セキュリティ

 

情報セキュリティマニュアル(ISM)で使用されている#riskmanagement フレームワークには、6つのフレームワークがあります。

手順:システムの定義、制御の選択、制御の実装、制御の評価、システムの承認、およびシステムの監視を行います。

「情報セキュリティマニュアル(ISM)の目的は、組織がリスク管理フレームワークを使用して適用できるサイバーセキュリティフレームワークを概説し、情報技術および運用技術システム、アプリケーション、およびデータをサイバー脅威から保護することです。」

「サイバーセキュリティガイドラインは、リスクの特定とリスク処理活動を支援することができますが、各システムの固有の性質、その運用環境、および組織のリスク許容度により、組織は依然として独自のリスク分析およびリスク評価活動を実施する必要があります。」

「セキュリティリスクと制御はサイバーセキュリティガイドラインで議論されており、ベースラインとして機能しますが、特定のシステムタイプやテクノロジーの網羅的なリストと見なすべきではありません。そのため、サイバーセキュリティガイドラインは、組織のリスク特定およびリスク処理活動に重要な情報を提供しますが、そのような活動の全範囲を表すものではありません。"

「サイバーリスクの状況:サイバーリスクの管理は、優れたガバナンスの重要な要素です。データ窃盗、恐喝、サイバー関連の業務中断などの脅威は、オーストラリアおよび世界中で増加しており、企業、政府、非営利団体、個人に財務、法律、運用、評判への影響をもたらしています。サイバー脅威の影響と緊急性が増すことで、プライバシー法、重要インフラ、施行の分野における規制対応と規制の優先事項も引き起こされています。

「このガイドは、サイバーリスク管理を全体的かつ実践的なレベルで理解する必要がある人々のために開発されました。これには、組織の意思決定者、取締役、マネージャー、およびサイバーリスク管理フレームワークとガバナンスの開発、実装、評価、または承認を任されるその他の人々が含まれます。

これは、このコホートがサイバーリスクのフレームワークとプログラムを監督し、適切な質問をし、提供された情報を評価することに自信を持つことを目的としています。

組織の規模、リスク成熟度レベル、ガバナンス構造、規制上の義務は大きく異なりますが、このガイドは、考慮すべきガバナンスとリスクの問題の概要を説明することを目的としています。

テクノロジー、製品、その他のシステム、プロセスの変更を監督する上級管理チームは、組織の全体的なリスク管理フレームワーク内のサイバーリスク慣行も理解し、それらが彼らの権限の範囲内で実装されていることを確認する必要があります。

このガイドは、サイバーリスクフレームワークの実装に関与する人々向けに、ガバナンス、リスク管理、サイバーセキュリティ、および標準を網羅する全体像を提供します。"

ランサムウェアは恐喝のツールです。脅威アクターがデータやシステムへのアクセスをブロックするために使用する悪意のあるソフトウェア (マルウェア) の一種です。ランサムウェアは、被害者が身代金を支払うまでターゲットを暗号化します。身代金は通常、特定の期限と暗号通貨での支払い要件付きです。2022 年、組織がランサムウェア攻撃から回復するには平均でほぼ 1 か月かかりました1。これは、1 か月の機会損失、追加のデバイス コスト、身代金などを意味します。さらに、一度攻撃の標的になった企業は、サイバー セキュリティ対策のレベルが低いとみなされるため、その後の攻撃を受けやすくなります。2022 年、米国の組織の平均賠償費用は約 200 万ドルでした。 2023 年、ランサムウェア攻撃からの回復にかかる平均コストは約 273 万ドルで、2022 年から約 100 万ドル増加しました2。2022 年現在、150 種類を超えるアクティブな亜種が存在するランサムウェアは、サイバー犯罪者にとってコスト効率が高く、サービスベースの攻撃となっています。Top10VPN のハッキング ツール価格インデックスによると、マルウェアはわずか 45 ドルで購入でき、攻撃の構築方法に関するチュートリアルはわずか 53 ドルで入手できます。Ransomware-as-a-Service (RAAS) は、月額サブスクリプション ベースで購入することもできます4。このハンドブックの原則のセクションで述べたように、サイバーセキュリティの経済性は逆転する傾向があり、攻撃を実行するコストははるかに低いため、組織を守り、被害を軽減し、保険をかけるコストよりも、サイバーセキュリティ保険は高価です。したがって、取締役会は経営陣が明確な不測の事態への対応、状況認識、攻撃への対応準備を確実に行う必要があります。最近、二重ランサムウェア攻撃が増加しており、企業にとってのリスクはかつてないほど高まっています。

サイバースペースとそのリソースへの人々のアクセスの増加は、私たちの日常生活に影響を及ぼし、私たちの社会に多大な影響を及ぼしています。サイバースペースは、私たちの生活、仕事、交流の仕方をすでに大きく変えています。サイバースペースは、経済発展、社会的交流、政治的交流のための無数の機会を提供します。サイバースペースは、違法な監視、個人データの収集、民主的なプロセスへの影響、犯罪の実行、戦争の手段と方法の変更を行うツールを提供してきました。これらの課題には複数の対応が必要であり、政府、民間セクター、市民社会が協力してサイバーセキュリティガバナンスの課題に取り組む必要があります。さらに、法的および政策的枠組みは、サイバー犯罪、サイバー悪意のある行為、サイバー攻撃、テロ目的でのインターネットの使用、暴力的過激主義の促進に効果的に対処しながら、国際人権規範をより尊重し実施するために適応する必要があります。この方向への積極的な行動のみが、安全で安定したオープンなサイバースペースを促進するでしょう。このような状況で、安全保障および防衛協力局は、サイバーセキュリティの強化と、サイバー空間の安全と安定、そしてオープンなサイバー空間の促進を促進するための、サイバーセキュリティおよび防衛協力の強化に関する包括的なガイダンスを策定しました。

当社のガイドでは、監査委員会が経営陣と関わる際に考慮すべき具体的な質問を提示しています。監査委員会に対する当社のその他の関連サポートには、監査委員会向けのサイバー セキュリティと情報リスクに関するガイダンス、監査委員会向けの変革ガイダンスなどがあります。さらに、政府におけるデジタル変革に関するガイドと、政府における人工知能の使用に関するレポートも発行しています。このガイドではライフサイクル アプローチを採用し、3 つの主要な段階で情報に基づいた質問を提示しています。