Крім управління та дотримання: чому це ризик для безпеки - це важливе значення

Грибна промисловість та урядові мандати, що регулюють безпеку ІТ, призвели до суворо регульованого середовища та щорічних протипожежних заходів. Кількість нормативно-правових актів, що впливають на середні організації, може легко перевищити десяток і більше, а з кожним днем ​​ускладнюватися. Це змушує більшість компаній призначати непомірний обсяг ресурсів для управління та дотримання норм, що належать до їхнього тривалого переліку ІТ-пріоритетів. Чи виправдані ці зусилля? Або просто вимога прапорця як частина підходу, орієнтованого на відповідність безпеці?

Гірка правда полягає в тому, що ви можете запланувати ревізію, але не можете запланувати кібератаку. Майже щодня нам нагадують цей факт, коли порушення роблять новину заголовка. Як результат, багато організацій прийшли до висновку, що для того, щоб зрозуміти свою позицію ризику, вони повинні вийти за рамки простих оцінок відповідності. Як результат, вони беруть до уваги загрози та вразливості, а також вплив на бізнес. Лише поєднання цих трьох факторів забезпечує цілісне уявлення про ризик.

Гріх відповідності

Організації, які здійснюють прапорець, керований дотриманням підходу до управління ризиками, лише забезпечують безпеку вчасно. Це тому, що позиція безпеки компанії є динамічною і змінюється з часом. Це було доведено раз і знову.

Останнім часом прогресивні організації почали застосовувати більш ініціативний, орієнтований на ризик підхід до безпеки. Метою моделі, заснованої на оцінці ризику, є досягнення максимальної ефективності операцій із ІТ-безпеки організації та забезпечення видимості ризику та позиції дотримання правил. Кінцевою метою є постійне дотримання, зменшення ризику та посилення безпеки на постійній основі.

Ряд факторів змушує організації переходити до моделі на основі ризику. До них відносяться, але не обмежуються ними:

• Законодавство про кіберінформацію (наприклад, Закон про розподіл та захист кіберрозвідки)
• Наглядове керівництво Управлінням контролера валюти (OCC)

Безпека до порятунку?

Поширена думка, що управління вразливістю мінімізує ризик порушення даних. Однак, не ставлячи вразливості до контексту пов'язаного з ними ризику, організації часто неправильно узгоджують свої ресурси з виправлення. Часто вони нехтують найважливішими ризиками, звертаючись лише до "плодів, що звисають".

Це не лише витрачає гроші, але й створює довше вікно можливостей хакерів для використання критичних вразливих місць. Кінцева мета - скоротити вікна, зловмисникам доводиться використовувати недолік програмного забезпечення. Тому управління вразливістю повинно бути доповнене цілісним підходом до безпеки щодо безпеки, який враховує такі фактори, як загроза, доступність, позиція організації та їх вплив. Якщо загроза не може досягти вразливості, пов'язаний ризик або зменшується, або усувається.

Ризикуйте як єдину правду

Позиція організації, що відповідає вимогам, може відігравати важливу роль у безпеці ІТ, визначаючи компенсуючі елементи контролю, які можна використовувати для запобігання загрозам досягнення їх мети. Відповідно до звіту про розслідування даних про порушення даних Verizon за 2013 рік, аналіз даних, отриманих під час розслідування порушень, які проводили Verizon та інші організації протягом попереднього року, 97 відсотків інцидентів у сфері безпеки можна було уникнути за допомогою простого або проміжного контролю. Однак вплив на бізнес є критичним фактором визначення фактичного ризику. Наприклад, вразливості, що загрожують критичним активам бізнесу, представляють набагато більший ризик, ніж ті, які пов'язані з менш критичними цілями.

Позиція дотримання, як правило, не пов'язана з критичною активністю бізнесу. Натомість компенсуючі контролі застосовуються загально та перевіряються відповідно. Без чіткого розуміння критичності бізнесу, який актив представляє для організації, організація не в змозі визначити пріоритетні зусилля з виправлення. Підхід, орієнтований на ризик, стосується як постави безпеки, так і впливу на бізнес, щоб підвищити операційну ефективність, підвищити точність оцінки, зменшити обстріли та покращити прийняття інвестиційних рішень.

Як було сказано раніше, на ризик впливають три основні фактори: постава, погрози та вразливості та вплив на бізнес. Як результат, важливо об'єднати критичну інформацію про позиції щодо ризику та відповідності поточній, новій та новій інформації про загрозу, щоб обчислити вплив на бізнес-операції та визначити пріоритетні дії з виправлення.

Три елементи цілісного погляду на ризик

Існує три основні компоненти для реалізації підходу до безпеки щодо ризику:

• Постійна відповідність включає узгодження активів та автоматизацію класифікації даних, вирівнювання технічного контролю, автоматизацію тестування на відповідність, розгортання опитувань оцінювання та автоматизацію консолідації даних. При постійному дотриманні організації можуть зменшити перекриття, використовуючи загальну систему управління для підвищення точності збору даних та аналізу даних, а також зменшити зайві, а також ручні, трудомісткі зусилля до 75 відсотків.
• Постійний моніторинг передбачає підвищену частоту оцінювання даних і вимагає автоматизації даних безпеки шляхом агрегування та нормалізації даних з різних джерел, таких як інформація про безпеку та управління подіями (SIEM), управління активами, канали загроз та сканери вразливості. У свою чергу, організації можуть знижувати витрати, уніфікуючи рішення, впорядковуючи процеси, створюючи ситуаційну обізнаність для своєчасного розкриття подвигів та загроз, а також збирання історичних даних про тенденції, які можуть допомогти в прогнозуванні безпеки.
• Виправлення на основі ризику із закритим контуром використовує експертів, що працюють в межах бізнес-підрозділів, для визначення каталогу ризику та толерантності до ризику. Цей процес включає класифікацію активів для визначення критичності бізнесу, безперервного оцінювання для забезпечення пріоритетності на основі ризику та відстеження та вимірювання із закритим циклом. Встановлюючи постійний цикл огляду існуючих активів, людей, процесів, потенційних ризиків та можливих загроз, організації можуть різко підвищити операційну ефективність, одночасно покращуючи співпрацю між бізнесом, безпекою та ІТ-операціями. Це дає змогу виміряти та зробити відчутними зусилля з безпеки - такі як час до вирішення, інвестиції в персонал операцій з безпеки, придбання додаткових інструментів безпеки.

Підсумок про ризик та відповідність

Мандати на відповідність ніколи не були розроблені для управління шиною безпеки ІТ. Вони повинні відігравати підтримуючу роль у динамічній системі безпеки, яка визначається оцінкою ризиків, постійним моніторингом та виправленням у закритому циклі.