Conţinut
- Capcana conformității
- Securitate la salvare?
- Riscul ca unic adevăr
- Trei elemente pentru o viziune holistică a riscului
- Linia de bază privind riscul și conformitatea
La pachet:
Având în vedere că reglementările privind guvernanța și conformitatea sunt în continuă schimbare și se dezvoltă mai complex, poate fi greu pentru întreprinderi să se mențină, dar există câteva elemente cheie de securitate care vă pot ajuta.
Industria de ciuperci și mandatele guvernamentale care guvernează securitatea IT au dus la un mediu foarte reglementat și la exerciții de incendiu anuale de conformitate. Numărul de reglementări care afectează organizațiile medii poate depăși cu ușurință o duzină sau mai multe, și să devină mai complex în fiecare zi. Acest lucru obligă majoritatea companiilor să aloce o sumă necorespunzătoare de resurse pentru eforturile de guvernare și de conformitate pe lista lungă de priorități IT. Aceste eforturi sunt justificate? Sau pur și simplu o cerință de casă ca parte a unei abordări de securitate bazate pe respectarea condițiilor?Adevărul amar este că puteți programa un audit, dar nu puteți programa un cyberattack. Aproape în fiecare zi, ni se amintește de acest fapt atunci când încălcările fac vești în titlu. Drept urmare, multe organizații au ajuns la concluzia că pentru a obține o perspectivă asupra posturii lor de risc, acestea trebuie să depășească evaluările de conformitate simple. Drept urmare, aceștia iau în considerare amenințările și vulnerabilitățile, precum și impactul asupra afacerilor. Doar o combinație dintre acești trei factori asigură o viziune holistică a riscului.
Capcana conformității
Organizațiile care urmăresc o casetă de control, abordarea bazată pe respectarea gestionării riscurilor obțin doar o securitate la timp. Acest lucru se datorează faptului că poziția de securitate a unei companii este dinamică și se schimbă în timp. Acest lucru a fost dovedit din nou.Recent, organizațiile progresiste au început să urmărească o abordare a securității mai proactivă, bazată pe riscuri. Obiectivul unui model bazat pe risc este de a maximiza eficiența operațiunilor de securitate IT a unei organizații și de a oferi vizibilitate în postura de risc și de conformitate. Scopul final este de a rămâne în conformitate, de a reduce riscul și de a întări securitatea în mod continuu.
O serie de factori determină organizațiile să treacă la un model bazat pe riscuri. Acestea includ, dar nu se limitează la:
- Legea federală privind managementul securității informațiilor (FISMA) din 2002
- Programul federal de gestionare a riscurilor și autorizațiilor (FedRAMP)
- Securitate și schimb valutar (SEC) Cyber Guidance
- Legislația cibernetică emergentă (de ex. Legea privind protecția și protecția informațiilor informatice)
- Ordinul executiv prezidențial privind securitatea cibernetică
- Convenția Consiliului Europei privind criminalitatea informatică
- Îndrumări de supraveghere de către Oficiul Controlorului Monedei (OCC)
Securitate la salvare?
Se consideră în mod obișnuit că gestionarea vulnerabilităților va reduce riscul unei încălcări a datelor. Cu toate acestea, fără a plasa vulnerabilități în raport cu riscul asociat cu acestea, organizațiile deseori își aliniază greșit resursele de remediere. Adesea, ele trec cu vederea cele mai critice riscuri, în timp ce se adresează doar „fructelor cu agățat redus”.Aceasta nu este doar o pierdere de bani, dar creează și o fereastră mai lungă de oportunități pentru hackeri de a exploata vulnerabilitățile critice. Scopul final este de a scurta ferestrele atacatorilor trebuie să exploateze un defect software. Prin urmare, gestionarea vulnerabilității trebuie să fie completată de o abordare holistică, bazată pe riscuri de securitate, care ia în considerare factori precum amenințările, accesibilitatea, postura de conformitate a organizației și impactul asupra afacerii. Dacă amenințarea nu poate atinge vulnerabilitatea, riscul asociat este fie redus, fie eliminat.
