Turinys:
- Paklusnumas atitikčiai
- Gelbėjimo saugumas?
- Rizika kaip vienintelė tiesa
- Trys holistinio požiūrio į riziką elementai
- Esminė rizikos ir atitikties linija
Grybavimo pramonė ir vyriausybių mandatai, reglamentuojantys IT saugumą, leido sukurti griežtai reguliuojamą aplinką ir kasmet vykdyti priešgaisrinius mokymus. Reglamentų, turinčių įtakos vidutinėms organizacijoms, skaičius gali nesunkiai viršyti keliolika ar keliolika, o dienos bėgyje vis sudėtingesnis. Tai verčia daugumą kompanijų priskirti bereikalingus išteklius valdymui ir atitikties užtikrinimui be ilgo IT prioritetų sąrašo. Ar šios pastangos yra pateisinamos? Arba paprasčiausias žymėjimo langelio reikalavimas, kaip į atitiktį orientuoto požiūrio į saugumą dalis?
Karšta tiesa ta, kad galite suplanuoti auditą, bet negalite suplanuoti kibernetinės atakos. Beveik kiekvieną dieną mums tai primenama, kai pažeidimai skelbia antraštes. Todėl daugelis organizacijų padarė išvadą, kad norėdamos įgyti žinių apie savo rizikingą padėtį, turi peržengti paprastus atitikties įvertinimus. Todėl jie atsižvelgia į grėsmes ir silpnąsias vietas, taip pat į poveikį verslui. Tik šių trijų veiksnių derinys garantuoja holistinį požiūrį į riziką.
Paklusnumas atitikčiai
Organizacijos, vykdančios žymimąjį langelį ir laikydamosi požiūrio į rizikos valdymą, pasiekia tik tam tikro laiko saugumą. Taip yra todėl, kad įmonės saugumo laikysena yra dinamiška ir laikui bėgant keičiasi. Tai buvo ne kartą įrodyta.
Neseniai progresyvios organizacijos pradėjo laikytis aktyvesnio, rizika grindžiamo požiūrio į saugumą. Rizikos modelio tikslas yra maksimaliai padidinti organizacijos IT saugumo operacijų efektyvumą ir suteikti daugiau informacijos apie riziką ir atitikties laikyseną. Pagrindinis tikslas yra nuolat laikytis taisyklių, nuolat mažinti riziką ir stiprinti saugumą.
Dėl daugelio veiksnių organizacijos pradeda pereiti prie rizika pagrįsto modelio. Tai apima, bet neapsiriboja:
- Kylantys kibernetiniai įstatymai (pvz., Kibernetinės žvalgybos bendro naudojimo ir apsaugos įstatymas)
- Valiutos kontrolieriaus tarnybos (OCC) priežiūros nurodymai
Gelbėjimo saugumas?
Paprastai manoma, kad pažeidžiamumo valdymas sumažins duomenų pažeidimo riziką. Tačiau neįvertindamos pažeidžiamumo atsižvelgiant į su jais susijusią riziką, organizacijos dažnai netinkamai ištaiso ištaisymo išteklius. Dažnai jie pamiršta pačią kritiškiausią riziką, atkreipdami dėmesį tik į „žemai kabančius vaisius“.
Tai ne tik pinigų švaistymas, bet ir sukuria ilgesnę galimybę įsilaužėliams išnaudoti kritines spragas. Pagrindinis tikslas yra sutrumpinti langą, užpuolikai turi išnaudoti programinės įrangos trūkumus. Todėl pažeidžiamumo valdymą turi papildyti holistinis, rizika pagrįstas požiūris į saugumą, kuriame atsižvelgiama į tokius veiksnius kaip grėsmės, pasiekiamumas, organizacijos laikysena laikysenoje ir verslo poveikis. Jei grėsmė negali pasiekti pažeidžiamumo, susijusi rizika arba sumažinama, arba pašalinama.
Rizika kaip vienintelė tiesa
Organizacijos laikymosi laikysena gali atlikti esminį vaidmenį užtikrinant IT saugumą, nes nustatomos kompensacinės kontrolės priemonės, kurios gali būti naudojamos siekiant užkirsti kelią grėsmėms pasiekti savo tikslą. Remiantis 2013 m. „Verizon“ duomenų pažeidimo tyrimo ataskaita, duomenų, gautų atlikus pažeidimų tyrimus, kuriuos „Verizon“ ir kitos organizacijos atliko praėjusiais metais, analize, 97 proc. Saugumo incidentų buvo galima išvengti atliekant paprastą ar tarpinę kontrolę. Tačiau poveikis verslui yra kritinis veiksnys nustatant faktinę riziką. Pvz., Pažeidžiamumai, keliantys pavojų kritiniam verslo turtui, kelia daug didesnę riziką nei tie, kurie siejami su mažiau kritiniais tikslais.
