Dom sigurnosti Osim upravljanja i poštivanja pitanja: zašto je sigurnosni rizik ono što je važno

Osim upravljanja i poštivanja pitanja: zašto je sigurnosni rizik ono što je važno

Sadržaj:

Anonim

Industrija gljiva i vladini mandati koji upravljaju informatičkom sigurnošću doveli su do visoko reguliranog okruženja i godišnjih vatrogasnih vježbi. Broj propisa koji utječu na prosječne organizacije može lako premašiti desetak ili više, a iz dana u dan postaje sve složeniji. To prisiljava većinu tvrtki da dodele neznatan iznos resursa za upravljanje i poštovanje napora na njihovoj dužoj listi IT prioriteta. Jesu li ti napori opravdani? Ili jednostavno zahtjev za potvrdni okvir kao dio pristupa koji se temelji na usklađenosti?


Gorka istina je da možete zakazati reviziju, ali ne možete zakazati cyber-napad. Skoro svakog dana podsjećamo na tu činjenicu kada kršenja donose vijesti iz naslova. Kao rezultat toga, mnoge su organizacije zaključile da, kako bi stekle uvid u svoje rizično držanje, moraju prijeći jednostavne procjene sukladnosti. Kao rezultat, oni uzimaju u obzir prijetnje i ranjivosti, kao i utjecaj na poslovanje. Samo kombinacija ova tri faktora osigurava holistički prikaz rizika.

Zamka sukladnosti

Organizacije koje slijede potvrdni okvir i upravljanje upravljanjem rizicima usmjereno na usklađenost postižu samo pravovremenu sigurnost. To je zato što je sigurnosni stav tvrtke dinamičan i vremenom se mijenja. To se dokazalo uvijek iznova.


Nedavno su napredne organizacije počele provoditi proaktivniji, sigurnosno utemeljen pristup. Cilj u modelu temeljenom na riziku je maksimizirati učinkovitost IT sigurnosnih operacija organizacije i omogućiti vidljivost u položaju rizika i poštivanja propisa. Krajnji je cilj kontinuirano ostati u skladu, smanjiti rizik i učvrstiti sigurnost.


Brojni čimbenici uzrokuju prelazak organizacija na model temeljen na riziku. To uključuje, ali nije ograničeno na:

  • Nastavno cyber zakonodavstvo (npr. Zakon o dijeljenju i zaštiti cyber obavještajnih podataka)
  • Nadzorne upute Ureda za nadzor valute (OCC)

Sigurnost za spas?

Uobičajeno je mišljenje da će upravljanje ranjivošću smanjiti rizik od kršenja podataka. No, ne stavljajući ranjivosti u kontekst rizika povezanog s njima, organizacije često neprilagođavaju svoje resurse za sanaciju. Često zanemaruju najkritičnije rizike dok se samo bave „voćem sa slabim visanjem“.


To ne samo da troši novac, već stvara i duži prozor za hakere da iskoriste kritične ranjivosti. Krajnji je cilj skratiti napadači prozora koji moraju iskoristiti softverski nedostatak. Stoga se upravljanje ranjivošću mora dopuniti holističkim pristupom sigurnosti temeljenom na riziku, koji uzima u obzir čimbenike poput prijetnji, dostupnosti, držanja usklađenosti organizacije i utjecaja na poslovanje. Ako prijetnja ne može postići ranjivost, pridruženi rizik se ili smanjuje ili uklanja.

Rizik kao jedina istina

Stav usklađenosti organizacije može igrati bitnu ulogu u IT sigurnosti identificiranjem kompenzacijskih kontrola koje se mogu koristiti za sprečavanje prijetnji da dosegnu svoj cilj. Prema Izvješću o istragama kršenja podataka prema Verizonu iz 2013. godine, analizom podataka dobivenih iz istraga kršenja zakona koje su proveli Verizon i druge organizacije tijekom prethodne godine, 97 posto sigurnosnih incidenata bilo je moguće izbjeći jednostavnom ili posrednom kontrolom. Međutim, utjecaj poslovanja presudan je faktor u određivanju stvarnog rizika. Na primjer, ranjivosti koje prijete kritičnim poslovnim sredstvima predstavljaju daleko veći rizik od onih koji su povezani s manje kritičnim ciljevima.


