その場で見つかったセキュリティリスクのロギングを開始するための優れたリスクレジスタを知っている人はいますか?
私が抱えている問題は、1日で多くのことが見つかり、メールで物事が失われ始め、複数の火災によって発見されたリスクを忘れがちになることです。
毎日新しいリスクを発見している場合、リスク評価プロセスに何か問題があります。また、リスクの特定が誤ったレベルの抽象化で行われた可能性もあります。
私の推測では、これは非常に低いレベルで行っており、ビジネスへの影響を理解するまで上に移動する必要があります。リスクは、基本的には問題が発生する可能性がある結果です。技術的な脆弱性はnotリスクです。ウェブサーバーに新たな弱点を発見した場合、それは脆弱性でありリスクではありません。たとえば、顧客データが盗まれたり、サービスが利用できなくなったりするリスクがあります。
このように見た場合、新しい脆弱性を発見しても新しいリスクは発生せず、既存のリスクの評価に影響するため、そのようにする必要があります。したがって、サーバーには思ったより多くのホールがあり、潜在的な損失の頻度や、使用しているリスク評価方法(FAIRでは、たとえば、抵抗力が低下する可能性があります)が増加します。
たとえば、個人データが失われる可能性のあるまったく新しい方法を見つけたとしても、リスクは個人データの損失です。新しい攻撃パスを発見しました新しいリスクではありません。
これはあなたの質問に直接答えるものではありませんが、あなたの問題を解決するでしょう。脆弱性を既存のリスクのパラメータを変更することと考えれば、既存のリスクレジスタが十分に役立つと私はかなり確信しています。
リスクレジスタは、組織内のリスクを理解し、リスクを解決する方法を計画するのに役立つドキュメントです。多くの場合、インターネットで多くのドキュメントを見つけて結果を出していますが、そのほとんどはごく少数の人しか理解していません。その結果、リスクを解決するという主要な問題が失われ、ほとんどの作業はリスクレジスター自体の理解に向けられます。
リスクレジスターは自分で作成でき、組織に合わせてカスタマイズできます。レジスターを個別に作成すると、リスク、および発生する可能性のある残留リスクについて多くのことを学ぶことになります。
これははるかに優れており、あなたのキャリアにおいてあなたを助け、あなたの組織も助けます。もちろん、既製のフォーマットを使用することもできますが、組織のニーズに適合させるようにしてください。
ISO 27001の附属書Aは、リスクをさまざまなグループに分類し、順番に参加するのに役立ちます。これを参照として、各グループの脆弱性を理解し、それらにパッチを適用するコントロールを見つける必要があります。これがリスク評価とリスク処理です。