Πίνακας περιεχομένων:
- Η παγίδα της συμμόρφωσης
- Ασφάλεια στη διάσωση;
- Κίνδυνος ως η μόνη αλήθεια
- Τρία στοιχεία σε μια ολιστική άποψη του κινδύνου
- Η κατώτατη γραμμή σχετικά με τον κίνδυνο και τη συμμόρφωση
Η βιομηχανία μανιταριών και οι κυβερνητικές εντολές που διέπουν την ασφάλεια ΤΠ έχουν οδηγήσει σε ένα εξαιρετικά ρυθμισμένο περιβάλλον και ετήσια ασκήσεις πυρόσβεσης συμμόρφωσης. Ο αριθμός των κανονισμών που επηρεάζουν τους μέσους οργανισμούς μπορεί εύκολα να υπερβαίνει τις δωδεκάδες ή και περισσότερο, και να γίνουν πιο περίπλοκοι από την ημέρα. Αυτό αναγκάζει τις περισσότερες εταιρείες να εκχωρήσουν υπερβολικό ποσό πόρων στις προσπάθειες διακυβέρνησης και συμμόρφωσης, πέρα από τον μακρύ κατάλογο προτεραιοτήτων τους στον τομέα της πληροφορικής. Αυτές οι προσπάθειες δικαιολογούνται; Ή απλά μια απαίτηση για check-box ως μέρος μιας προσέγγισης που βασίζεται στην συμμόρφωση στην ασφάλεια;
Η πικρή αλήθεια είναι ότι μπορείτε να προγραμματίσετε έναν έλεγχο, αλλά δεν μπορείτε να προγραμματίσετε ένα cyberattack. Σχεδόν κάθε μέρα, μας υπενθυμίζει αυτό το γεγονός όταν οι παραβιάσεις κάνουν επικεφαλής ειδήσεις. Ως αποτέλεσμα, πολλές οργανώσεις κατέληξαν στο συμπέρασμα ότι για να αποκτήσουν μια εικόνα της στάσης κινδύνου τους, πρέπει να ξεπεράσουν τις απλές αξιολογήσεις συμμόρφωσης. Ως αποτέλεσμα, λαμβάνουν υπόψη απειλές και τρωτά σημεία, καθώς και τον αντίκτυπο των επιχειρήσεων. Μόνο ένας συνδυασμός αυτών των τριών παραγόντων εξασφαλίζει μια ολιστική άποψη του κινδύνου.
Η παγίδα της συμμόρφωσης
Οι οργανισμοί που επιδιώκουν ένα check-box, μια προσέγγιση που βασίζεται στην συμμόρφωση με τη διαχείριση κινδύνου επιτυγχάνουν μόνο την ασφάλεια σε βάθος χρόνου. Αυτό συμβαίνει επειδή η στάση ασφαλείας μιας επιχείρησης είναι δυναμική και αλλάζει με την πάροδο του χρόνου. Αυτό έχει αποδειχθεί ξανά και ξανά.
Πρόσφατα, οι προοδευτικές οργανώσεις έχουν αρχίσει να ακολουθούν μια πιο προορατική προσέγγιση που βασίζεται στον κίνδυνο για την ασφάλεια. Ο στόχος σε ένα μοντέλο που βασίζεται σε κινδύνους είναι να μεγιστοποιηθεί η αποτελεσματικότητα των λειτουργιών ασφάλειας του οργανισμού στον τομέα της πληροφορικής και να εξασφαλιστεί ορατότητα στη στάση κινδύνου και συμμόρφωσης. Ο απώτερος στόχος είναι να παραμείνει σε συμμόρφωση, να μειωθεί ο κίνδυνος και να σκληρύνει η ασφάλεια σε συνεχή βάση.
Ορισμένοι παράγοντες αναγκάζουν τους οργανισμούς να προχωρήσουν σε ένα μοντέλο με βάση τον κίνδυνο. Αυτές περιλαμβάνουν, αλλά δεν περιορίζονται σε:
- Αναδυόμενη νομοθεσία στον τομέα του κυβερνοχώρου (π.χ. νόμος για την κοινοχρησία και την προστασία της πληροφορίας Cyber)
- Εποπτική καθοδήγηση από το γραφείο του διαχειριστή του νομίσματος (OCC)
Ασφάλεια στη διάσωση;
Πιστεύεται συνήθως ότι η διαχείριση ευπάθειας θα ελαχιστοποιήσει τον κίνδυνο παραβίασης των δεδομένων. Ωστόσο, χωρίς να θέτουν τρωτά σημεία στο πλαίσιο του κινδύνου που συνδέεται με αυτά, οι οργανώσεις συχνά εκτοπίζουν τους πόρους αποκατάστασης τους. Συχνά παραβλέπουν τους πιο κρίσιμους κινδύνους, ενώ απευθύνονται μόνο σε "φτωχούς καρπούς".
