регуляторов и угроз.Контрмеры должны быть согласованы с разумно предсказуемыми тактиками, методами и процедурами угрозы.
Снижение риска
Ограничить быстрое распространение и позволить операциям безопасности вовремя выявлять, сдерживать и восстанавливать системы после компрометации. Предвидеть риски реализации.Мониторинг рисков
Используйте реальные возможности для измерения прогресса программы с помощью нескольких линз (контрмеры, основанные на риске, эксплуатационные показатели, тестирование и т. Д.).Решения
Preliminary Risk Assessment Оценка управления: обзор основных функций управления (надзор, управление рисками, обучение, риски третьих сторон, политики) Оценка контрмер: Сосредоточьтесь на большинстве мер по снижению риска. Тестирование и проверка: проанализируйте результаты от внешнего поставщика оценки рисков в качестве опции Cyber Risk Management Program Build Оценка управления: ОЦЕНКА ГЛУБОКОГО РИСКА +- Документ о стратегии безопасности
- Обзор политик / стандартов библиотеки
- Руководство по планированию реализации
- Планирование безопасности, внедрение и отчетность, основанные на уроках, извлеченных из тестирования, управляемых сервисов, реагирования на инциденты и учений
- Оптимизация инструментов безопасности
- Управляемые услуги как опция
- Службы реагирования на инциденты в качестве опции
упражнения
- Метрики программы
- Постоянное измерение и интерпретация
- Оценка неотъемлемых факторов риска
- Учет ключевых рисков реализации
- Оценка полного контроля сопоставлена с авторитетной структурой
- Анализ путей TTP / угроз на основе модели MITER ATT & CK
- Выводы из технических испытаний
- Оценка уязвимости
- Внутреннее и внешнее тестирование проникновением
- Анализ оптимизации инструмента