Atitikties laikysena paprastai nėra susieta su turto verslo kritiškumu. Vietoj to kompensuojamoji kontrolė taikoma bendrai ir atitinkamai išbandoma. Neturėdama aiškaus verslo kritiškumo, kurį turtui reiškia organizacija, organizacija negali prioriteto ištaisyti. Į riziką orientuotas požiūris skirtas tiek saugumo laikysenai, tiek verslo poveikiui, siekiant padidinti veiklos efektyvumą, pagerinti vertinimo tikslumą, sumažinti išpuolių paviršių ir pagerinti sprendimų dėl investicijų priėmimą.
Kaip minėta anksčiau, rizikai daro įtaką trys pagrindiniai veiksniai: laikymosi laikysena, grėsmės ir pažeidžiamumas bei poveikis verslui. Dėl to būtina apskaičiuoti kritinę informaciją apie riziką ir laikyseną atsižvelgiant į esamą, naują ir kylančią informaciją apie grėsmę, kad būtų galima apskaičiuoti poveikį verslo operacijoms ir nustatyti prioritetinius ištaisymo veiksmus.
Trys holistinio požiūrio į riziką elementai
Yra trys pagrindiniai komponentai įgyvendinant rizika pagrįstą požiūrį į saugumą:- Nuolatinis atitikimas apima turto suderinimą ir duomenų klasifikavimo automatizavimą, techninių valdymo priemonių suderinimą, atitikties bandymų automatizavimą, vertinimo apžvalgų diegimą ir duomenų konsolidavimo automatizavimą. Nuolat laikydamiesi reikalavimų, organizacijos gali sumažinti sutapimą pasinaudodamos bendra kontrolės sistema, kad būtų padidintas duomenų rinkimo ir analizės tikslumas, ir iki 75 procentų sumažintos nereikalingos, taip pat rankomis imančios, daug darbo reikalaujančios pastangos.
- Nuolatinis stebėjimas reiškia dažnesnį duomenų vertinimą ir reikalauja saugumo duomenų automatizavimo, kaupiant ir normalizuojant duomenis iš įvairių šaltinių, tokių kaip saugumo informacija ir įvykių valdymas (SIEM), turto valdymas, grėsmių kanalai ir pažeidžiamumo skaitytuvai. Savo ruožtu organizacijos gali sumažinti sąnaudas suvienodindamos sprendimus, racionalizuodamos procesus, sukurdamos situacijos suvokimą, kad galėtų laiku atskleisti išnaudojimą ir grėsmes, ir rinkdamos istorinių tendencijų duomenis, kurie gali padėti numatyti saugumą.
- Uždaro ciklo, rizika grindžiamas ištaisymas pasitelkia verslo padalinių ekspertus, kad nustatytų rizikos katalogą ir toleranciją rizikai. Šis procesas apima turto klasifikavimą, siekiant apibrėžti verslo kritiškumą, nuolatinį balų skyrimą, kad būtų galima nustatyti rizika pagrįstą prioritetą, ir uždarosios grandies stebėjimą bei vertinimą. Nustatydamos nuolatinį esamo turto, žmonių, procesų, galimos rizikos ir galimos grėsmės peržiūros ciklą, organizacijos gali smarkiai padidinti veiklos efektyvumą ir kartu pagerinti verslo, saugumo ir IT operacijų bendradarbiavimą. Tai leidžia įvertinti ir padaryti apčiuopiamas saugumo pastangas, tokias kaip sprendimo laikas, investicijos į saugumo operacijų personalą, papildomų saugumo priemonių pirkimas.
Esminė rizikos ir atitikties linija
Atitikties mandatai niekada nebuvo skirti valdyti IT saugumo magistralę. Jie turėtų atlikti palaikomąjį vaidmenį dinaminėje saugumo sistemoje, kurią lemia rizikos vertinimas, nuolatinė stebėsena ir taisymas uždaru ciklu.