Riscul ca unic adevăr
Postura de conformitate a unei organizații poate juca un rol esențial în securitatea IT prin identificarea controalelor compensatorii care pot fi utilizate pentru a preveni amenințările să își atingă ținta. Potrivit Raportului de investigare a încălcărilor de date Verizon 2013, o analiză a datelor obținute în urma investigațiilor de încălcare pe care Verizon și alte organizații le-au efectuat în cursul anului precedent, 97 la sută din incidentele de securitate au fost evitate prin controale simple sau intermediare. Cu toate acestea, impactul asupra afacerii este un factor esențial în determinarea riscului real. De exemplu, vulnerabilitățile care amenință activele de afaceri critice reprezintă un risc mult mai mare decât cele asociate cu ținte mai puțin critice.Postura de conformitate nu este de obicei legată de criticitatea activității. În schimb, controalele compensatorii sunt aplicate generic și testate în consecință. Fără o înțelegere clară a criticității întreprinderii pe care un activ o reprezintă pentru o organizație, o organizație nu este în măsură să acorde prioritate eforturilor de remediere. O abordare bazată pe riscuri abordează atât postura de securitate, cât și impactul asupra afacerii pentru a crește eficiența operațională, a îmbunătăți exactitatea evaluării, a reduce suprafețele de atac și a îmbunătăți luarea deciziilor în materie de investiții.
După cum am menționat anterior, riscul este influențat de trei factori cheie: postura de conformitate, amenințări și vulnerabilități și impactul asupra afacerilor. Drept urmare, este esențial să agregăm informații critice cu privire la posturile de risc și conformitate cu informațiile despre amenințări actuale, noi și emergente pentru a calcula impactul asupra operațiunilor comerciale și a acorda prioritate acțiunilor de remediere.
Trei elemente pentru o viziune holistică a riscului
Există trei componente principale pentru implementarea unei abordări a securității bazate pe riscuri:- Conformitatea continuă include reconcilierea activelor și automatizarea clasificării datelor, alinierea controalelor tehnice, automatizarea testării conformității, desfășurarea studiilor de evaluare și automatizarea consolidării datelor. Cu respectarea continuă, organizațiile pot reduce suprapunerile prin utilizarea unui cadru comun de control pentru a crește precizia în colectarea și analiza datelor și reducerea eforturilor redundante, precum și a eforturilor manuale, cu până la 75%.
- Monitorizarea continuă implică o frecvență crescută a evaluărilor de date și necesită automatizarea datelor de securitate prin agregarea și normalizarea datelor dintr-o varietate de surse, cum ar fi informații de securitate și gestionarea evenimentelor (SIEM), gestionarea activelor, fluxurile de amenințări și scanerele de vulnerabilitate. La rândul lor, organizațiile pot reduce costurile prin unificarea soluțiilor, raționalizarea proceselor, crearea de conștientizare situațională pentru expunerea exploatăților și amenințărilor în timp util și colectarea datelor de tendințe istorice, care pot ajuta la securitatea predictivă.
- Remedierea cu buclă închisă, bazată pe riscuri, asigură specialiștii din cadrul unităților de afaceri pentru a defini un catalog de risc și toleranța la risc. Acest proces presupune clasificarea activelor pentru a defini criticitatea afacerii, punctarea continuă pentru a permite prioritizarea bazată pe riscuri și urmărirea și măsurarea în buclă închisă. Stabilind o buclă de revizuire continuă a activelor, persoanelor, proceselor, riscurilor potențiale și amenințărilor existente, organizațiile pot crește dramatic eficiența operațională, îmbunătățind în același timp colaborarea între afaceri, securitate și operațiuni IT. Acest lucru permite măsurile de securitate - cum ar fi rezoluția în timp, investițiile în personalul operațiunilor de securitate, achizițiile de instrumente suplimentare de securitate - să fie măsurate și făcute tangibile.