Information-security-cyber-law-policies-to-mitigate-cyber-risk

提供:Dev Guides
移動先:案内検索

サイバーリスクを軽減するためのポリシー

この章では、サイバーリスクを最小限に抑えるためのさまざまなポリシーについて説明します。 明確に定義されたポリシーによってのみ、サイバースペースで生成される脅威を減らすことができます。

サイバーセキュリティの研究開発の推進

インターネットへの依存度がますます高まっているため、今日直面している最大の課題は、悪人からの情報のセキュリティです。 そのため、サイバーリスクを軽減するための堅牢なソリューションを考案できるように、サイバーセキュリティの研究開発を促進することが不可欠です。

サイバーセキュリティ研究

サイバーセキュリティ研究は、サイバー犯罪者に対処するためのソリューションの準備に関係する分野です。 インターネット攻撃の増加、高度で持続的な脅威、フィッシングに伴い、今後多くの研究と技術開発が必要になります。

サイバーセキュリティ研究-インドの視点

近年、インドはサイバー技術の大きな成長を目の当たりにしています。 したがって、サイバーセキュリティの研究開発活動への投資が必要です。 また、インドでは、地元のサイバーセキュリティ企業の出現により、多くの成功した研究成果がビジネスに反映されています。

脅威インテリジェンス

サイバー脅威を軽減するための研究作業は、すでにインドで開始されています。 サイバー脅威に対処するために、積極的な対応メカニズムが用意されています。 インドのさまざまな研究機関では、サイバースペースの脅威と戦うための研究開発活動がすでに進行中です。

次世代ファイアウォール

企業にセキュリティインテリジェンスを提供し、企業がネットワーク境界で最適なセキュリティ制御を適用できるようにする次世代ファイアウォールなどのマルチアイデンティティベースの専門技術も取り組んでいます。

安全なプロトコルとアルゴリズム

プロトコルとアルゴリズムの研究は、技術レベルでのサイバーセキュリティの統合にとって重要なフェーズです。 サイバースペースでの情報の共有と処理のルールを定義します。 インドでは、プロトコルおよびアルゴリズムレベルの研究には以下が含まれます-

  • セキュアルーティングプロトコル
  • 効率的な認証プロトコル
  • ワイヤレスネットワークの拡張ルーティングプロトコル
  • 安全な伝送制御プロトコル
  • 攻撃シミュレーションアルゴリズムなど

認証テクニック

キー管理、二要素認証、自動キー管理などの認証技術は、集中化されたキー管理システムとファイル保護なしで暗号化および復号化する機能を提供します。 これらの認証技術を強化するために継続的に研究が行われています。

BYOD、クラウドおよびモバイルセキュリティ

さまざまなタイプのモバイルデバイスの採用に伴い、モバイルデバイスでのセキュリティおよびプライバシー関連のタスクに関する研究が増加しています。 モバイルセキュリティテスト、クラウドセキュリティ、BYOD(Bring Your Own Device)のリスク軽減は、多くの研究が行われている分野の一部です。

サイバーフォレンジック

サイバーフォレンジックは、システムまたはデジタルストレージメディアからデータを収集および回復するための分析手法のアプリケーションです。 インドで研究が行われている特定の分野のいくつかは-

  • ディスクフォレンジック
  • ネットワークフォレンジック
  • モバイルデバイスフォレンジック
  • メモリフォレンジック
  • マルチメディアフォレンジック
  • インターネットフォレンジック

サプライチェーンのリスクを減らす

正式には、サプライチェーンのリスクは次のように定義できます-

'__対戦相手が損害を与えたり、悪意のある機能を書き込んだり、供給アイテムまたはシステムの設計、インストール、手順、またはメンテナンスを解体して、機能全体を劣化させるリスク。'__

サプライチェーンの問題

サプライチェーンは世界的な問題であり、顧客とサプライヤ間の相互依存関係を見つける必要があります。 今日のシナリオでは、次のことを知ることが重要です-SCRMの問題とは?_および_問題への対処方法

