Domov Varnost Poleg upravljanja in skladnosti: kaj je pomembno za varnostno tveganje

Poleg upravljanja in skladnosti: kaj je pomembno za varnostno tveganje

Kazalo:

Anonim

Industrija gobarjenja in vladni mandati, ki urejajo varnost IT, so privedli do zelo urejenega okolja in letnih požarnih vaj. Število predpisov, ki vplivajo na povprečne organizacije, zlahka presežejo ducat ali več in iz dneva v dan postanejo bolj zapleteni. To sili večino podjetij, da upravljanju in prizadevanjem za skladnost dodelijo premalo sredstev, poleg njihovega dolgega seznama prioritet IT. Ali so ta prizadevanja upravičena? Ali preprosto zahteva potrditvenega polja kot dela pristopa k varnosti, ki temelji na skladnosti?


Grenka resnica je, da lahko načrtujete revizijo, vendar ne morete načrtovati kibernetskega napada. Na to dejstvo nas spominjajo skoraj vsak dan, ko so kršitve novice o naslovih. Zato so številne organizacije sklenile, da morajo za vpogled v svojo tvegano držo preseči enostavne ocene skladnosti. Posledično upoštevajo grožnje in ranljivosti ter vpliv na poslovanje. Le kombinacija teh treh dejavnikov zagotavlja celostni pogled na tveganje.

Slap skladnosti

Organizacije, ki sledijo potrditvenemu pristopu, ki temelji na pristopu k obvladovanju tveganj, dosegajo samo pravočasno varnost. To je zato, ker je varnostna drža podjetja dinamična in se sčasoma spreminja. To se vedno znova dokazuje.


V zadnjem času so napredne organizacije začele izvajati bolj proaktiven pristop k varnosti, ki temelji na tveganju. Cilj v modelu, ki temelji na tveganju, je povečati učinkovitost varnostnih dejavnosti organizacije in zagotoviti vidnost v tveganju in drži. Končni cilj je stalno ohranjati skladnost, zmanjševati tveganje in utrjevati varnost.


Številni dejavniki povzročajo prehod na organizacije na model, ki temelji na tveganju. Sem spadajo, vendar niso omejene na:

  • Nova kibernetska zakonodaja (npr. Zakon o delitvi in ​​zaščiti kibernetske obveščevalne službe)
  • Nadzorne smernice urada nadzornika valute (OCC)

Varnost za reševanje?

Splošno velja, da bo upravljanje ranljivosti zmanjšalo tveganje kršitve podatkov. Vendar pa organizacije ne postavljajo ranljivosti v kontekst z njimi povezanih tveganj. Pogosto spregledajo najbolj kritična tveganja in se lotijo ​​le "sadja z nizko visiko".


To ni samo zapravljanje denarja, ampak tudi ustvarja daljše okno priložnosti za hekerje, da izkoristijo kritične ranljivosti. Končni cilj je skrajšati okna, ki jo morajo napadalci izkoristiti programsko napako. Zato je treba upravljanje ranljivosti dopolniti s celostnim pristopom k varnosti, ki temelji na tveganju, ki upošteva dejavnike, kot so grožnje, dosegljivost, drža za skladnost organizacije in vpliv podjetja. Če grožnja ne more doseči ranljivosti, se s tem povezano tveganje zmanjša ali odpravi.

Tvegajte kot Edina resnica

Organizacija za skladnost lahko igra bistveno vlogo pri varnosti IT z identificiranjem kompenzacijskih kontrol, ki jih lahko uporabimo za preprečevanje groženj, da bi dosegli svoj cilj. V skladu s poročilom o preiskavah podatkov o kršitvah podatkov Verizon iz leta 2013 je analiza podatkov, pridobljenih iz preiskav kršitev, ki jih je Verizon in druge organizacije izvajala v preteklem letu, preprečila 97 odstotkov varnostnih incidentov s preprostim ali vmesnim nadzorom. Vendar je poslovni vpliv odločilni dejavnik pri določanju dejanskega tveganja. Na primer, ranljivosti, ki ogrožajo kritična poslovna sredstva, predstavljajo veliko večje tveganje kot tiste, ki so povezane z manj kritičnimi cilji.


