By Mehran Hematyar

GİRİŞ

Kibertəhlükəsizlikdə risklərin idarə edilməsinə müasir yanaşmalar riskləri effektiv şəkildə müəyyən etmək, qiymətləndirmək, azaltmaq və monitorinq etmək üçün proaktiv və reaktiv strategiyaların birləşməsini əhatə edir. Kibertəhlükəsizlik riskinin idarə edilməsi təşkilatınızın kibertəhlükəsizlik təhdidlərinin müəyyən edilməsi, təhlili, qiymətləndirilməsi və aradan qaldırılması üçün davam edən bir prosesdir.

Kibertəhlükəsizlik riskinin idarə edilməsi nədir?

Kibertəhlükəsizlik risklərinin idarə edilməsi təhdidləri prioritetləşdirmək üçün strateji yanaşmadır. Təşkilatlar ən kritik təhdidlərin vaxtında idarə olunmasını təmin etmək üçün kibertəhlükəsizlik riskinin idarə edilməsini həyata keçirir. Bu yanaşma hər bir təhlükənin yaratdığı potensial təsir əsasında təhdidləri müəyyən etməyə, təhlil etməyə, qiymətləndirməyə və həll etməyə kömək edir.

Risklərin idarə edilməsi strategiyası təşkilatların bütün sistem zəifliklərini tamamilə aradan qaldıra bilməyəcəyini və ya bütün kiberhücumları bloklaya bilməyəcəyini qəbul edir . Kibertəhlükəsizlik risklərinin idarə edilməsi təşəbbüsünün yaradılması təşkilatlara ilk növbədə ən kritik qüsurlara, təhlükə meyllərinə və hücumlara kömək edir.

Geniş şəkildə desək, kibertəhlükəsizlik risklərinin idarə edilməsi prosesi dörd mərhələni əhatə edir:

Riskin müəyyən edilməsi — biznes əməliyyatlarına təsir edə biləcək cari və ya potensial riskləri müəyyən etmək üçün təşkilatın mühitinin qiymətləndirilməsi

Riskin qiymətləndirilməsi — müəyyən edilmiş risklərin təşkilata nə dərəcədə təsir göstərə biləcəyini və təsirin nə ola biləcəyini öyrənmək üçün təhlil edin

Riskə nəzarət — təşkilata riskləri azaltmağa kömək edə biləcək metodları, prosedurları, texnologiyaları və ya digər tədbirləri müəyyənləşdirin.

Nəzarətləri nəzərdən keçirin — risklərin azaldılmasında nəzarətin nə dərəcədə effektiv olduğunu davamlı olaraq qiymətləndirmək və lazım olduqda nəzarət vasitələrini əlavə etmək və ya tənzimləmək.

Kibertəhlükəsizlik riskinin qiymətləndirilməsi nədir?

Kibertəhlükəsizlik riskinin qiymətləndirilməsi təşkilatlara əsas biznes məqsədlərini müəyyənləşdirməyə və sonra öz məqsədlərinə nail olmaq üçün tələb olunan müvafiq İT aktivlərini müəyyən etməyə kömək edən bir prosesdir.

Bu , bu İT aktivlərinə mənfi təsir göstərə biləcək kiberhücumların müəyyən edilməsini nəzərdə tutur . Təşkilatdan bu hücumların baş vermə ehtimalını müəyyən etmək və hər bir hücumun göstərə biləcəyi təsirləri müəyyən etmək tələb olunur.

Kibertəhlükəsizlik riskinin qiymətləndirilməsi bütün təhlükə mühitini və onun təşkilatın biznes məqsədlərinə necə təsir göstərə biləcəyini müəyyənləşdirməlidir.

Qiymətləndirmənin nəticəsi təhlükəsizlik qruplarına və müvafiq maraqlı tərəflərə bu riskləri azaldan təhlükəsizlik tədbirlərinin həyata keçirilməsi ilə bağlı məlumatlı qərarlar qəbul etməkdə kömək etməlidir.