効果的なSCRM(サプライチェーンリスク管理)アプローチには、強力な官民パートナーシップが必要です。 政府は、サプライチェーンの問題を処理する強力な権限を持つ必要があります。 民間セ​​クターでさえ、多くの分野で重要な役割を果たすことができます。

サプライチェーンのリスクを管理するための万能の解決策を提供することはできません。 製品とセクターに応じて、リスクを軽減するためのコストの重さは異なります。 官民パートナーシップは、サプライチェーン管理に関連するリスクを解決するよう奨励されるべきです。

人材育成によるリスクの軽減

組織のサイバーセキュリティポリシーは、そのすべての従業員がその価値を理解し、それらの実装に向けて強いコミットメントを示す限り、効果的です。 人事部長は、次のいくつかの点を適用することで、組織をサイバー空間で安全に保つ上で重要な役割を果たすことができます。

従業員が抱えるセキュリティリスクの所有権の取得

ほとんどの従業員はリスク要因を真剣に受け止めていないため、ハッカーは組織を簡単に標的にすることができます。 この点で、HRは、従業員の態度や行動が組織のセキュリティに与える影響について従業員を教育する上で重要な役割を果たします。

セキュリティ対策が実用的かつ倫理的であることを保証する

企業のポリシーは、従業員の考え方や行動と同期している必要があります。 たとえば、システムにパスワードを保存することは脅威ですが、継続的な監視はそれを防ぐことができます。 人事チームは、ポリシーが機能する可能性があり、適切かどうかをアドバイスするのに最適です。

特定のリスクを提示する可能性のある従業員の特定

また、サイバー犯罪者が社内のインサイダーの助けを借りてネットワークをハッキングすることもあります。 したがって、特定のリスクを抱える可能性のある従業員を特定し、厳しいHRポリシーを設定することが不可欠です。

サイバーセキュリティ意識の創造

インドのサイバーセキュリティはまだ進化段階にあります。 これは、サイバーセキュリティに関連する問題について認識を高めるのに最適な時期です。 インターネットがどのように機能し、その潜在的な脅威は何かをユーザーに認識させることができる学校のような草の根レベルから認識を作成するのは簡単です。

すべてのサイバーカフェ、ホーム/パーソナルコンピューター、およびオフィスコンピューターはファイアウォールで保護する必要があります。 ユーザーは、サービスプロバイダーまたはゲートウェイを通じて、許可されていないネットワークに違反しないように指示する必要があります。 脅威は太字で説明し、影響を強調する必要があります。

サイバーセキュリティの意識に関する科目を学校や大学に導入して、継続的なプロセスにする必要があります。

政府は、テレビ/ラジオ/インターネット広告を通じてサイバーセキュリティを放送し、サイバーセキュリティを実施し、十分な意識を高めるために強力な法律を策定しなければなりません。

情報共有

米国は、サイバーセキュリティの脅威に関する情報の共有を強化することで国内のサイバーセキュリティを改善するために、*サイバーセキュリティ情報共有法2014(CISA)*と呼ばれる法律を提案しました。 このような法律は、脅威情報を市民間で共有するためにすべての国で義務付けられています。

サイバーセキュリティ侵害には必須の報告メカニズムが必要

*Uroburos/Snake* という名前の最近のマルウェアは、サイバースパイ活動とサイバー戦争の成長の一例です。 機密情報の盗用は新しいトレンドです。 ただし、通信会社/インターネットサービスプロバイダー(ISP)がネットワークに対するサイバー攻撃に関する情報を共有していないのは残念です。 その結果、サイバー攻撃に対抗するための堅牢なサイバーセキュリティ戦略を策定できません。