Skladnost običajno ni vezana na poslovno kritičnost sredstev. Namesto tega se kompenzacijski nadzor uporablja splošno in preizkusi. Brez jasnega razumevanja poslovne kritičnosti, ki jo sredstvo predstavlja organizaciji, organizacija ne more dati prednost prizadevanjem za sanacijo. Pristop, ki temelji na tveganju, obravnava varnostno držo in poslovne učinke, da poveča operativno učinkovitost, izboljša natančnost ocenjevanja, zmanjša napadalno površino in izboljša odločanje o naložbah.


Kot smo že omenili, na tveganje vplivajo trije ključni dejavniki: skladnost, grožnje in ranljivosti ter poslovni vpliv. Kot rezultat tega je bistvenega pomena združevanje kritičnih informacij o položajih tveganj in skladnosti s sedanjimi, novimi in novimi informacijami o grožnji, da se izračunajo vplivi na poslovanje in dajo prednostni ukrepi sanaciji.

Trije elementi celostnega pogleda na tveganje

Za izvajanje pristopa k varnosti, ki temelji na tveganju, so tri glavne komponente:

  • Nenehna skladnost vključuje uskladitev sredstev in avtomatizacijo klasifikacije podatkov, prilagajanje tehničnega nadzora, avtomatizacijo testiranja skladnosti, uvedbo ocenjevalnih anket in avtomatizacijo konsolidacije podatkov. Z nenehno skladnostjo lahko organizacije zmanjšajo prekrivanje z uporabo skupnega okvira nadzora, da se poveča natančnost zbiranja in analize podatkov ter zmanjšajo odvečna, pa tudi ročna, delovno intenzivna prizadevanja, do 75 odstotkov.
  • Neprekinjeno spremljanje pomeni povečano pogostost ocenjevanja podatkov in zahteva avtomatizacijo varnostnih podatkov z zbiranjem in normalizacijo podatkov iz različnih virov, kot so varnostne informacije in upravljanje dogodkov (SIEM), upravljanje premoženja, viri groženj in skenerji ranljivosti. Organizacije lahko zmanjšajo stroške z združevanjem rešitev, racionalizacijo procesov, ustvarjanjem ozaveščenosti o položaju za pravočasno izpostavljanje izkoriščanj in groženj ter zbiranjem zgodovinskih podatkov o trendih, ki lahko pomagajo pri napovedni varnosti.
  • Sanacija, ki temelji na tveganju, v poslovnih enotah uporablja strokovnjake za zadeve, da določijo katalog tveganja in toleranco do tveganja. Ta postopek vključuje klasifikacijo sredstev za določitev poslovne kritičnosti, nenehno ocenjevanje, da se omogoči prednostno določanje na podlagi tveganja, ter sledenje in merjenje v zaprti zanki. Z vzpostavitvijo neprekinjene revizijske zanke obstoječih sredstev, ljudi, procesov, potencialnih tveganj in možnih groženj lahko organizacije dramatično povečajo operativno učinkovitost ob hkratnem izboljšanju sodelovanja med poslovnimi, varnostnimi in informacijskimi operacijami. To omogoča, da se varnostna prizadevanja - kot so čas za reševanje, naložbe v osebje varnostnih operacij, nakup dodatnih varnostnih orodij - izmerijo in postanejo otipljivi.

Bottom Line o tveganju in skladnosti

Mandati o skladnosti niso bili nikoli zasnovani za pogon varnostne vodje IT. Morali bi igrati podporno vlogo v dinamičnem varnostnem okviru, ki temelji na oceni tveganja, stalnem spremljanju in sanaciji v zaprtem krogu.
Poleg upravljanja in skladnosti: kaj je pomembno za varnostno tveganje