Bilgi risklerini ölçmek için plan yapın

- Bu dersteki videoların geri kalanı, bilgi risklerinin yönetici düzeyinde nasıl yönetileceğini açıklayacaktır. Çabalarımızın karşılığını en iyi şekilde almak için, bilgi güvenliği programı tasarımı hakkında şimdiye kadar ele aldığımız her şeyi kullanacağız. İyi yapıldığında, bilgi ve siber riskleri yönetirken, aynı zamanda bilgi güvenliği programınızın müşterinizin beklentilerini karşılamak, siber saldırılara ve siber arızalara karşı dayanıklı olmak, yasa ve yönetmeliklere uymak ve yöneticilerinizi ve yönetim kurulunuzu desteklemek olan dört hedefini de karşılayabileceksiniz. Bu kursun geri kalanında yararlı örnekler vermek için, size işteyken kullandığım araçları ve yöntemleri göstereceğim. İşte genel planlama yaklaşımımız. Beş aşaması vardır. Adil miktarda hazırlık çalışması yaparak başlayacağız, sonra risklerimizi ölçeceğiz. Ölçüm verilerimizi aldıktan sonra, hangi risklerin bizim için en önemli öncelik olması gerektiğini anlamak için analiz edebiliriz. Bu, en ciddi risklerimizi yönetmek için belirli eylemler önermemizi sağlayacaktır. Son olarak, sonuçları kilit paydaşlarımızla düzenli olarak paylaşacağız. Şu anda, hazırlığa dalalım. Şimdiye kadar çerçevenizi ve kuruluşunuzun takip ettiğini görmeyi beklediğiniz denetimleri seçmiş olmalısınız. Bu dersin geri kalanında NIST Siber Güvenlik Çerçevesini kullanacağım. Ayrıca risk yönetimi çabalarınızın kapsamını da belirlemeniz gerekir. Ticari sırlar, mali durumunuz ve çalışanlarınız ve müşterileriniz hakkındaki hassas bilgiler gibi en yüksek değerli bilgi varlıklarınıza odaklanmak genellikle en iyisidir. Çok fazla iş var ve patronunuz da dahil olmak üzere diğer birçok insanla koordine etmeniz gerekecek, bu nedenle programınızı belgelediğinizden ve ilerledikçe başvurduğunuzdan emin olun. Önemli kilometre taşlarını, yapılması gereken belirli görevleri, her göreve atanan kişilerin adlarını ve tüm görevler ve kilometre taşları için son tarihleri eklemelisiniz. Tüm bunları nasıl yapacağınızdan emin değilseniz, kuruluşunuzda proje yönetimi konusunda deneyimli birinden yardım alın. İlgili bir notta, bir iletişim planına ihtiyacınız olacak. Plan aslında beklentileri belirlemek ve patronunuzdan, akranlarınızdan ve diğer paydaşlarınızdan destek almak için belirli zamanlarda çeşitli kanallardan ileteceğiniz belirli mesajlardan oluşan bir pakettir. Deneyimlerime göre, bu çalışmayı destekleyecek bir şeye ihtiyacınız olmadan bir veya iki gün önce birine e-posta göndermek yeterince iyi olmayacaktır. Bu nedenle, birden fazla kanal üzerinden iletilen bir dizi önceden yazılmış iletiyi kullanan bir iletişim planı oluşturma konusunda deneyimli değilseniz, kuruluşunuzda bunu birkaç kez yapan birinden yardım almanızı öneririm. Ölçümlerinizi kaydetmek için tek bir yere de ihtiyacınız olacaktır. Microsoft Excel çalışma kitabı kullanıyorum. Sadece verilerimi tutmakla kalmıyor, verilerimi daha iyi anlayabilmem ve başkalarına daha iyi açıklayabilmem için bazı temel istatistikleri ve görselleştirmeleri gerçekleştirmeme izin veriyor. Veri analizini kursun ilerleyen bölümlerinde ele alacağız. Zemin seviyesinde gerçekten neler olup bittiğini bilmek için kuruluşunuzun dört bir yanından uzmanlarla röportaj yapmanız gerekir. Bu, kiminle röportaj yapacağınızı bulmanız ve görüşmeleri odaklamak için bir anket oluşturmanız gerektiği anlamına gelir. Ayrıca, uzmanlarınıza, topladığınız ham verileri standartlaştırmanıza yardımcı olacak bir puan anahtarı sağlamanız gerekir. Güvenlik sistemleriniz tarafından oluşturulan bazı verileri de kullanmak isteyebilirsiniz. Öyleyse, bu verileri ölçüm sisteminize sığdırmanın bir yolunu bulmanız gerekir. Tüm bunları kursun ilerleyen bölümlerinde ele alacağız. Son olarak, bilgi risklerini ölçmenin birçok farklı yolu vardır. Birini seçmeniz gerekecek ve yakında bu seçimi nasıl yapacağınızı ele alacağız.