Spisu treści:
- Pułapka zgodności
- Bezpieczeństwo na ratunek?
- Ryzyko jako jedyna prawda
- Trzy elementy holistycznego spojrzenia na ryzyko
- Konkluzja dotycząca ryzyka i zgodności
Przemysł grzybowy i mandaty rządowe rządzące bezpieczeństwem IT doprowadziły do ściśle uregulowanego środowiska i corocznych ćwiczeń przeciwpożarowych. Liczba przepisów, które mają wpływ na przeciętne organizacje, może z łatwością przekroczyć kilkanaście lub więcej i z dnia na dzień stać się bardziej złożona. Zmusza to większość firm do przydzielania nadmiernej ilości zasobów do wysiłków związanych z zarządzaniem i zgodnością z przepisami na długiej liście priorytetów IT. Czy te wysiłki są uzasadnione? Czy po prostu wymaganie dotyczące pola wyboru w ramach podejścia do bezpieczeństwa opartego na zgodności?
Gorzka prawda jest taka, że możesz zaplanować audyt, ale nie możesz zaplanować cyberataku. Prawie każdego dnia przypominamy sobie o tym, gdy naruszenia są najważniejszymi wiadomościami. W rezultacie wiele organizacji doszło do wniosku, że aby uzyskać wgląd w swoją postawę ryzyka, muszą wykraczać poza proste oceny zgodności. W rezultacie uwzględniają zagrożenia i podatności, a także wpływ na działalność. Tylko połączenie tych trzech czynników zapewnia całościowe spojrzenie na ryzyko.
Pułapka zgodności
Organizacje, które stosują podejście do zarządzania ryzykiem oparte na polach wyboru, osiągają bezpieczeństwo tylko w określonym momencie. Jest tak, ponieważ stan bezpieczeństwa firmy jest dynamiczny i zmienia się z czasem. Zostało to wielokrotnie udowodnione.
Ostatnio postępowe organizacje zaczęły stosować bardziej proaktywne, oparte na ryzyku podejście do bezpieczeństwa. Celem modelu opartego na ryzyku jest maksymalizacja wydajności operacji bezpieczeństwa IT organizacji oraz zapewnienie wglądu w ryzyko i zgodność z przepisami. Ostatecznym celem jest utrzymanie zgodności, ciągłe ograniczanie ryzyka i zwiększanie bezpieczeństwa.
Wiele czynników powoduje, że organizacje przechodzą na model oparty na ryzyku. Należą do nich między innymi:
- Nowe przepisy dotyczące cyberprzestrzeni (np. Ustawa o udostępnianiu i ochronie danych wywiadowczych)
- Wskazówki nadzorcze Urzędu Kontrolera Waluty (OCC)
Bezpieczeństwo na ratunek?
Powszechnie uważa się, że zarządzanie podatnością na zagrożenia zminimalizuje ryzyko naruszenia danych. Jednak bez umieszczania słabych punktów w kontekście związanego z nimi ryzyka organizacje często źle dopasowują swoje zasoby naprawcze. Często przeoczają najbardziej krytyczne zagrożenia, odnosząc się jedynie do „nisko wiszących owoców”.
Jest to nie tylko strata pieniędzy, ale także stwarza dłuższe możliwości wykorzystania przez hakerów krytycznych luk. Ostatecznym celem jest skrócenie okien atakujących, którzy muszą wykorzystać lukę w oprogramowaniu. Dlatego zarządzanie podatnością na zagrożenia musi zostać uzupełnione całościowym, opartym na ryzyku podejściem do bezpieczeństwa, uwzględniającym takie czynniki, jak zagrożenia, osiągalność, postawa organizacji w zakresie zgodności i wpływ na działalność. Jeśli zagrożenie nie może dotrzeć do podatności, powiązane ryzyko zostaje zmniejszone lub wyeliminowane.
Ryzyko jako jedyna prawda
Stanowisko organizacji w zakresie zgodności może odgrywać istotną rolę w bezpieczeństwie IT, identyfikując kontrole kompensacyjne, które można wykorzystać, aby zapobiec zagrożeniom przed osiągnięciem celu. Według raportu Verizon Data Breig Investigations 2013, analizy danych uzyskanych z dochodzeń w sprawie naruszenia danych przeprowadzonych przez Verizon i inne organizacje w poprzednim roku, 97 procent incydentów związanych z bezpieczeństwem można było uniknąć poprzez proste lub pośrednie kontrole. Jednak wpływ na biznes jest kluczowym czynnikiem w określaniu faktycznego ryzyka. Na przykład luki w zabezpieczeniach, które zagrażają krytycznym zasobom biznesowym, stanowią znacznie wyższe ryzyko niż te, które są związane z mniej krytycznymi celami.
