1
00:00:03,000 --> 00:00:05,160
Καλώς ήρθατε πίσω.

2
00:00:05,160 --> 00:00:07,440
Μόλις κατανοήσουμε τι είναι το risk,

3
00:00:07,440 --> 00:00:10,440
το επόμενο βήμα είναι να το εντοπίσουμε (identify)
και να το αξιολογήσουμε (assess).

4
00:00:10,520 --> 00:00:13,520
Οι οργανισμοί
δεν μπορούν να αμυνθούν ενάντια σε ό,τι δεν μπορούν να δουν.

5
00:00:14,040 --> 00:00:18,120
Σε αυτό το μάθημα, θα καλύψουμε πώς
οι ομάδες cybersecurity βρίσκουν πιθανά risks

6
00:00:18,440 --> 00:00:21,440
και πώς μετράνε τα επίπεδα risk
για να πάρουν εξυπνότερες αποφάσεις.

7
00:00:22,560 --> 00:00:25,560
Ο εντοπισμός risk (Risk identification) ξεκινά
με τρεις βασικές ερωτήσεις.

8
00:00:25,920 --> 00:00:29,440
Τι χρειάζεται να προστατεύσουμε; (Assets)

9
00:00:29,960 --> 00:00:32,080
2. Τι θα μπορούσε να το βλάψει;

10
00:00:32,080 --> 00:00:33,280
(Threats)

11
00:00:33,280 --> 00:00:35,880
3. Ποια είναι τα αδύναμα σημεία μας;

12
00:00:35,880 --> 00:00:37,400
(Vulnerabilities)

13
00:00:37,400 --> 00:00:40,680
Συνηθισμένες μέθοδοι περιλαμβάνουν asset inventories,

14
00:00:41,160 --> 00:00:42,480
threat modeling,

15
00:00:42,480 --> 00:00:45,080
και vulnerability scanning.

16
00:00:45,080 --> 00:00:48,120
Ο στόχος είναι να δημιουργήσετε μια πλήρη εικόνα
του risk landscape σας.

17
00:00:49,360 --> 00:00:52,360
Υπάρχουν δύο κύριες προσεγγίσεις
στην αξιολόγηση risk.

18
00:00:52,440 --> 00:00:54,200
Η Qualitative (ποιοτική) χρησιμοποιεί

19
00:00:54,200 --> 00:00:57,960
κρίση ειδικών
για να κατατάξει το risk ως high, medium, ή low.

20
00:00:58,840 --> 00:01:02,160
Η Quantitative (ποσοτική) χρησιμοποιεί αριθμούς
και οικονομικό αντίκτυπο

21
00:01:02,240 --> 00:01:05,240
για να υπολογίσει το risk σε δολάρια
ή πιθανότητες.

22
00:01:05,760 --> 00:01:07,040
Παράδειγμα:

23
00:01:07,040 --> 00:01:10,280
Qualitative: "Το Phishing είναι ένα HIGH risk."

24
00:01:11,520 --> 00:01:12,640
Quantitative:

25
00:01:12,640 --> 00:01:16,200
"Το Phishing προκαλεί $300,000 σε απώλειες/έτος."

26
00:01:17,160 --> 00:01:18,840
Και οι δύο μέθοδοι έχουν αξία.

27
00:01:18,840 --> 00:01:21,840
Οι περισσότεροι οργανισμοί χρησιμοποιούν ένα μείγμα των δύο.

28
00:01:22,800 --> 00:01:24,800
Πολλοί οργανισμοί ακολουθούν δομημένα

29
00:01:24,800 --> 00:01:27,800
risk frameworks για να τυποποιήσουν
το πώς αξιολογούν απειλές.

30
00:01:28,320 --> 00:01:32,640
Τα δημοφιλή
περιλαμβάνουν το Risk Management Framework (RMF) - U.S.

31
00:01:32,640 --> 00:01:34,680
κυβέρνηση και εργολάβοι.

32
00:01:34,680 --> 00:01:39,840
ISO 27005: Διεθνές Πρότυπο
για Information Security Risk.

33
00:01:40,560 --> 00:01:42,960
FAIR (Factor Analysis of Information

34
00:01:42,960 --> 00:01:45,960
Risk): εστιάζει στον οικονομικό αντίκτυπο.

35
00:01:46,360 --> 00:01:49,760
Αυτά τα frameworks προσφέρουν κατευθυντήριες γραμμές,
βήματα, και λίστες ελέγχου

36
00:01:50,040 --> 00:01:53,040
για να διασφαλίσουν συνεπή και αποτελεσματική risk
ανάλυση.

37
00:01:54,000 --> 00:01:56,200
Το risk assessment δεν είναι μόνο χειροκίνητο.

38
00:01:56,200 --> 00:01:58,000
Βασίζεται σε εργαλεία.

39
00:01:58,000 --> 00:02:01,320
Συνηθισμένα εργαλεία
περιλαμβάνουν vulnerability scanners

40
00:02:01,800 --> 00:02:05,520
όπως Nessus
ή OpenVAS για να βρουν τεχνικές αδυναμίες.

41
00:02:06,360 --> 00:02:09,440
Πλατφόρμες asset management για να παρακολουθούν
τι χρειάζεται προστασία.

42
00:02:10,080 --> 00:02:12,680
Risk registers για να τεκμηριώνουν risks,

43
00:02:12,680 --> 00:02:15,680
βαθμολογίες, κατόχους, και απαντήσεις.

44
00:02:16,320 --> 00:02:19,000
Αυτά τα εργαλεία
βοηθούν τις ομάδες ασφαλείας να εργάζονται γρηγορότερα,

45
00:02:19,000 --> 00:02:22,200
να μειώνουν τα τυφλά σημεία,
και να διατηρούν τα risk assessments επίκαιρα.

