Papildus pārvaldībai un ievērošanai: kāpēc drošības risks ir vissvarīgākais?

Sēņu ražošanas nozare un valdības mandāti, kas regulē IT drošību, ir radījuši augsti regulētu vidi un ikgadējus ugunsdzēsības treniņus. To noteikumu skaits, kas ietekmē vidējās organizācijas, var viegli pārsniegt duci vai vairāk, un katru dienu var kļūt sarežģītāks. Tas liek lielākajai daļai uzņēmumu piešķirt pārāk lielu resursu daudzumu pārvaldības un atbilstības centieniem papildus savam garajam IT prioritāšu sarakstam. Vai šie centieni ir pamatoti? Vai vienkārši izvēles rūtiņu kā daļu no uz drošību balstītas pieejas?

Rūgtā patiesība ir tāda, ka jūs varat ieplānot revīziju, bet nevarat ieplānot kiberuzbrukumu. Gandrīz katru dienu mums par šo faktu tiek atgādināts, kad pārkāpumi dara virsrakstus par jaunumiem. Tā rezultātā daudzas organizācijas ir secinājušas, ka, lai gūtu ieskatu par savu riska pozu, tām ir jāiet tālāk par vienkāršu atbilstības novērtēšanu. Tā rezultātā viņi ņem vērā draudus un ievainojamības, kā arī ietekmi uz uzņēmējdarbību. Tikai šo trīs faktoru kombinācija nodrošina holistisku riska uzskatu.

Atbilstības kļūda

Organizācijas, kuru rīcībā ir izvēles rūtiņa un uz pieeju balstīta pieeja riska pārvaldībai, panāk tikai drošību laikā. Tas ir tāpēc, ka uzņēmuma drošības poza ir dinamiska un laika gaitā mainās. Tas ir pierādīts atkal un atkal.

Nesen progresīvas organizācijas ir sākušas izmantot proaktīvāku, uz risku balstītu pieeju drošībai. Uz risku balstīta modeļa mērķis ir maksimizēt organizācijas IT drošības operāciju efektivitāti un nodrošināt redzamību par risku un atbilstības pozu. Galīgais mērķis ir pastāvīgi ievērot atbilstību, samazināt risku un pastiprināt drošību.

Vairāki faktori liek organizācijām pāriet uz risku balstītu modeli. Tie ietver (bet ne tikai):

• Jaunie tiesību akti kibernoziegumu jomā (piemēram, Kiberinformācijas koplietošanas un aizsardzības likums)
• Valūtas kontroliera biroja (OCC) uzraudzības norādījumi

Drošība glābšanai?

Parasti tiek uzskatīts, ka ievainojamības pārvaldība samazina datu pārkāpuma risku. Tomēr, neieviešot ievainojamības ar tām saistītā riska kontekstā, organizācijas bieži nepareizi pielāgo savus sanācijas resursus. Bieži vien viņi ignorē viskritiskākos riskus, pievēršoties tikai "zemu nokareniem augļiem".

Tas ir ne tikai naudas izšķiešana, bet arī hakeriem dod ilgāku iespēju izmantot kritisko ievainojamību. Galīgais mērķis ir saīsināt logu, un uzbrucējiem ir jāizmanto programmatūras kļūda. Tāpēc neaizsargātības pārvaldība jāpapildina ar holistisku, uz risku balstītu pieeju drošībai, kurā ņemti vērā tādi faktori kā draudi, sasniedzamība, organizācijas atbilstības poza un ietekme uz uzņēmējdarbību. Ja draudi nevar sasniegt ievainojamību, ar to saistīto risku samazina vai novērš.

Risks kā vienīgā patiesība

Organizācijas atbilstības nostājai var būt būtiska loma IT drošībā, nosakot kompensējošās vadības ierīces, kuras var izmantot, lai novērstu draudus no mērķa sasniegšanas. Saskaņā ar 2013. gada Verizon datu pārkāpumu izmeklēšanas ziņojumu, datu analīzi, kas iegūta no pārkāpumu izmeklēšanas, ko Verizon un citas organizācijas ir veikušas iepriekšējā gadā, 97 procentus drošības incidentu varēja izvairīties, izmantojot vienkāršu vai starpposma kontroli. Tomēr ietekme uz uzņēmējdarbību ir kritisks faktors, nosakot faktisko risku. Piemēram, neaizsargātība, kas apdraud kritiskos biznesa aktīvus, ir daudz augstāks risks nekā tā, kas saistīta ar mazāk kritiskiem mērķiem.

