オペレーショナル脆弱性 の探索
オペレーショナル脆弱性機能により、ユーザーは運用上の脆弱性や重大な機能上のギャップにフラグを立て、主要なステークホルダーと連携し、根本的な原因を分析し、解決策を特定することができます。
オペレーショナル脆弱性を使用すると、チームは違反、ソフトウェアのギャップ、または侵害に起因する問題に対処できます。ユーザーは、 従業員センター を介して運用上の脆弱性に関するレポートを送信するか、 オペレーショナルレジリエンスワークスペースで直接レポートを作成できます。
- 顧客データの公開
- サードパーティの問題
- ソフトウェアの欠陥
- 政治または環境状況
オペレーショナル脆弱性 のメリット
- ビジネスユーザーが、チームの注意が必要な不一致、違反、または苦情を報告できるようにします。
- 重要性および影響許容度アセスメント、シナリオ分析、自己証明書、サービスなど、複数のソースから作成できます。
- エンティティ、場所、ユーザー、会社など、影響を受ける、および関連する注意が必要な組織領域を記録。
- チーム間のコラボレーションを促進して、調査、評価、証拠の収集、観察の記録、さらなるレビューのための応答の決定を行います。
- 修復と予防措置の開始を可能にし、根本原因分析を実施して脆弱性の原因を特定します。
技術的および運用上の脆弱性の定義
- 技術的な脆弱性:組織の IT インフラストラクチャ内の重大なギャップ、欠陥、または弱点です。このカテゴリには、セキュリティプロトコル、システム設計、内部コントロール、または日常の運用慣行における欠陥が含まれます。
- 運用上の脆弱性:組織の運用に影響を与える可能性のある、IT 以外の要因、プロセス関連要因、または外部要因に関係します。通常、これらには、スキャンツールによる検出を回避するサードパーティ、施設、または外部の状況に関する問題が含まれます。
のユースケース オペレーショナル脆弱性
次の例で概説されている状況は、運用上の脆弱性を示しています。これらの問題は、IT スキャナーでは検出できませんが、該当分野の専門家によって特定できます。これらは、特定のサードパーティとの作業や単一の施設への依存など、日常業務における弱点やギャップを表します。
| シナリオ | 説明 |
|---|---|
| サードパーティと連携するか、単一の施設に依存する |
ある企業が、重要なプロセスを特定の地域のサードパーティにアウトソーシングしているとします。時事問題により、サードパーティはサービスを提供できず、会社はこの地域からサービスを受けることができません。 顧客にサービスを提供することを約束している同社は、事業を継続するために代替のサードパーティを迅速に特定する必要があります。 同社にとって重要なことは、第三者集中のリスクに対処することです。 |
| 手動での介入が必要な IT に関連しない脆弱性 |
遠隔地にある重要な金融機関を考えてみましょう。近くの状況でその地域が危険にさらされた場合、管理チームはこれを脆弱性として識別する可能性があります。 これは、手動操作を必要とする IT 以外の関連の脆弱性の別の例となります。 |
これらの運用上の脆弱性に対処するために、組織は、複数の地域にわたるサードパーティの多様化や金融施設の移転など、さまざまなアプローチを調査できます。これらのソリューションを実装するために、組織は通常、費用便益分析を実行し、運用上の脆弱性を軽減するためのコストや、ソリューションが 1 回限りの解決策、一時的な対策、または永続的な解決策であるかどうかなどの要素を比較検討します。
のワークフロー オペレーショナル脆弱性
オペレーショナル脆弱性を解決するには、いくつかの重要な手順を実行します。
- 識別:運用上のギャップを認識します。
- アセスメント:脆弱性に対処する必要があるかどうかを評価します。この評価は、1 回または繰り返し行うことができ、修理コストと、問題の解決による潜在的な節約額を比較検討します。
- 意思決定:アセスメントに基づいて、対処措置を決定します。脆弱性に対処する場合は、次のタスクを完了してください。
- タスク割り当て:特定のタスクを関連する個人に割り当てます。
- 完了と検証:タスクが完了したら、脆弱性が解決されたことを確認します。
- 受け入れとしての代替パス:アセスメント後、脆弱性はそのまま受け入れられる場合があります。この場合、それ以上のアクションは実行されず、脆弱性が確認されてクローズされます。