46
00:02:23,520 --> 00:02:24,040
Το τελικό

47
00:02:24,040 --> 00:02:27,640
βήμα είναι η μετατροπή του risk σε δράση.
Για κάθε αναγνωρισμένο risk,

48
00:02:27,800 --> 00:02:30,360
πρέπει να επιλέξετε μία από τέσσερις στρατηγικές.

49
00:02:30,360 --> 00:02:31,920
Mitigate.

50
00:02:31,920 --> 00:02:35,760
Μειώστε την πιθανότητα
ή τον αντίκτυπο. 2. Transfer.

51
00:02:35,880 --> 00:02:38,160
Μεταφέρετε το risk σε άλλο μέρος, π.χ.

52
00:02:38,160 --> 00:02:39,400
ασφάλεια.

53
00:02:39,400 --> 00:02:40,320
3.

54
00:02:40,320 --> 00:02:43,120
Accept: αναγνωρίστε και παρακολουθήστε το risk.

55
00:02:43,120 --> 00:02:45,160
4. Avoid.

56
00:02:45,160 --> 00:02:48,160
Εξαλείψτε
τη δραστηριότητα που προκαλεί το risk.

57
00:02:48,600 --> 00:02:51,600
Οι καλές αξιολογήσεις καθοδηγούν την ηγεσία
στην επιλογή της σωστής απάντησης.

58
00:02:52,360 --> 00:02:54,560
Έτοιμοι για ένα μικρό επαναληπτικό κουίζ;

59
00:02:54,560 --> 00:02:55,520
Ερώτηση πρώτη.

60
00:02:55,520 --> 00:02:57,720
Ποια τρία στοιχεία
χρειάζεται να αναγνωρίσετε;

61
00:02:57,720 --> 00:02:59,640
Cybersecurity risk.

62
00:02:59,640 --> 00:03:04,640
Α προϋπολογισμός, προσωπικό, πολιτική. Β Asset,
Threat, Vulnerability.

63
00:03:04,880 --> 00:03:10,000
Γ Firewall, antivirus, logs.
Δ Εύρος ζώνης, κρυπτογράφηση,

64
00:03:10,000 --> 00:03:11,120
backups.

65
00:03:11,120 --> 00:03:14,120
Σκεφτείτε το καλά.

66
00:03:17,160 --> 00:03:19,640
Η σωστή απάντηση είναι Β.

67
00:03:19,640 --> 00:03:22,440
Ο εντοπισμός risk περιλαμβάνει
την εύρεση ενός asset,

68
00:03:22,440 --> 00:03:25,440
την απειλή προς αυτό, και την ευπάθεια
που γίνεται exploited.

69
00:03:26,720 --> 00:03:27,840
Ερώτηση δύο.

70
00:03:27,840 --> 00:03:31,440
Ποιο από τα παρακάτω είναι παράδειγμα
μιας qualitative risk assessment;

71
00:03:31,920 --> 00:03:35,680
Α εκτίμηση $500,000 σε ετήσιες απώλειες
breach.

72
00:03:36,280 --> 00:03:39,840
Β κατάταξη ενός risk ως "High" βάσει γνώμης
ειδικών.

73
00:03:39,880 --> 00:03:43,520
Γ υπολογισμός πιθανότητας ως 0.03.

74
00:03:43,560 --> 00:03:46,920
Δ υπολογισμός του κόστους του downtime. Παύση.

75
00:03:52,200 --> 00:03:54,120
Η σωστή απάντηση είναι Β.

76
00:03:54,120 --> 00:03:56,840
Η Qualitative
βαθμολόγηση risk χρησιμοποιεί κρίση ειδικών

77
00:03:56,840 --> 00:03:59,840
για να χαρακτηρίσει τα risks ως high, medium, ή low.

78
00:04:00,480 --> 00:04:04,520
Τελευταία ερώτηση ποια από τις παρακάτω
είναι μια κοινή απάντηση σε risk;

79
00:04:05,600 --> 00:04:08,520
Α καθυστέρηση risk μέχρι του χρόνου.

80
00:04:08,520 --> 00:04:10,760
Β back up το risk.

81
00:04:10,760 --> 00:04:13,760
Γ transfer (μεταφορά) του risk σε τρίτο μέρος.

82
00:04:14,280 --> 00:04:16,800
Δ κρυπτογράφηση του risk.

83
00:04:16,800 --> 00:04:19,800
Εξετάστε την απάντησή σας.

84
00:04:23,280 --> 00:04:23,840
Η σωστή

85
00:04:23,840 --> 00:04:28,200
επιλογή απάντησης είναι Γ
μπορείτε να κάνετε transfer το risk συχνά

86
00:04:28,200 --> 00:04:32,360
μέσω ασφάλισης ή συμβολαίων
για να μειώσετε τον αντίκτυπό του στον οργανισμό σας.

87
00:04:33,680 --> 00:04:35,120
Ωραία δουλειά.

88
00:04:35,120 --> 00:04:38,800
Τώρα ξέρετε πώς οι οργανισμοί εντοπίζουν
και αξιολογούν το risk

89
00:04:39,080 --> 00:04:42,480
χρησιμοποιώντας τόσο δομημένα
frameworks όσο και πρακτικά εργαλεία.

90
00:04:42,960 --> 00:04:46,560
Στο επόμενο μάθημα, θα εξερευνήσουμε
πώς οι ομάδες κάνουν mitigate το risk

91
00:04:46,560 --> 00:04:51,000
εφαρμόζοντας ελέγχους (controls)
τεχνικούς, φυσικούς, και διοικητικούς.

92
00:04:51,600 --> 00:04:55,440
Ας συνεχίσουμε το ταξίδι σας
στην πολιτική ασφαλείας και στη στρατηγική.