Atbilstības poza parasti nav saistīta ar aktīvu biznesa kritiskumu. Tā vietā kompensējošās kontroles tiek piemērotas vispārīgi un attiecīgi pārbaudītas. Bez skaidras izpratnes par biznesa kritiskumu, ko aktīvs pārstāv organizācijai, organizācija nespēj noteikt sanācijas centienus par prioritārām. Uz risku orientēta pieeja ir vērsta gan uz drošības pozu, gan uz biznesa ietekmi, lai palielinātu darbības efektivitāti, uzlabotu novērtējuma precizitāti, samazinātu uzbrukuma iespējas un uzlabotu lēmumu pieņemšanu par ieguldījumiem.

Kā minēts iepriekš, risku ietekmē trīs galvenie faktori: atbilstības poza, draudi un ievainojamības, kā arī ietekme uz uzņēmējdarbību. Tā rezultātā ir svarīgi apkopot kritisko informāciju par risku un atbilstības pozām ar pašreizējo, jauno un topošo draudu informāciju, lai aprēķinātu ietekmi uz uzņēmējdarbību un noteiktu prioritātes sanācijas darbībām.

Trīs elementi holistiskā riska skatījumā

Uz risku balstītas pieejas ieviešanai drošībā ir trīs galvenās sastāvdaļas:

• Nepārtraukta atbilstība ietver aktīvu saskaņošanu un datu klasifikācijas automatizāciju, tehniskās vadības pielāgošanu, atbilstības pārbaudes automatizāciju, novērtēšanas apsekojumu izvietošanu un datu konsolidācijas automatizāciju. Nepārtraukti ievērojot, organizācijas var samazināt pārklāšanos, izmantojot kopēju kontroles sistēmu, lai palielinātu datu vākšanas un datu analīzes precizitāti un samazinātu liekos, kā arī manuālos un darbietilpīgos centienus līdz 75 procentiem.
• Nepārtraukta uzraudzība nozīmē biežāku datu novērtēšanu un prasa drošības datu automatizāciju, apkopojot un normalizējot datus no dažādiem avotiem, piemēram, drošības informācijas un notikumu pārvaldības (SIEM), aktīvu pārvaldības, draudu plūsmām un ievainojamības skeneriem. Organizācijas, savukārt, var samazināt izmaksas, apvienojot risinājumus, racionalizējot procesus, izveidojot situācijas izpratni, lai savlaicīgi atklātu ieguvumus un draudus, un vācot vēsturisko tendenču datus, kas var palīdzēt paredzētai drošībai.
• Slēgta cikla, uz risku balstīta atlīdzināšana uzņēmējdarbības subjektu ekspertus piesaista biznesa vienībās, lai definētu riska katalogu un riska toleranci. Šis process ietver aktīvu klasifikāciju, lai definētu biznesa kritiskumu, nepārtrauktu vērtēšanu, lai nodrošinātu prioritāšu noteikšanu uz riska pamata, un slēgta cikla izsekošanu un mērīšanu. Izveidojot nepārtrauktu esošo aktīvu, cilvēku, procesu, potenciālo risku un iespējamo draudu pārskatīšanas cilpu, organizācijas var ievērojami palielināt darbības efektivitāti, vienlaikus uzlabojot sadarbību starp uzņēmējdarbību, drošību un IT darbībām. Tas ļauj izmērīt un padarīt taustāmus drošības centienus, piemēram, izšķirtspējas laiku, ieguldījumus drošības operāciju personālā, papildu drošības instrumentu iegādi.

Apakšējā līnija par risku un atbilstību

Atbilstības pilnvaras nekad nebija paredzētas IT drošības kopnes vadīšanai. Viņiem vajadzētu būt atbalstošai lomai dinamiskā drošības sistēmā, ko virza riska novērtēšana, pastāvīga uzraudzība un slēgta cikla atlīdzināšana.