Cybersecurity supply chain risk management – cyberriskhantering för leveranskedjan. – C-SCRM är en systematisk process för att upptäcka, stoppa och reducera risker som kan nå en organisation genom dess leveranskedja. Skadeprogram av olika slag, som trojanska hästar och gisslanprogram, kan ju nå en organisation från andra organisationer som den samarbetar med, till exempel underleverantörer eller it‑tjänstleverantörer. Ofta utgår man från att kommunikation från organisationer i leveranskedjan är säkra, men det behöver inte alltid vara fallet. Allt fler attacker använder strategin att gå genom leveranskedjor – en framgångsrik attack mot ett företag kan då sprida sig till flera.
[förkortningar på C] [riskhantering] [6 juni 2022]
(OSCP) – ett certifikat om godkända färdigheter i penetrationstestning. – OSCP‑certifikat utfärdas av det amerikanska företaget Offensive Security (offensive‑security.com) efter genomgången och godkänd utbildning med praktiska övningar. – Se offensive‑security….
[riskhantering] [utbildningar] [4 april 2022]
(eller threat modelling) – se hotmodellering.
[riskhantering]
(threat modeling) – systematisk sammanställning och bedömning av tänkbara hot mot ett bestämt it-system. – Hoten graderas efter vilken risk de utgör för det specifika it‑system som det gäller. Syftet är att försvåra och förebygga hot på det mest kostnadseffektiva sättet.
[riskhantering] [4 april 2022]
(DRaaS) – katastrofberedskap som tjänst i molnet. – Företag som anlitar en sådan tjänst laddar upp alla verksamhetskritiska program och data till tjänsten. Det gäller alla program och alla data som företaget behöver ha tillgång till för att återställa verksamheten efter ett avbrott, eller för att fortsätta verksamheten i andra lokaler eller med distansarbete (kontinuitetsplanering). Detta är mer omfattande än backup, eftersom även infrastrukturens program behöver sparas. Men samma försiktighet gäller som för backup: det som lagras i en DRaaS måste vara fysiskt och logiskt skilt från källan. Men i en katastrofsituation ska företagets medarbetare kunna sköta sina jobb med kort varsel genom att ansluta sig till DRaaS‑operatören i molnet. (Det är alltså inte meningen att hela systemet ska laddas ner från molnet, utan det ska köras i molnet.)
[as-a-service] [riskhantering] [6 juni 2021]
(risk appetite) – den nivå av risktagande som en organisation anser sig kunna acceptera innan den sätter in motåtgärder. – Termen riskaptit är definierad i standardiseringsorganisationen ISO:s standard Risk management (ISO 31000:2018) – se ISO:s webbsidor.
[riskhantering] [9 maj 2021]
- – event – vid programkörning: en definierad händelse som programmet ska hantera på ett visst sätt. Händelsen kan vara något som uppstår inom ramen för programkörningen eller något som kommer utifrån (till exempel något som användaren gör);
- – inom riskhantering står ordet händelse (event) oftast endast för en viss typ av händelser, nämligen sådana som uppmärksammas av säkerhetssystemet eller av en person, men som i sig bedöms som betydelselösa eller föga allvarliga. Händelser i denna betydelse noteras, men föranleder ingen åtgärd. Mer allvarliga händelser kallas för incidenter eller katastrofer. (Händelse är också den överordnade termen.)
[riskbedömning] [riskhantering] [ändrad 13 april 2021]