評価のタイプ
「セキュリティ評価」という言葉にはさまざまな意味があるため、イニシアチブの意図に基づいて評価の範囲を適切に設定することが重要です。最も一般的なタイプの評価では、セキュリティプログラムで実行する手順に影響を与える可能性のあるさまざまな結果が得られる可能性があります。
- 脆弱性評価: 環境内に存在する既知の脆弱性を特定し、それらを修正するためのアクションプランを策定します。
- ギャップ分析: 組織の既存のセキュリティ態勢と、そのセキュリティ態勢の理想的な目標状態との間のギャップを特定します。ギャップ分析は通常、企業または業界の標準を考慮し、目標とするセキュリティ態勢を実現するために必要な手順を明確に定義することを目的としています。
- リスクアセスメント: 組織のセキュリティ態勢のより包括的な視点を提供します。リスク評価では、脆弱性評価とギャップ評価の要素を組み合わせて、組織のリスク許容度と理想的な組織のセキュリティ態勢に対する既知のリスクを特定して評価します。
- セキュリティ監査: この評価ベースのサービスは、通常、NERC-CIPやその他の標準への準拠を徹底するために、所定の業界標準や要求事項に対する組織のセキュリティ態勢と実行状況を監査します。
上記は一般的なタイプのセキュリティ評価ですが、選ぶ前に、まずは意図した目的を理解することから始めることが重要です。これは、期待値を適切に設定し達成するため、およびサイバーセキュリティプログラムを推進させる最も効果的な評価を選択するために重要です。
現実的に取り組む
組織に適した評価の種類を検討するときは、評価はある時点のスナップショットであることを忘れないでください。組織のセキュリティプログラムに対する唯一のソリューションと見なすべきではありません。評価は、メンテナンス、管理および技術管理が目指すリスク許容度に適切なものかを確認するための定期点検のようなものです。
予算およびリソースが限られ、組織全体の評価を実施できない場合、評価の範囲を組織のベースラインとなる部分に縮小する「代表標本アプローチ」を使用することも考えられます。
すべてをまとめる
セキュリティ評価は、現在のセキュリティ態勢を評価するための効果的なツールとなり得ますが、目標とするセキュリティプロファイルを実現するには、適切に選択し、範囲を設定し、明確で実行可能な手順を示した現実的なロードマップと組み合わせる必要があります。適切なプロバイダであれば、評価と堅牢なセキュリティプログラムの作成をお手伝いできます。