この問題は、通信会社/ISP側の義務的なサイバーセキュリティ侵害通知の規制体制を確立できる優れたサイバーセキュリティ法を策定することで対処できます。

自動化された送電網、火力発電所、衛星などのインフラストラクチャは、さまざまな形態のサイバー攻撃に対して脆弱であるため、侵害通知プログラムは、それらに取り組むように機関に警告します。

サイバーセキュリティフレームワークの実装

企業がサイバーセキュリティのイニシアチブに費やしているという事実にもかかわらず、データ侵害は引き続き発生しています。 ウォールストリートジャーナルによると、「重要なインフラストラクチャ産業によるグローバルなサイバーセキュリティ支出は、Allied Business Intelligence Incによると、前年から10%増加して2013年に460億ドルに達すると予想されていました。」これには、サイバーセキュリティフレームワークの効果的な実装が必要です。

サイバーセキュリティフレームワークのコンポーネント

フレームワークは3つの主要なコンポーネントで構成されています-

  • コア、
  • 実装層、および
  • フレームワークプロファイル。

Cyber​​security Framework

フレームワークコア

フレームワークコアは、5つの同時および一定の機能(識別、保護、検出、応答、および回復)を持つサイバーセキュリティアクティビティと適用可能な参照のセットです。 フレームワークのコアには、次のことを保証する方法があります-

  • 最も重要な知的財産と資産を保護するための手順を開発および実装します。
  • サイバーセキュリティ侵害を特定するためのリソースを用意します。
  • 違反が発生した場合は、違反から回復します。

実装層

フレームワーク実装層は、組織がサイバーセキュリティ慣行を適用する際に採用する高度さと一貫性のレベルを定義します。 次の4つのレベルがあります。

実装層レベル

ティア1(部分)-このレベルでは、組織のサイバーリスク管理プロファイルは定義されていません。 組織レベルでの組織のサイバーセキュリティリスクに対する部分的な意識があります。 サイバーセキュリティリスクを管理するための組織全体の方法論は認識されていません。

  • Tier 2(Risk Informed)*-このレベルでは、組織は上級管理者によって直接承認されるサイバーリスク管理ポリシーを確立します。 上級管理職は、サイバーセキュリティに関連するリスク管理目標を確立するために努力し、それらを実装します。
  • Tier 3(繰り返し可能)*-このレベルでは、組織は正式なサイバーセキュリティ対策を実行します。これは要件に基づいて定期的に更新されます。 組織は、その依存関係とパートナーを認識しています。 また、それらから情報を受け取ります。これは、リスクに基づいた管理上の決定を下すのに役立ちます。
  • Tier 4(Adaptive)*-このレベルでは、組織は以前および現在のサイバーセキュリティ活動から派生した「リアルタイム」でのサイバーセキュリティ慣行を適応させます。 高度なサイバーセキュリティ技術を組み合わせた絶え間ない開発プロセス、パートナーとのリアルタイムコラボレーション、システム上のアクティビティの継続的な監視を通じて、組織のサイバーセキュリティ慣行は高度な脅威に迅速に対応できます。

フレームワークプロファイル

フレームワークプロファイルは、サイバーセキュリティプログラムに関する情報を保存するためのプラットフォームを組織に提供するツールです。 プロファイルを使用すると、組織はサイバーセキュリティプログラムの目標を明確に表現できます。

フレームワークの実装はどこから始めますか?

取締役を含む上級管理職は、まずフレームワークに精通する必要があります。 その後、取締役は組織の実装層について経営陣と詳細な議論を行う必要があります。

フレームワークに関するマネージャーとスタッフを教育することで、全員がその重要性を理解できるようになります。 これは、活発なサイバーセキュリティプログラムの実装を成功させるための重要なステップです。 既存のフレームワーク実装に関する情報は、組織が独自のアプローチを行うのに役立つ場合があります。

https://www.finddevguides.com/index.php?title=Information-security-cyber-law-policies-to-mitigate-cyber-risk&oldid=1429」から取得
Powered by MediaWiki