Поза управління та дотримання вимог: Чому ризик безпеки ІТ - це те, що має значення

Автор: Eugene Taylor
Дата Створення: 7 Серпень 2021
Дата Оновлення: 20 Червень 2024
Anonim
Эдвард Сноуден: Вот так мы отвоёвываем Интернет
Відеоролик: Эдвард Сноуден: Вот так мы отвоёвываем Интернет

Зміст


Винос:

Оскільки правила управління та дотримання правил постійно змінюються та стають складнішими, бізнесу може бути важко не відставати, але є кілька ключових елементів безпеки, які можуть допомогти.

Грибна промисловість та урядові мандати, що регулюють безпеку ІТ, призвели до суворо регульованого середовища та щорічних протипожежних заходів. Кількість нормативно-правових актів, що впливають на середні організації, може легко перевищити десяток і більше, а з кожним днем ​​ускладнюватися. Це змушує більшість компаній призначати непомірний обсяг ресурсів для управління та дотримання норм, що належать до їхнього тривалого переліку ІТ-пріоритетів. Чи виправдані ці зусилля? Або просто вимога прапорця як частина підходу, орієнтованого на відповідність безпеці?

Гірка правда полягає в тому, що ви можете запланувати ревізію, але не можете запланувати кібератаку. Майже щодня нам нагадують цей факт, коли порушення роблять новину заголовка. Як результат, багато організацій прийшли до висновку, що для того, щоб зрозуміти свою позицію ризику, вони повинні вийти за рамки простих оцінок відповідності. Як результат, вони беруть до уваги загрози та вразливості, а також вплив на бізнес. Лише поєднання цих трьох факторів забезпечує цілісне уявлення про ризик.

Гріх відповідності

Організації, які здійснюють прапорець, керований дотриманням підходу до управління ризиками, лише забезпечують безпеку вчасно. Це тому, що позиція безпеки компанії є динамічною і змінюється з часом. Це було доведено раз і знову.

Останнім часом прогресивні організації почали застосовувати більш ініціативний, орієнтований на ризик підхід до безпеки. Метою моделі, заснованої на оцінці ризику, є підвищення ефективності операцій з організації ІТ-безпеки та забезпечення видимості щодо ризику та дотримання правил. Кінцевою метою є постійне дотримання, зменшення ризику та посилення безпеки на постійній основі.

Ряд факторів змушує організації переходити до моделі на основі ризику. До них відносяться, але не обмежуються ними:
  • Федеральний закон про управління інформаційною безпекою (FISMA) 2002 року
  • Федеральна програма управління ризиками та авторизацією (FedRAMP)
  • Кіберпосібник з питань цінних паперів та бірж (SEC)
  • Законодавство про кіберінформацію (наприклад, Закон про розподіл та захист кіберрозвідки)
  • Виконавчий наказ Президента України з питань кібербезпеки
  • Конвенція Ради Європи про кіберзлочинність
  • Наглядове керівництво Управлінням контролера валюти (OCC)

Безпека до порятунку?

Поширена думка, що управління вразливістю мінімізує ризик порушення даних. Однак, не ставлячи вразливості до обмеженого ризику, пов'язаного з ними, організації часто неправильно узгоджують свої ресурси з виправлення. Часто вони нехтують найважливішими ризиками, звертаючись лише до "плодів, що звисають".

Це не лише витрачає гроші, але й створює довше вікно можливостей хакерів для використання критичних вразливих місць. Кінцева мета - скоротити вікна, зловмисникам доводиться використовувати недолік програмного забезпечення. Тому управління вразливістю повинно бути доповнене цілісним підходом до безпеки щодо безпеки, який враховує такі фактори, як загроза, доступність, позиція організації та їх вплив. Якщо загроза не може досягти вразливості, пов'язаний ризик або зменшується, або усувається.

Ризикуйте як єдину правду

Позиція організації може відігравати важливу роль у безпеці ІТ, визначаючи компенсуючі елементи контролю, які можна використовувати для запобігання загрозам досягнення їх мети. Відповідно до звіту про розслідування даних про порушення даних Verizon за 2013 рік, аналіз даних, отриманих під час розслідування порушень, які проводили Verizon та інші організації протягом попереднього року, 97 відсотків інцидентів із безпекою можна було уникнути за допомогою простого або проміжного контролю. Однак вплив на бізнес є критичним фактором визначення фактичного ризику. Наприклад, вразливості, що загрожують критичним активам бізнесу, представляють набагато більший ризик, ніж ті, які пов'язані з менш критичними цілями.

Позиція дотримання, як правило, не пов'язана з критичною активністю бізнесу. Натомість компенсуючі контролі застосовуються загально та перевіряються відповідно. Без чіткого розуміння критичності бізнесу, який актив представляє для організації, організація не в змозі визначити пріоритетні зусилля з виправлення. Підхід, орієнтований на ризик, стосується як постави безпеки, так і впливу на бізнес, щоб підвищити операційну ефективність, підвищити точність оцінки, зменшити обстріли та покращити прийняття інвестиційних рішень.

Як було сказано раніше, на ризик впливають три основні фактори: постава, погрози та вразливості та вплив на бізнес. Як результат, важливо об'єднати критичну інформацію про позиції щодо ризику та відповідності поточній, новій та новій інформації про загрозу, щоб обчислити вплив на бізнес-операції та визначити пріоритетні дії з виправлення.

Три елементи цілісного погляду на ризик

Існує три основні компоненти для реалізації підходу до безпеки щодо ризику:
  • Постійна відповідність включає узгодження активів та автоматизацію класифікації даних, узгодження технічного контролю, автоматизацію тестування на відповідність, розгортання опитувань оцінювання та автоматизацію консолідації даних. При постійному дотриманні організації можуть зменшити перекриття, використовуючи загальну систему управління для підвищення точності збору даних та аналізу даних, а також зменшити зайві, а також ручні, трудомісткі зусилля до 75 відсотків.

  • Постійний моніторинг передбачає збільшення частоти оцінювання даних і вимагає автоматизації даних безпеки шляхом агрегування та нормалізації даних з різних джерел, таких як інформація про безпеку та управління подіями (SIEM), управління активами, канали загроз та сканери вразливості. У свою чергу, організації можуть знижувати витрати, уніфікуючи рішення, впорядковуючи процеси, створюючи ситуаційну обізнаність для своєчасного розкриття подвигів та загроз, а також збирання історичних даних про тенденції, що може допомогти в прогнозуванні безпеки.

  • Виправлення на основі ризику із закритим циклом використовує експертів, що працюють в межах бізнес-підрозділів, для визначення каталогу ризику та толерантності до ризику. Цей процес включає класифікацію активів для визначення критичності бізнесу, безперервного оцінювання для забезпечення пріоритетності на основі ризику та відстеження та вимірювання із закритим циклом. Встановлюючи постійний цикл огляду існуючих активів, людей, процесів, потенційних ризиків та можливих загроз, організації можуть різко підвищити операційну ефективність, одночасно покращуючи співпрацю між бізнесом, безпекою та ІТ-операціями. Це дає змогу виміряти та зробити відчутними зусилля з безпеки - такі як час до вирішення, інвестиції в персонал операцій з безпеки, придбання додаткових інструментів безпеки.

Підсумок про ризик та відповідність

Мандати на відповідність ніколи не були розроблені для управління шиною безпеки ІТ.Вони повинні відігравати підтримуючу роль у динамічній системі безпеки, яка визначається оцінкою ризиків, постійним моніторингом та виправленням у закритому циклі.