Kiber Təhdidlər Nələrdir?

Kibertəhlükə termini ümumiyyətlə təhlükəsizliyi pozmaq, təşkilata ziyan vurmaq və ya məlumatların çıxarılması üçün istifadə edilə bilən hər hansı vektora aiddir.

Müasir təşkilatların üzləşdiyi ümumi təhlükə kateqoriyalarına aşağıdakılar daxildir:

Düşmən təhdidləri — üçüncü tərəf satıcıları, daxili təhdidlər, etibarlı insayderlər, qurulmuş haker kollektivləri, imtiyazlı insayderlər, xüsusi qruplar, təchizatçılar, korporativ casusluq və milli dövlətlər. Bu kateqoriyaya həmçinin bu qurumların hər hansı biri tərəfindən yaradılmış zərərli proqram (zərərli proqram) daxildir. Böyük təşkilatlar təlim keçmiş təhlükəsizlik işçiləri və xüsusi alətlərlə təhlükəsizlik əməliyyatları mərkəzi (SOC) yaratmaqla bu təhlükələri azaldır.

Təbii fəlakətlər — qasırğalar, daşqınlar, zəlzələlər, yanğınlar və ildırımlar zərərli kiber hücumçu qədər zərər verə bilər. Təbii fəlakət məlumatların itirilməsi, xidmətlərin pozulması və təşkilatın fiziki və ya rəqəmsal resurslarının məhv edilməsi ilə nəticələnə bilər. Təbii fəlakət təhlükəsi təşkilatın əməliyyatlarını çoxsaylı fiziki saytlar üzərində yaymaqla və ya paylanmış bulud resurslarından istifadə etməklə minimuma endirilə bilər.

Sistem nasazlığı — sistem uğursuz olduqda, məlumat itkisinə səbəb ola bilər və həmçinin işin davamlılığının pozulmasına səbəb ola bilər. Ən kritik sistemlərinizin yüksək keyfiyyətli avadanlıqda işlədiyinə, yüksək əlçatanlığı təmin etmək üçün ehtiyata malik olduğundan, ehtiyat nüsxələndiyindən və provayderlərinizin vaxtında dəstək təklif etdiyindən əmin olun.

İnsan xətası — istənilən istifadəçi təsadüfən zərərli proqram yükləyə və ya fişinq kampaniyaları kimi sosial mühəndislik sxemlərinə aldana bilər . Yanlış yaddaş konfiqurasiyası həssas məlumatları ifşa edə bilər . Bu təhlükələrin qarşısını almaq və azaltmaq üçün siz işçilərə təlim proqramı yaratmalı və güclü təhlükəsizlik nəzarətini tətbiq etməlisiniz. Məsələn, parol menecerlərindən istifadə edin və səhv konfiqurasiya üçün kritik sistemlərə nəzarət edin.

Təşkilatların əksəriyyətinə təsir edən əsas təhlükə vektorları bunlardır:

İcazəsiz giriş — zərərli hücumçuların, zərərli proqram təminatının və işçi xətasının nəticəsi ola bilər.

Səlahiyyətli istifadəçilər tərəfindən məlumatın sui-istifadəsi — insayder təhlükəsi icazəsiz məlumatları dəyişdirərək, silməklə və ya istifadə etməklə məlumatdan sui-istifadə edə bilər.

Məlumat sızması — təhdid aktorları və ya buludun yanlış konfiqurasiyası şəxsiyyəti müəyyənləşdirən məlumatın (PII) və digər həssas məlumat növlərinin sızmasına səbəb ola bilər .

Məlumatların itirilməsi — zəif konfiqurasiya edilmiş replikasiya və ehtiyat nüsxə prosesləri məlumatların itirilməsinə və ya təsadüfən silinməsinə səbəb ola bilər.

Xidmətin pozulması — dayanma vaxtı nüfuzun zədələnməsinə və gəlir itkisinə səbəb ola bilər. Bu, təsadüfi və ya xidmətdən imtina (DoS) hücumunun nəticəsi ola bilər .