Postawa zgodności zwykle nie jest powiązana z krytycznym aspektem biznesowym aktywów. Zamiast tego kontrole kompensacyjne są stosowane ogólnie i odpowiednio testowane. Bez jasnego zrozumienia krytycznego dla firmy znaczenia, jaki zasób stanowi dla organizacji, organizacja nie jest w stanie ustalić priorytetów działań naprawczych. Podejście oparte na ryzyku dotyczy zarówno pozycji bezpieczeństwa, jak i wpływu na biznes, aby zwiększyć wydajność operacyjną, poprawić dokładność oceny, zmniejszyć powierzchnie ataków i usprawnić podejmowanie decyzji inwestycyjnych.
Jak wspomniano wcześniej, na ryzyko wpływają trzy kluczowe czynniki: postawa zgodności, zagrożenia i podatności oraz wpływ na działalność. W związku z tym niezbędne jest zebranie krytycznych danych wywiadowczych na temat ryzyka i zgodności z aktualnymi, nowymi i pojawiającymi się zagrożeniami, aby obliczyć wpływ na operacje biznesowe i nadać priorytet działaniom naprawczym.
Trzy elementy holistycznego spojrzenia na ryzyko
Istnieją trzy główne elementy wdrażania opartego na ryzyku podejścia do bezpieczeństwa:- Ciągła zgodność obejmuje uzgadnianie zasobów i automatyzację klasyfikacji danych, dostosowanie kontroli technicznych, automatyzację testów zgodności, wdrażanie badań oceny i automatyzację konsolidacji danych. Dzięki ciągłej zgodności organizacje mogą zmniejszyć nakładanie się, wykorzystując wspólne ramy kontroli w celu zwiększenia dokładności gromadzenia danych i analizy danych oraz zmniejszenia zbędnych, a także ręcznych, pracochłonnych wysiłków nawet o 75 procent.
- Ciągłe monitorowanie oznacza większą częstotliwość oceny danych i wymaga automatyzacji danych bezpieczeństwa poprzez agregację i normalizację danych z różnych źródeł, takich jak informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM), zarządzanie zasobami, źródła zagrożeń i skanery podatności na zagrożenia. Z kolei organizacje mogą obniżyć koszty poprzez ujednolicenie rozwiązań, usprawnienie procesów, tworzenie świadomości sytuacyjnej w celu terminowego ujawnienia exploitów i zagrożeń oraz gromadzenie historycznych danych trendów, które mogą pomóc w przewidywaniu bezpieczeństwa.
- Rozwiązania naprawcze oparte na ryzyku w zamkniętej pętli wykorzystują ekspertów merytorycznych w ramach jednostek biznesowych do zdefiniowania katalogu ryzyka i tolerancji ryzyka. Proces ten wymaga klasyfikacji aktywów w celu zdefiniowania krytyczności działalności, ciągłego oceniania w celu umożliwienia ustalania priorytetów na podstawie ryzyka oraz śledzenia i pomiaru w zamkniętej pętli. Dzięki ustanowieniu ciągłego przeglądu istniejących zasobów, ludzi, procesów, potencjalnych zagrożeń i potencjalnych zagrożeń, organizacje mogą radykalnie zwiększyć wydajność operacyjną, poprawiając jednocześnie współpracę między biznesem, bezpieczeństwem i operacjami IT. Umożliwia to mierzenie i zapewnienie namacalności wysiłków związanych z bezpieczeństwem - takich jak czas do rozwiązania, inwestycja w personel operacji bezpieczeństwa, zakup dodatkowych narzędzi bezpieczeństwa.
Konkluzja dotycząca ryzyka i zgodności
Mandaty zgodności nigdy nie zostały zaprojektowane do napędzania magistrali bezpieczeństwa IT. Powinny one odgrywać rolę wspierającą w ramach dynamicznych ram bezpieczeństwa opartych na ocenie ryzyka, ciągłym monitorowaniu i zamkniętej pętli naprawczej.