Αυτό δεν είναι μόνο σπατάλη χρημάτων, αλλά δημιουργεί επίσης ένα μεγαλύτερο χρονικό περιθώριο ευκαιρίας για τους χάκερ να εκμεταλλευτούν κρίσιμα τρωτά σημεία. Ο απώτερος στόχος είναι να συντομεύσει το παράθυρο επιτιθέμενοι πρέπει να εκμεταλλευτούν ένα ελάττωμα λογισμικού. Ως εκ τούτου, η διαχείριση της ευπάθειας πρέπει να συμπληρωθεί με μια ολιστική προσέγγιση βασισμένη στον κίνδυνο για την ασφάλεια, η οποία λαμβάνει υπόψη παράγοντες όπως οι απειλές, η προσβασιμότητα, η στάση συμμόρφωσης του οργανισμού και οι επιπτώσεις στις επιχειρήσεις. Εάν η απειλή δεν μπορεί να φτάσει στην ευπάθεια, ο σχετικός κίνδυνος μειώνεται ή εξαλείφεται.
Κίνδυνος ως η μόνη αλήθεια
Η στάση συμμόρφωσης ενός οργανισμού μπορεί να διαδραματίσει ουσιαστικό ρόλο στην ασφάλεια των ΤΠ, εντοπίζοντας αντισταθμιστικούς ελέγχους που μπορούν να χρησιμοποιηθούν για να αποτρέψουν την επίτευξη των στόχων τους. Σύμφωνα με την Έκθεση Διερεύνησης για την Παραβίαση Δεδομένων Verizon 2013, μια ανάλυση των δεδομένων που προέκυψαν από έρευνες παραβίασης που πραγματοποίησε η Verizon και άλλες οργανώσεις κατά το προηγούμενο έτος, το 97% των περιστατικών ασφάλειας αποφεύχθηκε μέσω απλών ή ενδιάμεσων ελέγχων. Ωστόσο, ο αντίκτυπος των επιχειρήσεων είναι ένας κρίσιμος παράγοντας για τον προσδιορισμό του πραγματικού κινδύνου. Για παράδειγμα, τα τρωτά σημεία που απειλούν κρίσιμα επιχειρηματικά στοιχεία αντιπροσωπεύουν πολύ υψηλότερο κίνδυνο από αυτά που σχετίζονται με λιγότερο κρίσιμους στόχους.
Η στάση συμμόρφωσης δεν είναι συνήθως συνδεδεμένη με την επιχειρησιακή κρισιμότητα των περιουσιακών στοιχείων. Αντ 'αυτού, τα αντισταθμιστικά χειριστήρια εφαρμόζονται γενικά και ελέγχονται αναλόγως. Χωρίς σαφή κατανόηση της επιχειρησιακής κρισιμότητας που αντιπροσωπεύει ένα περιουσιακό στοιχείο σε έναν οργανισμό, ένας οργανισμός δεν είναι σε θέση να δώσει προτεραιότητα στις προσπάθειες αποκατάστασης. Μια προσέγγιση που βασίζεται στον κίνδυνο αντιμετωπίζει τόσο την στάση ασφαλείας όσο και τον αντίκτυπο των επιχειρήσεων ώστε να αυξάνεται η λειτουργική αποτελεσματικότητα, να βελτιώνεται η ακρίβεια αξιολόγησης, να μειώνονται οι επιθέσεις και να βελτιώνεται η λήψη αποφάσεων σχετικά με τις επενδύσεις.
Όπως αναφέρθηκε προηγουμένως, ο κίνδυνος επηρεάζεται από τρεις βασικούς παράγοντες: στάση συμμόρφωσης, απειλές και τρωτά σημεία και επιπτώσεις στις επιχειρήσεις. Ως αποτέλεσμα, είναι σημαντικό να συγκεντρωθούν οι κρίσιμες πληροφορίες σχετικά με τις θέσεις κινδύνου και συμμόρφωσης με τρέχουσες, νέες και αναδυόμενες πληροφορίες απειλών για τον υπολογισμό των επιπτώσεων στις επιχειρηματικές δραστηριότητες και να δοθεί προτεραιότητα στις ενέργειες αποκατάστασης.
