そもそも、事業計画と無関係にセキュリティリスクを評価することに無理がある。そのため、事業の文脈からセキュリティリスクを捉える必要がある。
まず、実際に起きたセキュリティ事件・事故の報道に基づいて、想定されるサイバー攻撃のシナリオを作成し、ケーススタディを行うことが有効だ。
シナリオに基づいて、セキュリティ担当やIT担当を中心に「①防御できるか」、「②検知・対処できるか」を評価する。
防御ができず、適切な対処ができないシナリオが事業上の脅威に相当するため、事業の担当者を中心に該当するシナリオの「㋐事業リスク」を評価し、「㋑関係者の役割」を明らかにしていく。
からの記事と詳細 ( 億単位で被害が出ることもサイバー攻撃、「恐い」で済ませない経営者の視点 ホラーストーリーを経営計画に ... - Yahoo!ファイナンス )
https://ift.tt/1G4Ehld
出る
No comments:
Post a Comment