Kiber Risk İdarəetmə Çərçivələri

Bir neçə kiber riskin idarə edilməsi çərçivəsi mövcuddur ki, bunların hər biri təşkilatların riskləri müəyyən etmək və azaltmaq üçün istifadə edə biləcəyi standartları təmin edir. Yüksək səviyyəli rəhbərlik və təhlükəsizlik liderləri təşkilatın təhlükəsizlik vəziyyətini qiymətləndirmək və təkmilləşdirmək üçün bu çərçivələrdən istifadə edirlər.

Kiber risklərin idarə edilməsi çərçivəsi təşkilatlara riskləri effektiv şəkildə qiymətləndirmək, azaltmaq və izləməkdə kömək edə bilər; və onları həll etmək üçün təhlükəsizlik prosesləri və prosedurlarını müəyyənləşdirin. Burada tez-tez istifadə olunan bir neçə kiber risk idarəetmə çərçivəsi var.

NIST CSF

Milli Standartlar və Texnologiyalar İnstitutu Kibertəhlükəsizlik Çərçivəsi (NIST CSF) məşhur çərçivədir. NIST CSF çərçivəsi risklərin idarə edilməsini standartlaşdıran hərtərəfli ən yaxşı təcrübələr toplusunu təqdim edir. O, kibertəhlükəsizlik risklərinin idarə edilməsinin əsas funksiyaları ilə əlaqəli fəaliyyətlər və nəticələrin xəritəsini müəyyən edir — qorumaq, aşkar etmək, müəyyən etmək, cavab vermək və bərpa etmək.

ISO 27001

Beynəlxalq Standartlaşdırma Təşkilatı (ISO) Beynəlxalq Elektrotexniki Komissiya (IEC) ilə birgə ISO/IEC 270001 standartını yaratmışdır. ISO/IEC 270001 kibertəhlükəsizlik çərçivəsi informasiya sistemlərinin yaratdığı riskləri sistematik şəkildə idarə etmək üçün müəyyən edilmiş sertifikatlaşdırıla bilən standartlar toplusunu təklif edir. Təşkilatlar həmçinin müəssisə risklərinin idarə edilməsi üçün təlimatları təmin edən ISO 31000 standartından istifadə edə bilərlər.

DoD RMF

Müdafiə Departamentinin (DoD) Risk İdarəetmə Çərçivəsi (RMF) kibertəhlükəsizlik risklərini qiymətləndirərkən və idarə edərkən Müdafiə Nazirliyi agentliklərinin istifadə etdiyi təlimatları müəyyən edir. RMF kiber risklərin idarə edilməsi strategiyasını altı əsas addıma bölür — kateqoriyalara ayırmaq, seçmək, həyata keçirmək, qiymətləndirmək, icazə vermək və nəzarət etmək.

FAIR Framework

İnformasiya Riskinin Faktor Təhlili (FAIR) çərçivəsi müəssisələrə informasiya risklərini ölçmək, təhlil etmək və anlamaqda kömək etmək məqsədi ilə müəyyən edilmişdir. Məqsəd, kibertəhlükəsizlik üzrə ən yaxşı təcrübələri yaratarkən yaxşı məlumatlı qərarlar qəbul etmək prosesində müəssisələrə rəhbərlik etməkdir.

Kibertəhlükəsizlik risklərinin qiymətləndirilməsi üçün ən yaxşı təcrübələr

Kibertəhlükəsizliyi Müəssisə Risk İdarəetmə Çərçivəsinə daxil edin

Riskə əsaslanan kibertəhlükəsizlik proqramınızı müəssisə risklərinin təhlili və təsnifatı üçün təşkilati prinsip kimi fəaliyyət göstərən müəssisə risklərinin idarə edilməsi çərçivəsinə tam şəkildə daxil edin. Çərçivə ümumi təlimat kimi deyil, təşkilati prinsip kimi istifadə edilməlidir. Kiber riski biznes riski kimi qələmə verməklə, bu yanaşma kiber risklərin idarə edilməsini biznes üçün daha başa düşülən edir.

