Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070
الدليل

كيفية رسم مسار نحو تطور إدارة التعرض للمخاطر

هل أنت مستعد لجعل إدارة التعرض للمخاطر أولوية؟ سيساعدك هذا الدليل السريع على تحديد حالتك الحالية من حيث تطور إدارة التعرض للمخاطر ويزودك بالتغييرات القوية في الأشخاص والعمليات والتكنولوجيا لمساعدتك على الوصول إلى حالتك المطلوبة.

كيفية رسم مسار نحو تطور  إدارة التعرض للمخاطر

كيفية رسم مسار نحو تطور إدارة التعرض للمخاطر

14 تغييرًا قويًا على مستوى الأفراد والعمليات والتكنولوجيا لتحقيق نتائج ملموسة في مجال الأمن الإلكتروني وإدارة المخاطر

تنزيل الآن

ما هي إدارة التعرض للمخاطر؟

تعد إدارة التعرض للمخاطر نهجًا إستراتيجيًا للأمن الاستباقي مصممًا لتحديد أكثر حالات التعرض الإلكتروني إلحاحًا في المؤسسة وترتيب أولوياتها والتخلص منها باستمرار، وهي تلك المجموعات الضارة من المخاطر التي يمكن الوقاية منها (مثل الثغرات الأمنية والتكوينات غير الصحيحة والأذونات المفرطة) التي توفر للجهات التي تشكل تهديدًا مسارًا إلى الأصول الأكثر أهمية للمؤسسة.

فوائد إدارة التعرض للمخاطر

6 أسباب تدفع كبار موظفي أمن المعلومات إلى جعل إدارة التعرض للمخاطر حجر الأساس في إستراتيجية الأمن الإلكتروني لديهم

  1. تساعد إدارة التعرض للمخاطر على زيادة إنتاجية وظيفة الأمن الإلكتروني ومدى كفاءتها، مع تقليل التكاليف الإجمالية وحالات التعرض للمخاطر.
  2. تمنح قادة الأمن والأعمال رؤية موحدة حول الحالات الحقيقية للتعرض للمخاطر الإلكترونية التي تواجه مؤسساتهم.
  3. تحسّن من مدى الكفاءة والفعالية التي يتمتع بها فرق الأمن الاستباقي وفرق المعالجة، من خلال تحديد أولويات حالات التعرض للمخاطر وتسهيل عملية واحدة وموحدة لمعالجتها.
  4. تساعد على تقليص سطح الهجوم القابل للاستغلال في المؤسسة، مما يقلل من العبء على فرق الأمن التفاعلي (على سبيل المثال، فرق الاستجابة للحوادث وتحليل مركز عمليات الأمن (SOC) والبحث عن التهديدات).
  5. توفر إدارة التعرض للمخاطر لقادة الأمن آلية لتوحيد وظائف الأمن الاستباقي المنفصلة والبيانات التي تصدرها أدواتهم المختلفة.
  6. توفر مسارًا مستدامًا وقابلًا للتطوير لرفع مستويات تطور فرق الأمن الاستباقي.

براهين إدارة التعرض للمخاطر

حقق عملاء Tenable النتائج التالية بفضل إدارة التعرض للمخاطر:

10X
تحسن في رؤية الأصول يصل إلى 10 أضعاف
75%
توفير يصل إلى 75% من الوقت في عمليات جمع بيانات التعرض للمخاطر وتنظيمها
82%
انخفاض في تذاكر المعالجةالجديدةبنسبة تصل إلى 82%
80%
تخفيض تكاليف الترخيص بنسبة تصل إلى 80%
45 مليون دولار
توفير 45 مليون دولار في عام واحد من خلال الحد من التعرض الإلكتروني

المراحل الخمس لتطور إدارة التعرض للمخاطر

المرحلة 1: مخصّص

تُدرك أنك في هذه المرحلة، إذا كانت مؤسستك:
  • تعتمد إلى حد كبير على عمليات التدقيق اليدوي لتحديد الأصول في بيئتها.
  • تفاعلية أكثر من كونها استباقية، مع وجود أدوات محدودة أو عدم وجود أدوات للكشف عن المخاطر لكل مجال أمني.
  • لم تعتمد أي أطر أو معايير قياسية.
  • تفتقر إلى عمليات سير عمل محددة للمعالجة.
  • تعتمد على تتبّع مجزّأ وغير متسق ويدوي للمقاييس.
 

