Obsah:
- Úskalie dodržiavania predpisov
- Bezpečnosť na záchranu?
- Riziko ako jediná pravda
- Tri prvky holistického pohľadu na riziko
- Zrátané a podčiarknuté, pokiaľ ide o riziká a súlad
Hubársky priemysel a vládne mandáty, ktorými sa riadi bezpečnosť IT, viedli k vysoko regulovanému prostrediu a požiarnym cvičeniam s každoročným dodržiavaním predpisov. Počet nariadení, ktoré ovplyvňujú priemerné organizácie, môže ľahko presiahnuť tucet alebo viac a môže sa každým dňom zväčšovať. To núti väčšinu spoločností, aby na zdĺhavý zoznam priorít v oblasti IT vyčlenili neprimerané množstvo zdrojov na úsilie v oblasti správy a dodržiavania predpisov. Je toto úsilie opodstatnené? Alebo jednoducho požiadavka na zaškrtávacie políčko ako súčasť prístupu k bezpečnosti zameraného na dodržiavanie predpisov?
Horkou pravdou je, že si môžete naplánovať audit, ale nemôžete naplánovať kybernetický útok. Takmer každý deň sme upozorňovaní na túto skutočnosť, keď porušenia priniesli hlavné správy. V dôsledku toho mnoho organizácií dospelo k záveru, že na to, aby získali prehľad o svojom postoji k riziku, musia ísť nad rámec jednoduchého posudzovania zhody. Výsledkom je, že zohľadňujú hrozby a zraniteľné miesta, ako aj dosah na podnikanie. Iba kombinácia týchto troch faktorov zabezpečuje holistický pohľad na riziko.
Úskalie dodržiavania predpisov
Organizácie, ktoré sledujú začiarkavacie políčko, riadený prístup k riadeniu rizika založený na dodržiavaní predpisov, dosahujú iba okamžitú bezpečnosť. Je to preto, že pozícia spoločnosti v oblasti bezpečnosti je dynamická a postupom času sa mení. Toto sa znova a znova preukázalo.
V poslednej dobe sa progresívne organizácie začali usilovať o proaktívnejší prístup k bezpečnosti založený na riziku. Cieľom modelu založeného na rizikách je maximalizovať efektívnosť bezpečnostných operácií organizácie v organizácii a poskytovať prehľad o držbe rizika a dodržiavania predpisov. Konečným cieľom je neustále dodržiavať predpisy, znižovať riziká a zvyšovať bezpečnosť.
Organizácie prechádzajú k modelu založenému na riziku niekoľko faktorov. Tieto zahŕňajú, ale nie sú obmedzené na:
- Nové právne predpisy v oblasti kybernetiky (napr. Zákon o zdieľaní a ochrane počítačovej spravodajskej služby)
- Dozorné usmernenie Úradu pre kontrolu meny (OCC)
Bezpečnosť na záchranu?
Všeobecne sa verí, že správa zraniteľností minimalizuje riziko porušenia údajov. Bez toho, aby sa zraniteľné miesta dostali do kontextu rizika, ktoré je s nimi spojené, však organizácie často nevyrovnávajú svoje prostriedky na nápravu. Často prehliadajú najkritickejšie riziká, pričom sa zameriavajú iba na „ovocie s nízkou visbou“.
Nejde iba o plytvanie peniazmi, ale aj to vytvára dlhšiu príležitosť pre hackerov využívať kritické zraniteľné miesta. Konečným cieľom je skrátiť okno, ktoré musia útočníci využiť na chybu softvéru. Z tohto dôvodu musí byť riadenie zraniteľností doplnené holistickým prístupom k bezpečnosti založeným na rizikách, ktorý zohľadňuje faktory, ako sú hrozby, dosiahnuteľnosť, držanie tela v zhode a dopad na podnikanie. Ak hrozba nemôže dosiahnuť zraniteľnosť, súvisiace riziko sa buď zníži, alebo vylúči.