Dəyər Yaradan İş Akışlarını Müəyyən edin

Ən böyük biznes dəyəri yaradan iş axınlarını müəyyənləşdirin və onlarla əlaqəli riskləri müəyyənləşdirin. Əhəmiyyətli iş axınlarının potensial təsirini nəzərə almaq vacibdir, çünki bunlar da əhəmiyyətli risk yarada bilər. Məsələn, ödəniş prosesləri dəyər yaradır, lakin fırıldaqçılıq və məlumat sızmasına qarşı həssas olduqları üçün biznes riski yaradır.

Kibertəhlükəsizlik qrupunun hansı proseslərin təşkilatınız üçün dəyərli olduğunu bildiyinə əmin olun və hər bir prosesdə iştirak edən komponentləri (məlumat aktivləri, alətlər, komandalar) müəyyənləşdirin. Bu, tövsiyə olunan nəzarətləri tətbiq etməyə imkan verir. Həm kibertəhlükəsizlik, həm də biznes personalını əhatə edən əməkdaşlıq yanaşması birtərəfli yetkinliyə əsaslanan yanaşmadan daha effektivdir.

Kiber Risklərə üstünlük verin

Risklərin idarə edilməsi və azaldılması prosedurlarınızı məlumatlandırmaq üçün qarşısının alınması xərcləri və məlumatların dəyəri əsasında risk səviyyəsini müəyyənləşdirin. Yüksək səviyyəli risklər mümkün qədər tez həll edilməlidir, aşağı səviyyəli risklər isə aşağı səviyyədə həll oluna və ya dözülən risklər kimi qəbul edilə bilər. Aktivin qorunmasının dəyəri onun dəyərindən yüksəkdirsə, risk sizin nüfuzunuza təsir göstərə bilməyənə qədər xərclər dəyməz.

Davam edən Risk Qiymətləndirmələrini həyata keçirin

İnkişaf edən kibertəhlükəsizlik təhdidləri və həlləri ilə ayaqlaşmaq üçün davamlı, uyğunlaşa bilən və təsirli risklərin müəyyənləşdirilməsi və qiymətləndirilməsini həyata keçirin. Boşluqları müəyyən etmək və aradan qaldırmaq üçün risklərin idarə edilməsi proseslərini mütəmadi olaraq nəzərdən keçirin. Kibertəhlükəsizlik qrupları risklərin qiymətləndirilməsindən tutmuş rəqəmsal mühitlərin və aktivlərin təhlükəsizliyinə qədər hərəkətə keçə bilən fikirlərə əsaslanır.

Imperva ilə kibertəhlükəsizlik risklərinin idarə edilməsi

Imperva təşkilatlara iki geniş kateqoriya üzrə kibertəhlükəsizlik risklərini müəyyən etməyə və idarə etməyə kömək edə bilər — proqram təhlükəsizliyi və məlumat təhlükəsizliyi.

Imperva Tətbiq Təhlükəsizliyi

Imperva proqramlar, API-lər və mikroservislər üçün hərtərəfli qorunma təmin edir:

Veb Tətbiq Firewall — Tətbiqlərinizə veb trafikinin dünya səviyyəli təhlili ilə hücumların qarşısını alın.

İcra Zamanı Tətbiqinin Özünü Mühafizəsi (RASP) — Tətbiqinizin işləmə zamanı mühitindən real vaxt rejimində hücumun aşkarlanması və qarşısının alınması tətbiqlərinizin getdiyi hər yerə gedir. Xarici hücumları və inyeksiyaları dayandırın və zəiflik ehtiyatınızı azaldın.

