Trailheadトレイル「Get Started with Cybersecurity Risk Management」覚え書き
本記事は、トレイル「Get Started with Cybersecurity Risk Management」の覚え書き、気づきの整理です。
サイバーセキュリティマネージャーとしてのキャリアを準備する話(Google翻訳ママ)
Cybersecurity Risk Management
サイバーリスク管理を構築することの意味に気づく話(Google翻訳ママ)
Get to Know Cybersecurity Risk Management
- サイバーセキュリティリスク管理:デジタルビジネス資産に関連するリスクを管理するプロセス
- サイバーレジリエンス:組織がサイバー脅威を防止、検出、対応、および回復する能力
- サイバーリスクを管理することで、攻撃者がデータを危険にさらした場合の潜在的な影響を取り除く。全てのリスクを完全に排除するのは不可能。
- サイバーリスクの管理:機密情報の保護について意識的な決定を行うこと
Learn the Skills of a Cybersecurity Risk Manager
- 最も可能性が高く、影響が大きいリスクを特定 → 組織がリスクを論理的な方法で優先順位付けできるようにする
- 技術的な実装を自分でやらない。 システム所有者と協力して修正リスクの優先順位付け&アドバイスを実施。
- 必要なテクニカルスキル:分析者、サイバーセキュリティとテクノロジー、システム管理、プロジェクト管理。 またビジネスのノウハウも必要。
- さまざまな規制やポリシーのフレームワークを調査、分析、適用して、組織が効率的に業界標準を満たすことを支援する情熱を保持。
Cybersecurity Risk Manager Responsibilities
リスクの特定、管理、検出におけるサイバーセキュリティリスクマネージャーの役割を探る話(Google翻訳ママ)
Identify Cybersecurity Risks and Business Impacts
- いろいろなリスク評価方法はあるが、最終的には定量化?でOK? 優先順位が決まる
- 組織が許容できるリスクのレベルをリーダーシップが評価するのを支援すること
Protect the Organization by Managing Cybersecurity Risk
- フレームワークいろいろ
- WEF Advancing Cyber Resilience, NIST, ISO/IEC 27001/2 Information Security Management standards, Factor Analysis of Information Risk (FAIR), Payment Card Industry Data Security Standard (PCI DSS)
- リスクの軽減、転送、受入
- リソースの制約の下で運営されている以上、すべてのリスクを完全に排除することは不可能
Detect Cybersecurity Risks and Respond and Recover from Incidents
リスクを監視し、ポリシー、手順、および制御の実装を追跡するときのポイント: * ビジネスユニットのリスクレポートと統合(既存のデータを活用する) * 運用を考慮、データ収集の自動化&機械学習の活用、侵入テストでプログラムの検証 * 違反が発生した場合は学んだ教訓をサイバーセキュリティリスク管理プログラムへ組み込んで組織のサイバー回復力(Cyber Resilience)向上させる
モジュール「Cybersecurity Risk Manager Responsibilities」の2つ目のユニットのクイズがちと迷いました。
サイバーセキュリティマネージャー・・・・日本でそんなポジションあるのか?が気になりますが・・・ 全て社内SEとかシステム管理者という建てつけで片付けられそうな・・・。