المرحلة 2: محدد

تُدرك أنك في هذه المرحلة، إذا كانت مؤسستك:
  • لديها موظفون بأدوار محددة تتماشى مع المجالات الأمنية الفردية، حتى إذا تباين مدى تطور كل مجال (على سبيل المثال، بعض الفرق تتمتع بخبرات وعمليات أكثر تقدمًا).
  • تتمتع برؤية أفضل للأصول وسطح الهجوم، ولكن قد تظل هناك ثغرات كبيرة في التغطية بسبب الاستخدام المتقطع لأدوات الاكتشاف المؤتمت في بعض المجالات الأمنية.
  • تستخدم تقييم تحديد درجة المخاطر المحدد حسب الأداة أو المتوافق مع معايير هذا المجال، وبدأت إدراج التحليل الذكي للتهديدات في هذا التقييم؛ للمساعدة في تحديد أولويات النتائج الفردية.
  • تُطبق بعض أدوات المعالجة في مكانها الصحيح، واتخذت خطوات أولية لتحديد عمليات المعالجة الأساسية.
  • اتخذت خطوات أولية لتحديد مجموعة أساسية من المقاييس وإعداد التقارير لكل مجال، ولكنها تفتقر إلى مواءمة الأعمال والاتساقعبر المجالات.
 

المرحلة 3: قياسي

تُدرك أنك في هذه المرحلة، إذا كانت مؤسستك:
  • تتمتع برؤية مؤتمتة في قطاع عريض من أنواع الأصول عبر سطح الهجوم، مع التركيز على اكتشاف المخاطر بشكل أساسي على الثغرات الأمنية (الثغرات الأمنية وحالات التعرض للمخاطر الشائعة (CVE)).
  • تقسّم التحليل الذكي للتهديدات وأهمية الوصول إلى طبقات بالإضافة إلى تقييم تحديد درجة المخاطر المحدد حسب الأداة أو المتوافق مع معايير هذا المجال؛ لفهم احتمالية الاستغلال والقيمة التجارية للأصل.
  • تجمع بعض بيانات الأصول وبيانات المخاطر في مخزن بيانات واحد، سواء كان قاعدة بيانات أو أداة إعداد التقارير أو مستودع بيانات موحدًا.
  • تُجري عمليات متطورة لتحديد الأولويات عبر المجالات الأمنية الفردية، إلى جانب عمليات معالجة موثقة جيدًا ومدمجة في الأدوات.
  • لديها مقاييس أساسية وإمكانية إعداد التقارير المحددة لكل مجال من المجالات الأمنية، مع القدرة على تكييفها حسب وحدات العمل.
 

المرحلة 4: متقدم

تُدرك أنك في هذه المرحلة، إذا كانت مؤسستك:
  • تتمتع برؤية قوية وموحدة لمعظم الأصول عبر سطح الهجوم. ومع ذلك، قد تبقى بعض الثغرات في الرؤية بسبب الاعتماد على الاكتشاف المؤتمت خلال فترة محددة.
  • ←تتميز بقدرات قوية للكشف عن الثغرات الأمنية والتكوينات غير الصحيحة عبر سطح الهجوم، ولكنها تفتقر عادةً إلى إمكانية الرؤية في حالات التعرض للمخاطر من الأذونات البشرية والآلية المفرطة.
  • تنظم تحديد درجة المخاطر عبر المجالات وتراعي التحليل الذكي للتهديدات وأهمية الأصول.
  • تقوم بتجميع البيانات الأمنية وإلغاء تكرارها وربطها تلقائيًا في مستودع بيانات موحد.
  • تتخذ نهجًا موحدًا لتحديد الأولويات عبر المجالات التي تتضمن وضع علامات مع سياق الأعمال؛ لفهم التأثير المحتمل للأعمال.
  • يخصص ويوزع الموظفين على الأدوار عبر المجالات ويستخدم العمليات المتطورة الموجودة لإجراء المعالجة.
  • تتمتع بمقاييس وتقارير متسقة تتوافق مع الأعمال عبر المجالات.
 

المرحلة 5: محسّن

تُدرك أنك في هذه المرحلة، إذا كانت مؤسستك:
  • تتمتع برؤية قوية وموحدة لسطح الهجوم الشامل مع الاكتشاف المستمر للأصول.
  • تكتشف بشكل استباقي جميع أشكال المخاطر التي يمكن الوقاية منها، والتي يمكن لمرتكبي الهجوم استغلالها: الثغرات الأمنية والتكوينات غير الصحيحة والأذونات المفرطة.
  • تطبق تقييمًا متقدمًا يركز على التعرض للمخاطر يمكن أن يحدد إجمالي التعرض للأصول، بالإضافة إلى تحديد درجات التعرض للمخاطر لوحدات الأعمال المختلفة.
  • تتخذ إجراءات مستندة إلى رؤية ذات أولوية لمسارات الهجوم وحالات التعرض التي يمكن أن تستغلها الجهات التي تشكل تهديدًا لاختراق الأصول الهامة والتسبب في تعطيلها.
  • لديها فريق متخصص ومتطور ومتعدد المجالات يعمل باستمرار على تحسين العمليات وسير عمل المعالجة؛ لتحقيق أقصى قدر من الإنتاجية والحد من المخاطر.
  • تستمر في قياس حالات التعرض الحقيقية والإبلاغ عنها بدلًا من المخاطر الفردية فقط.

هل أنت مستعد للبدء؟

Download the quick-start guide to get 14 proven, powerful people, process and technology changes to help you advance your exposure management maturity.

الحصول على دليل البدء السريع الآن