С усложнением современной ИТ-инфраструктуры, переплетением систем, управляемых поставщиками услуг и экспертами по управлению, неизбежно возникает проблема безопасности. Как может одна организация, используя нескольких поставщиков услуг, обеспечить безопасность своих данных, проходящих через эти системы?

За последнее десятилетие специалисты предприятий и правительств усовершенствовали практику управления рисками и безопасности, ориентированную на управление цифровой цепочкой поставок. Для поддержки таких усилий Национальный институт стандартов и технологий (NIST) выпустил новейшую редакцию NIST 800-161 в мае 2022 года. 

Читать

За последние несколько недель мы довольно много говорили о риске:

• Что это.
• Как это применяется к соблюдению требований.
• Как вы можете начать думать об этом как об аспекте вашей общей бизнес-стратегии. 

Во многих рассмотренных нами случаях мы рассматривали риск с точки зрения его смягчения — как сократить разрыв между вашими возможностями обеспечения безопасности и потенциальными угрозами в реальной жизни. 

Но что важно понимать о риске, так это то, что он в равной степени касается того, какой риск вы хотите взять на себя, как и того, какой риск вы хотите устранить. И, обсуждая потенциальные риски, касающиеся бизнес-целей, вы должны учитывать свое заявление о готовности к риску. 

Читать

В нашей предыдущей статье мы обсудили концепцию управления рисками — что это такое и почему это важно. 

Однако управление рисками в сфере кибербезопасности не является чем-то новым, и многие организации работают над нормализацией рисков в качестве подхода к комплексным усилиям по обеспечению кибербезопасности и соответствия требованиям. 

Хотя этот шаг и хорош, мы также обнаружили, что многие организации будут чрезмерно полагаться на фреймворки как на конечный и всеобъемлющий подход к обеспечению безопасности, что может оказаться скорее запутанным, чем полезным. 

Читать