API Təhlükəsizliyi — Avtomatlaşdırılmış API mühafizəsi API son nöqtələrinizin dərc olunduqca mühafizəsini təmin edir, tətbiqlərinizi istismardan qoruyur

Qabaqcıl Bot Müdafiəsi — Bütün giriş nöqtələrindən — vebsaytlardan, mobil proqramlardan və API-lərdən biznes məntiqi hücumlarının qarşısını alın. Hesabın ələ keçirilməsi və ya rəqabətli qiymət kazıması yolu ilə onlayn fırıldaqçılığı dayandırmaq üçün qüsursuz görünmə və bot trafikinə nəzarət əldə edin.

DDoS Müdafiəsi — Zəmanətli iş vaxtı və heç bir performansa təsir göstərmədən işin davamlılığını təmin etmək üçün kənarda hücum trafikini bloklayın. AWS, Microsoft Azure və ya Google Public Cloud-da yerləşdiyinizdən asılı olmayaraq, yerli və ya bulud əsaslı aktivlərinizi qoruyun.

Hücum Analitikası — Səs-küydəki nümunələri aşkar etmək və tətbiq hücumlarını aşkar etmək üçün proqram təhlükəsizlik yığını boyunca maşın öyrənməsi və domen təcrübəsi ilə tam görünməni təmin edir, hücum kampaniyalarını təcrid etmək və qarşısını almaq imkanı verir.

Müştəri Tərəfindən Müdafiə — Təchizat zəncirində fırıldaqçılıq riskini azaltmaq, məlumatların pozulmasının və müştəri tərəfi hücumlarının qarşısını almaq üçün üçüncü tərəf JavaScript kodu üzərində görünürlük və nəzarət əldə edin.

Imperva Data Security

Imperva uyğunluğu təmin etmək və bulud investisiyalarınızdan əldə etdiyiniz çeviklik və xərc faydalarını qorumaq üçün bütün bulud əsaslı məlumat mağazalarını qoruyur.

Bulud Məlumat Təhlükəsizliyi — DevOps ilə ayaqlaşmaq və onları izləmək üçün bulud verilənlər bazanızın təhlükəsizliyini sadələşdirin. Imperva-nın həlli buludla idarə olunan xidmət istifadəçilərinə bulud məlumatlarının görünməsini və nəzarətini sürətlə əldə etməyə imkan verir.

Verilənlər Bazasının Təhlükəsizliyi — Imperva yerli və buludda məlumat aktivləriniz üzrə analitik, qorunma və cavab tədbirləri təqdim edir — məlumat pozuntularının qarşısını almaq və uyğunluq insidentlərindən qaçmaq üçün sizə risk görmə imkanı verir. Anında görünürlük əldə etmək, universal siyasətləri həyata keçirmək və dəyər qazanma müddətini sürətləndirmək üçün istənilən verilənlər bazası ilə inteqrasiya edin.

Məlumat Riskinin Təhlili — Təmiri sürətləndirmək üçün müəssisə üzrə bütün verilənlər bazalarınızda uyğun olmayan, riskli və ya zərərli məlumat girişi davranışının aşkarlanmasını avtomatlaşdırın.

NƏTİCƏ

Kibertəhlükəsizlik risklərinin idarə edilməsi təhdidləri prioritetləşdirmək üçün strateji yanaşmadır. Təşkilatlar ən kritik təhdidlərin vaxtında idarə olunmasını təmin etmək üçün kibertəhlükəsizlik riskinin idarə edilməsini həyata keçirir. Bu yanaşma hər bir təhlükənin yaratdığı potensial təsir əsasında təhdidləri müəyyən etməyə, təhlil etməyə, qiymətləndirməyə və həll etməyə kömək edir.

ƏDƏBİYYAT

1. “Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats” by Scott E. Donaldson, Stanley G. Siegel, Chris K. Williams, Abdul Aslam

2. “Cybersecurity and Cyberwar: What Everyone Needs to Know” by P.W. Singer and Allan Friedman

3. “The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity Capabilities” by Domenic Antonucci, Jack J. Freund, and Jack D. Jones