Riziko ako jediná pravda
Pozícia organizácie v oblasti dodržiavania predpisov môže hrať dôležitú úlohu v oblasti bezpečnosti IT identifikáciou kompenzačných kontrol, ktoré sa môžu použiť na zabránenie hrozbám v dosiahnutí ich cieľa. Podľa správy o vyšetrovaní porušenia údajov spoločnosti Verizon za rok 2013, analýze údajov získaných z vyšetrovaní porušenia predpisov, ktoré Verizon a iné organizácie vykonali v predchádzajúcom roku, bolo 97% bezpečnostných incidentov možné vyhnúť jednoduchými alebo strednými kontrolami. Dopad na podnikanie je však rozhodujúcim faktorom pri určovaní skutočného rizika. Napríklad zraniteľné miesta, ktoré ohrozujú kritické obchodné aktíva, predstavujú oveľa väčšie riziko ako zraniteľné miesta, ktoré sú spojené s menej kritickými cieľmi.
Pozícia dodržiavania predpisov zvyčajne nesúvisí s obchodnou kritickosťou aktív. Namiesto toho sa kompenzačné kontroly uplatňujú všeobecne a podľa toho sa testujú. Bez jasného pochopenia obchodnej kritickosti, ktorú aktívum predstavuje pre organizáciu, nie je organizácia schopná uprednostniť nápravné úsilie. Prístup zameraný na riziká sa zameriava na bezpečnostné postavenie, ako aj na obchodné dopady, aby sa zvýšila prevádzková efektívnosť, zlepšila presnosť posúdenia, znížili sa útočné plochy a zlepšilo sa investičné rozhodovanie.
Ako už bolo spomenuté, riziko ovplyvňujú tri kľúčové faktory: držanie tela, hrozby a zraniteľné miesta a vplyv na podnikanie. Výsledkom je, že je nevyhnutné zhromaždiť kritické spravodajské informácie o rizikových pozíciách a pozíciách v súlade s aktuálnymi, novými a objavujúcimi sa informáciami o hrozbách, aby sa vypočítal vplyv na obchodné operácie a stanovili priority nápravných opatrení.
Tri prvky holistického pohľadu na riziko
Implementácia prístupu k bezpečnosti na základe rizika spočíva v troch hlavných prvkoch:- Neustály súlad zahŕňa zosúlaďovanie aktív a automatizáciu klasifikácie údajov, zosúladenie technických kontrol, automatizáciu testovania zhody, zavádzanie hodnotiacich prieskumov a automatizáciu konsolidácie údajov. Vďaka nepretržitému dodržiavaniu môžu organizácie znížiť prekrývanie využitím spoločného kontrolného rámca na zvýšenie presnosti zberu údajov a analýzy údajov a na zníženie nadbytočných, ako aj manuálnych prácnych prác až o 75 percent.
- Neustále monitorovanie znamená zvýšenú frekvenciu vyhodnocovania údajov a vyžaduje automatizáciu bezpečnostných údajov agregáciou a normalizáciou údajov z rôznych zdrojov, ako sú bezpečnostné informácie a správa udalostí (SIEM), správa majetku, zdroje hrozieb a skenery zraniteľnosti. Organizácie môžu zase znížiť náklady zjednotením riešení, zefektívnením procesov, vytvorením situačného povedomia na včasné odhalenie zneužitia a hrozieb a zhromažďovaním historických údajov o trendoch, ktoré môžu pomôcť pri prediktívnej bezpečnosti.
- Sanácia s uzavretým cyklom a na základe rizika využíva odborníkov v rámci obchodných jednotiek na definovanie katalógu rizík a tolerancie rizika. Tento proces zahŕňa klasifikáciu aktív na definovanie kritiky podniku, nepretržité vyhodnocovanie, ktoré umožňuje stanovenie priorít podľa rizika, a sledovanie a meranie v uzavretej slučke. Vytvorením nepretržitej kontrolnej slučky existujúcich aktív, ľudí, procesov, potenciálnych rizík a možných hrozieb môžu organizácie dramaticky zvýšiť prevádzkovú efektívnosť a zároveň zlepšiť spoluprácu medzi podnikmi, bezpečnosťou a IT operáciami. To umožňuje merať a robiť hmatateľné bezpečnostné snahy - napríklad čas do riešenia problémov, investície do personálu bezpečnostných operácií, nákupy ďalších bezpečnostných nástrojov.
Zrátané a podčiarknuté, pokiaľ ide o riziká a súlad
Mandáty na dodržiavanie predpisov neboli nikdy navrhnuté tak, aby viedli zbernicu zabezpečenia IT. Mali by zohrávať podpornú úlohu v rámci dynamického bezpečnostného rámca, ktorý sa riadi hodnotením rizika, nepretržitým monitorovaním a nápravou v uzavretých cykloch.