Τρία στοιχεία σε μια ολιστική άποψη του κινδύνου
Υπάρχουν τρία βασικά στοιχεία για την εφαρμογή μιας προσέγγισης που βασίζεται στον κίνδυνο για την ασφάλεια:- Η συνεχής συμμόρφωση περιλαμβάνει τον συνδυασμό των στοιχείων ενεργητικού και την αυτοματοποίηση της ταξινόμησης των δεδομένων, την ευθυγράμμιση των τεχνικών ελέγχων, την αυτοματοποίηση των δοκιμών συμμόρφωσης, την ανάπτυξη των ερευνών αξιολόγησης και την αυτοματοποίηση της ενοποίησης δεδομένων. Με τη συνεχή συμμόρφωση, οι οργανισμοί μπορούν να μειώσουν την αλληλοεπικάλυψη, αξιοποιώντας ένα κοινό πλαίσιο ελέγχου για να αυξήσουν την ακρίβεια στη συλλογή δεδομένων και την ανάλυση των δεδομένων, και να μειώσουν τις περιττές και χειρονακτικές προσπάθειες έντασης εργασίας έως και 75%.
- Η συνεχής παρακολούθηση συνεπάγεται αυξημένη συχνότητα αξιολογήσεων δεδομένων και απαιτεί αυτοματοποίηση δεδομένων ασφαλείας με τη συγκέντρωση και την ομαλοποίηση δεδομένων από διάφορες πηγές, όπως πληροφορίες ασφάλειας και διαχείρισης συμβάντων (SIEM), διαχείριση ενεργητικού, ροές απειλών και σαρωτές ευπάθειας. Με τη σειρά τους, οι οργανισμοί μπορούν να μειώσουν το κόστος ενοποιώντας τις λύσεις, εξορθολογίζοντας τις διαδικασίες, δημιουργώντας συνειδησιακή επίγνωση για την έγκαιρη έκθεση των εκμεταλλεύσεων και των απειλών και συλλέγοντας ιστορικά δεδομένα τάσεων, τα οποία μπορούν να βοηθήσουν στην προβλεπτική ασφάλεια.
- Το κλειστό κύκλωμα, με βάση την επικινδυνότητα, αξιοποιεί τους εμπειρογνώμονες του αντικειμένου εντός των επιχειρηματικών μονάδων για να καθορίσει έναν κατάλογο κινδύνων και την ανοχή κινδύνου. Αυτή η διαδικασία συνεπάγεται ταξινόμηση περιουσιακών στοιχείων για τον ορισμό της κρισιμότητας των επιχειρήσεων, τη συνεχή βαθμολόγηση ώστε να καθίσταται δυνατή η ιεράρχηση βάσει κινδύνου και η παρακολούθηση και η μέτρηση κλειστού βρόχου. Με την καθιέρωση ενός συνεχούς βρόχου ανασκόπησης των υπαρχόντων περιουσιακών στοιχείων, των ανθρώπων, των διαδικασιών, των πιθανών κινδύνων και των πιθανών απειλών, οι οργανώσεις μπορούν να αυξήσουν δραματικά την επιχειρησιακή αποτελεσματικότητα, βελτιώνοντας παράλληλα τη συνεργασία μεταξύ επιχειρήσεων, ασφάλειας και λειτουργιών πληροφορικής. Αυτό επιτρέπει την μέτρηση και την υλοποίηση των προσπαθειών ασφαλείας - όπως ο χρόνος για την επίλυση, η επένδυση στο προσωπικό των επιχειρήσεων ασφαλείας, οι αγορές πρόσθετων εργαλείων ασφαλείας -.
Η κατώτατη γραμμή σχετικά με τον κίνδυνο και τη συμμόρφωση
Οι εντολές συμμόρφωσης δεν σχεδιάστηκαν ποτέ για να οδηγήσουν το λεωφορείο ασφάλειας IT. Θα πρέπει να διαδραματίσουν υποστηρικτικό ρόλο στο πλαίσιο ενός δυναμικού πλαισίου ασφάλειας που βασίζεται στην εκτίμηση κινδύνων, στη συνεχή παρακολούθηση και στην αποκατάσταση του κλειστού βρόχου.
