Obsah:
- Úskalí dodržování předpisů
- Zabezpečení pro záchranu?
- Riziko jako jediná pravda
- Tři prvky holistického pohledu na riziko
- Sečteno a podtrženo, pokud jde o rizika a dodržování předpisů
Houbací průmysl a vládní mandáty, kterými se řídí bezpečnost IT, vedly k vysoce regulovanému prostředí a požárním cvičením s každoročním dodržováním předpisů. Počet předpisů, které ovlivňují průměrné organizace, může snadno překročit tucet nebo více a může být každým dnem složitější. To nutí většinu společností, aby přidělily nepřiměřené množství zdrojů na správu a úsilí o dosažení souladu s jejich dlouhým seznamem IT priorit. Je toto úsilí zaručeno? Nebo jednoduše požadavek na zaškrtávací políčko v rámci přístupu k bezpečnosti, který je založen na dodržování předpisů?
Hořká pravda je, že můžete naplánovat audit, ale nemůžete naplánovat kybernetický útok. Téměř každý den jsme na tuto skutečnost upozorněni, když porušení přináší hlavní zprávy. V důsledku toho mnoho organizací dospělo k závěru, že aby získali přehled o svém držení těla, musí jít nad rámec jednoduchého posouzení shody. V důsledku toho berou v úvahu hrozby a zranitelnosti, jakož i dopad na podnikání. Pouze kombinace těchto tří faktorů zajišťuje holistický pohled na riziko.
Úskalí dodržování předpisů
Organizace, které provádějí check-box, přístupem řízeným přístupem k řízení rizik dosahují pouze point-in-time bezpečnosti. Je to proto, že bezpečnostní postoj společnosti je dynamický a postupem času se mění. Bylo to znovu a znovu prokázáno.
V poslední době se progresivní organizace začaly věnovat aktivnějšímu přístupu k bezpečnosti založenému na riziku. Cílem modelu založeného na rizicích je maximalizovat efektivitu bezpečnostních operací organizace v organizaci a zajistit viditelnost pozice rizik a dodržování předpisů. Konečným cílem je neustálé dodržování předpisů, snižování rizik a zvyšování bezpečnosti.
Organizace přecházejí k modelu založenému na riziku řada faktorů. Mezi ně patří mimo jiné:
- Nové právní předpisy v oblasti kybernetiky (např. Zákon o sdílení a ochraně informací v oblasti počítačové zpravodajství)
- Dozorčí pokyny Úřadu správce měny (OCC)
Zabezpečení pro záchranu?
Obecně se předpokládá, že řízení zranitelnosti minimalizuje riziko narušení dat. Organizace však bez uvedení zranitelností do kontextu rizika, které je s nimi spojeno, často nevyrovnávají své prostředky na nápravu. Často přehlíží nejkritičtější rizika a přitom se zaměřují pouze na „nízko visící ovoce“.
Nejde jen o plýtvání penězi, ale také to vytváří delší příležitost pro hackery využívat kritické zranitelnosti. Konečným cílem je zkrátit okno, které musí útočníci využít k softwarové chybě. Proto musí být řízení zranitelnosti doplněno holistickým přístupem k zabezpečení založeným na riziku, který zohledňuje faktory, jako jsou hrozby, dosažitelnost, držení těla organizace a dopad na podnikání. Pokud hrozba nemůže dosáhnout zranitelnosti, přidružené riziko se sníží nebo eliminuje.
Riziko jako jediná pravda
Postavení organizace v oblasti dodržování předpisů může hrát zásadní roli v zabezpečení IT tím, že identifikuje kompenzační kontroly, které lze použít k zabránění hrozbám v dosažení jejich cíle. Podle zprávy o vyšetřováních porušení údajů společnosti Verizon z roku 2013, analýzy údajů získaných z vyšetřování porušení předpisů, které provedla společnost Verizon a další organizace během předchozího roku, bylo 97% bezpečnostních incidentů možné vyhnout pomocí jednoduchých nebo přechodných kontrol. Dopad na podnikání je však rozhodujícím faktorem při určování skutečného rizika. Například zranitelnosti, které ohrožují kritická obchodní aktiva, představují mnohem vyšší riziko než zranitelnosti spojené s méně kritickými cíli.
Dodržování pozice obvykle není vázáno na obchodní kritičnost aktiv. Místo toho se kompenzační kontroly používají všeobecně a podle toho se testují. Bez jasného pochopení obchodní kritičnosti, kterou aktivum představuje pro organizaci, nemůže organizace upřednostnit nápravné úsilí. Přístup zaměřený na riziko se zaměřuje jak na bezpečnostní postoj, tak na obchodní dopady, aby se zvýšila provozní efektivita, zlepšila přesnost hodnocení, snížily se útočné plochy a zlepšilo se rozhodování o investicích.
Jak již bylo zmíněno výše, riziko je ovlivněno třemi klíčovými faktory: držení těla, hrozby a zranitelnosti a dopad na podnikání. Výsledkem je, že je nezbytné agregovat kritické informace o postojích k rizikům a dodržování předpisů se současnými, novými a nově se objevujícími informacemi o hrozbách, aby bylo možné vypočítat dopady na obchodní operace a stanovit priority nápravných opatření.
Tři prvky holistického pohledu na riziko
Implementace přístupu k bezpečnosti založeného na rizicích jsou tři hlavní složky:- Průběžná shoda zahrnuje sladění aktiv a automatizaci klasifikace dat, sladění technických kontrol, automatizaci testování shody, nasazení hodnotících průzkumů a automatizaci konsolidace dat. Díky neustálému dodržování předpisů mohou organizace snížit překrývání využitím společného kontrolního rámce, aby se zvýšila přesnost sběru dat a analýzy dat, a aby se snížilo zbytečné i manuální úsilí náročné na práci až o 75 procent.
- Neustálé monitorování vyžaduje zvýšenou frekvenci vyhodnocování dat a vyžaduje automatizaci bezpečnostních dat agregací a normalizací dat z různých zdrojů, jako jsou informace o bezpečnosti a správa událostí (SIEM), správa aktiv, zdroje hrozeb a skenery zranitelnosti. Organizace zase mohou snižovat náklady sjednocením řešení, zefektivňováním procesů, vytvářením situačního povědomí k včasnému odhalení zneužití a hrozeb a shromažďováním historických údajů o trendech, které mohou pomoci při prediktivním zabezpečení.
- Sanace s uzavřeným cyklem a na základě rizik využívá odborníky v rámci obchodních jednotek k definování katalogu rizik a tolerance rizik. Tento proces zahrnuje klasifikaci aktiv pro definování obchodní kritičnosti, průběžné vyhodnocování umožňující prioritizaci na základě rizik a sledování a měření v uzavřené smyčce. Zavedením nepřetržité smyčky revize existujících aktiv, lidí, procesů, potenciálních rizik a možných hrozeb mohou organizace dramaticky zvýšit efektivitu provozu a zlepšit spolupráci mezi obchodem, zabezpečením a provozem IT. To umožňuje měřit a učinit hmatatelnou snahu o bezpečnost - například čas do řešení, investice do personálu bezpečnostního provozu, nákupy dalších bezpečnostních nástrojů.
Sečteno a podtrženo, pokud jde o rizika a dodržování předpisů
Mandáty na dodržování předpisů nebyly nikdy navrženy k řízení sběrnice zabezpečení IT. Měly by hrát podpůrnou roli v dynamickém rámci zabezpečení, který je založen na hodnocení rizik, nepřetržitém sledování a sanaci v uzavřené smyčce.
