สิ่งที่จะให้คำมั่นสัญญามากขึ้นในการรักษาความปลอดภัยของประเทศคือแนวทางที่รัฐบาลให้ความสำคัญเป็นอันดับแรก ซึ่งหน่วยงานของรัฐได้วางตัวอย่างด้วยการก้าวขึ้นอย่างรวดเร็วและยอมรับการรักษาความปลอดภัยในระดับที่สูงขึ้น หน่วยงานต่างๆ ในปัจจุบันมีตัวเลือกของเฟรมเวิร์กและเครื่องมืออื่นๆ ให้เลือกมากมาย ไม่ต้องพูดถึงขั้นตอนที่สำคัญของการเริ่มต้นด้วยการจัดการความเสี่ยง หน่วยงานของรัฐบาลกลางควรยอมรับนโยบาย กรอบการทำงาน และเครื่องมืออื่นๆ ของตนเองเพื่อช่วยสกัดกั้นภัย
คุกคามที่เพิ่มขึ้นในไซเบอร์สเปซ
สิ่งพิมพ์พิเศษและเฟรมเวิร์กของ NIST
SP 800-161 ของ NIST เป็นสิ่งพิมพ์ที่ยอดเยี่ยม แต่เรามีสิ่งพิมพ์ NIST ที่ยอดเยี่ยมอื่นๆ อีกมากมายที่กล่าวถึงความเสี่ยง/แนวคิดเดียวกันนี้ และเสนอกรอบและเครื่องมือการจัดการความเสี่ยงที่ครอบคลุมซึ่งฉันและเพื่อนร่วมงานด้านการจัดการความเสี่ยงของฉันใช้เป็นประจำและพึ่งพาเมื่อช่วยเหลือลูกค้าของเราในภาครัฐและภาคเอกชน
NIST SP 800-37 เปิดตัวครั้งแรกในปี 2547 และขณะนี้มีการปรับปรุงครั้งที่สอง ซึ่งวางกรอบการบริหารความเสี่ยงที่ใช้กันอย่างแพร่หลายในปัจจุบัน หรือ RMF (ชื่อเต็ม: RMF for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy ); 800-39, การจัดการความเสี่ยงด้านความปลอดภัยของข้อมูล; 800-30, คู่มือการดำเนินการประเมินความเสี่ยง; 800-137 การตรวจสอบความปลอดภัยของข้อมูลอย่างต่อเนื่องสำหรับระบบข้อมูลและองค์กรของรัฐบาลกลาง และ 800-53 การประเมินการควบคุมความปลอดภัยและความเป็นส่วนตัวในระบบสารสนเทศและองค์กร NIST 800-53 Rev. 5 (เผยแพร่ปลายปี 2021) ได้สร้างชุดการควบคุมการจัดการความเสี่ยงด้านซัพพลายเชนชุดใหม่ที่จัดการกับความเสี่ยงที่ 800-161 ครอบคลุม แม้ว่า 800-161 จะครอบคลุมในรายละเอียดเพิ่มเติม
7 ขั้นตอนในการก้าวข้ามเฟรมเวิร์ก
โดยไม่คำนึงถึง EO ล่าสุด เครื่องมือใหม่ และเฟรมเวิร์กพิเศษ การปฏิบัติตามขั้นตอนที่จำเป็นเพื่อให้เป็นไปตามข้อกำหนดคือการต่อสู้ที่แท้จริงสำหรับทุกอุตสาหกรรม โปรแกรมการจัดการความเสี่ยงที่ดีควรประกอบด้วยสิ่งต่อไปนี้:
อ่านเพิ่มเติม: ความเห็น
เลือกกรอบการบริหารความเสี่ยง
(เลือกกรอบใดก็ได้ แต่ควรใช้ NIST RMF, SP 800-37 ดังกล่าวข้างต้น)
ระบุความเสี่ยงทางธุรกิจของคุณ
กำหนดความเสี่ยงที่ยอมรับได้ของคุณ
มีกลยุทธ์ที่ชัดเจนในการจัดการกับความเสี่ยงที่คุณไม่สามารถยอมรับได้
อย่าทำให้ “ศัตรูตัวฉกาจของความดี” การใช้สุขอนามัยพื้นฐานทางไซเบอร์ดังต่อไปนี้ จะช่วยลดความเสี่ยงส่วนใหญ่ได้อย่างมาก:
ตรวจสอบเครือข่ายและแอปพลิเคชันของคุณ
สร้างพฤติกรรมพื้นฐานที่ยอมรับได้เพื่อระบุพฤติกรรมที่ผิดปกติได้อย่างง่ายดาย
ใช้การป้องกันหลายชั้น: แอนตี้ไวรัส ไฟร์วอลล์ การป้องกันการบุกรุก และการตรวจสอบความสมบูรณ์
ใช้กลยุทธ์ Zero Trust เพื่อที่ว่าหากส่วนใดส่วนหนึ่งของระบบของคุณถูกบุกรุก การละเมิดจะไม่แพร่กระจายไปที่อื่น
สร้างการควบคุมการเข้าถึงเพิ่มเติมเพื่อให้ได้ “สิทธิพิเศษน้อยที่สุด” สำหรับผู้ใช้ อุปกรณ์ และส่วนอื่นๆ ของการประมวลผล เช่น เซิร์ฟเวอร์และเครื่องเสมือน
ตรวจสอบให้แน่ใจว่าคุณมีการสำรองข้อมูลที่ดีซึ่งผ่านการทดสอบและเข้ารหัสแล้ว (หวังว่าจะไม่มีใครจัดเก็บสื่อสำรองไว้ในห้องเดียวกับระบบ)
อย่ารอจนกว่าคุณจะหยุดชะงักจริง ๆ เพื่อทดสอบการสำรองข้อมูลของคุณ ที่สายเกินไป. การค้นหาว่าการสำรองข้อมูลไม่ทำงานระหว่างการกู้คืนระบบถือเป็นหายนะ
รู้ว่าสินค้าคงคลังของคุณมีลักษณะอย่างไร มีไดอะแกรมเครือข่ายและรายการสินค้าคงคลังที่เป็นปัจจุบันและเข้าถึงได้เมื่อจำเป็น ซึ่งรวมอยู่ในแผนการรักษาความปลอดภัยของระบบของคุณ
ทราบจุดเข้า/ออกของคุณ (ขอบเขตของระบบ) มีไดอะแกรมเครือข่ายที่มีกระแสข้อมูลแสดงอย่างชัดเจน
มีทีมงานมืออาชีพที่มีคุณภาพซึ่งมีนโยบายและขั้นตอนการปฏิบัติที่ชัดเจน
ล้างและทำซ้ำ
การให้ความสำคัญกับความเสี่ยงของห่วงโซ่อุปทาน ตัวแสดงของรัฐชาติ และอาชญากรรมทางไซเบอร์ที่เพิ่มมากขึ้นนี้จะไม่หายไป เพื่อเป็นการตอบสนอง นโยบาย มาตรฐาน และแนวทางปฏิบัติใหม่ๆ จะถูกเผยแพร่ในแบบเรียลไทม์ แต่บรรทัดล่างยังคงเหมือนเดิม เรารู้ว่าเราต้องทำอะไร เราแค่ต้องทำมันจริงๆ
credit: genericcialis-lowest-price.com
TheCancerTreatmentsBlog.com
artematicaproducciones.com
BlogLeonardo.com
NexusPheromones-Blog.com
playbob.net
WorldsLargestLivingLogo.com
fathersday2014s.com
impec-france.com
worldofdekaron.com