Držanje usklađenosti obično nije vezano za poslovnu kritičnost imovine. Umjesto toga, kompenzacijske kontrole primjenjuju se općenito i testiraju u skladu s tim. Bez jasnog razumijevanja kritičnosti poslovanja koje sredstvo predstavlja organizaciji, organizacija nije u mogućnosti dati prioritet naporima na sanaciji. Pristup temeljen na riziku bavi se i sigurnosnim položajem i poslovnim učinkom kako bi se povećala operativna učinkovitost, poboljšala točnost procjene, smanjila površina napada i poboljšalo odlučivanje o investiranju.


Kao što je ranije spomenuto, na rizik utječu tri ključna faktora: držanje usklađenosti, prijetnje i ranjivosti i poslovni utjecaj. Kao rezultat, ključno je objediniti kritičku informaciju o položaju rizika i usklađenosti s trenutnim, novim i nadolazećim informacijama o prijetnji kako bi se izračunali učinci na poslovanje i prioritetni postupci sanacije.

Tri elementa holističkog pogleda na rizik

Tri su glavne komponente za primjenu sigurnosno utemeljenog pristupa:

  • Kontinuirana usklađenost uključuje usklađivanje imovine i automatizaciju klasifikacije podataka, usklađivanje tehničkih kontrola, automatizaciju testiranja usklađenosti, primjenu anketa o procjeni i automatizaciju konsolidacije podataka. Uz kontinuirano poštivanje, organizacije mogu smanjiti preklapanje korištenjem zajedničkog kontrolnog okvira za povećanje točnosti prikupljanja i analize podataka i smanjenja suvišnih, kao i ručnih, napornih napora do 75 posto.
  • Kontinuirano nadgledanje podrazumijeva povećanu učestalost procjena podataka i zahtijeva automatizaciju sigurnosnih podataka agregiranjem i normaliziranjem podataka iz različitih izvora kao što su sigurnosne informacije i upravljanje događajima (SIEM), upravljanje imovinom, feedovi prijetnji i skeneri ranjivosti. Zauzvrat, organizacije mogu smanjiti troškove objedinjavanjem rješenja, pojednostavljenja procesa, stvaranjem situacijske svijesti za pravodobno izlaganje iskorištavanja i prijetnji i prikupljanjem podataka o povijesnim trendovima, koji mogu pomoći u prediktivnoj sigurnosti.
  • Sanacija na temelju rizika zatvara stručne stručnjake unutar poslovnih jedinica kako bi definirali katalog rizika i toleranciju na rizik. Ovaj postupak uključuje klasifikaciju imovine radi definiranja poslovne kritičnosti, kontinuiranog bodovanja kako bi se omogućilo utvrđivanje prioriteta na temelju rizika i praćenje i mjerenje u zatvorenoj petlji. Uspostavljanjem kontinuiranog kruga pregleda postojeće imovine, ljudi, procesa, potencijalnih rizika i mogućih prijetnji organizacije mogu dramatično povećati operativnu učinkovitost, istovremeno poboljšavajući suradnju između poslovnih, sigurnosnih i IT operacija. To omogućava da se mjere sigurnosti i napori - poput vremenskog rješavanja, ulaganja u osoblje sigurnosnih operacija, kupovina dodatnih sigurnosnih alata - postanu opipljivi.

Dno crta o riziku i usklađenosti

Mandati o usklađenosti nikada nisu bili dizajnirani da upravljaju sigurnosnom sabirnicom. Oni bi trebali igrati potporu u dinamičnom sigurnosnom okviru koji se temelji na procjeni rizika, stalnom nadzoru i sanaciji zatvorene petlje.
Osim upravljanja i poštivanja pitanja: zašto je sigurnosni rizik ono što je važno