Juhtimisest ja vastavusest väljaspool: miks on oluline IT turvarisk?

Autor: Eugene Taylor
Loomise Kuupäev: 7 August 2021
Värskenduse Kuupäev: 20 Juunis 2024
Anonim
Juhtimisest ja vastavusest väljaspool: miks on oluline IT turvarisk? - Tehnoloogia
Juhtimisest ja vastavusest väljaspool: miks on oluline IT turvarisk? - Tehnoloogia

Sisu


Ära võtma:

Kuna valitsemis- ja vastavusmäärused muutuvad pidevalt ja muutuvad keerukamaks, võib ettevõtetel olla raske sammu pidada, kuid abiks on mõned võtmetähtsusega turvaelemendid.

Seenetootmistööstus ja IT-turvalisust reguleerivad valitsuse mandaadid on viinud kõrgelt reguleeritud keskkonna ja iga-aastaste nõuetele vastavuse kontrollideni. Keskmisi organisatsioone mõjutavate määruste arv võib hõlpsalt ületada tosina või enama ja kasvada päevaga keerukamaks. See sunnib enamikku ettevõtteid määrama juhtimis- ja vastavusalaste jõupingutuste jaoks liiga palju ressursse lisaks oma pikale IT-prioriteetide loetelule. Kas need jõupingutused on õigustatud? Või lihtsalt märkeruudu nõue osana vastavuspõhisest lähenemisviisist turvalisusele?

Mõru tõde on see, et auditi saab ajastada, kuid küberrünnakut ei saa. Peaaegu iga päev tuletatakse seda fakti meelde, kui rikkumised teevad uudiseid. Selle tulemusel on paljud organisatsioonid jõudnud järeldusele, et oma riskipositsioonist ülevaate saamiseks peavad nad minema kaugemale lihtsast vastavushindamisest. Selle tulemusel võtavad nad arvesse nii ohtusid ja haavatavusi kui ka mõju ettevõttele. Ainult nende kolme teguri kombinatsioon tagab tervikliku ülevaate riskist.

Nõuetele mittevastavus

Organisatsioonid, kes järgivad märkeruutu ja vastavuspõhist lähenemist riskijuhtimisele, saavutavad ainult ajahetke turvalisuse. Selle põhjuseks on asjaolu, et ettevõtte turvahoiak on dünaamiline ja aja jooksul muutub. See on ikka ja jälle tõestatud.

Viimasel ajal on progressiivsed organisatsioonid hakanud kasutama proaktiivsemat, riskipõhist lähenemisviisi turvalisusele. Riskipõhise mudeli eesmärk on maksimeerida organisatsiooni IT-turbetoimingute tõhusust ja pakkuda nähtavust riski- ja vastavushoiakutes. Lõppeesmärk on jääda vastavusse, vähendada riske ja tugevdada turvalisust pidevalt.

Mitmed tegurid põhjustavad organisatsioonide liikumist riskipõhisele mudelile. Nende hulka kuuluvad, kuid ei ole nendega piiratud:
  • 2002. aasta föderaalne infoturbehalduse seadus (FISMA)
  • Föderaalne riski- ja autoriseerimishaldusprogramm (FedRAMP)
  • Väärtpaberi- ja börsikomisjoni (SEC) küberjuhend
  • Tekkivad küberõigusaktid (nt küberluure jagamise ja kaitse seadus)
  • Presidendi täidesaatev käskkiri küberturvalisuse kohta
  • Euroopa Nõukogu küberkuritegevuse konventsioon
  • Valuutaregistri büroo (OCC) juhendatavad juhised

Päästeturvalisus?

Üldiselt arvatakse, et haavatavuse haldamine minimeerib andmete rikkumise riski. Arvestamata haavatavusi nendega seotud riskiga, viivad organisatsioonid oma heastamisallikad sageli valesti. Sageli eiravad nad kõige kriitilisemaid riske, tegeledes ainult "madala rippuva puuviljaga".

See pole mitte ainult raha raiskamine, vaid loob häkkeritele ka pikema võimaluse kasutada kriitilisi haavatavusi. Lõppeesmärk on akna lühendamine, ründajad peavad tarkvara puudust ära kasutama. Seetõttu tuleb haavatavuse juhtimist täiendada tervikliku, riskipõhise lähenemisviisiga turvalisusele, milles võetakse arvesse selliseid tegureid nagu ohud, saavutatavus, organisatsiooni vastavushoiak ja ettevõtte mõju. Kui oht ei pääse haavatavusse, vähendatakse sellega seotud riski või see kõrvaldatakse.

Risk kui ainus tõde

Organisatsiooni vastavushoiak võib mängida IT-turvalisuses olulist rolli, määrates kindlaks kompenseerivad juhtimisvõimalused, mida saab kasutada ohtude ennetamiseks nende eesmärgi saavutamisel. 2013. aasta Verizon'i andmete rikkumise uurimise aruande kohaselt, mis on Verizoni ja teiste organisatsioonide poolt eelmisel aastal läbi viidud rikkumiste uurimisel saadud andmete analüüs, oli 97 protsenti turvaintsidentidest välditavad lihtsa või vahepealse kontrolli abil. Mõju ettevõttele on tegeliku riski määramisel siiski kriitiline tegur. Näiteks haavatavused, mis ohustavad ettevõtte kriitilisi varasid, kujutavad endast palju suuremat riski kui need, mis on seotud vähem kriitiliste eesmärkidega.

Vastavushoiak ei ole tavaliselt seotud varade ärikriitilisusega. Selle asemel rakendatakse kompenseerivaid juhtnööre üldiselt ja vastavalt testitakse. Ilma selge arusaamata ärikriitilisusest, mida vara organisatsioonile esindab, ei suuda organisatsioon heastamismeetmeid tähtsuse järjekorda seada. Riskikesksed lähenemisviisid käsitlevad nii turvaasendit kui ka ärimõju, et suurendada toimimise tõhusust, parandada hindamise täpsust, vähendada rünnaku pinda ja parandada investeerimisotsuste tegemist.

Nagu varem mainitud, mõjutavad riski kolm peamist tegurit: vastavushoiak, ohud ja nõrgad kohad ning mõju ettevõttele. Seetõttu on äritegevusele avaldatava mõju arvutamiseks ja heastamismeetmete tähtsuse määramiseks esmatähtis koondada kriitiline teave riskide ja vastavusseisundite kohta kehtiva, uue ja tekkiva ohu kohta.

Kolm elementi terviklikust vaatenurgast

Turvalisuse riskipõhise lähenemisviisi rakendamisel on kolm peamist komponenti:
  • Pidev vastavus hõlmab varade ühildamist ja andmete klassifitseerimise automatiseerimist, tehnilise juhtimise viimist, vastavustestide automatiseerimist, hindamisuuringute juurutamist ja andmete konsolideerimise automatiseerimist. Pideva nõuetele vastavuse korral saavad organisatsioonid kattumist vähendada, võimendades ühise juhtimisraamistiku, et suurendada andmete kogumise ja andmete analüüsi täpsust, ning vähendada ülearuseid ja käsitsi tehtavaid töömahukaid jõupingutusi kuni 75 protsenti.

  • Pidev jälgimine eeldab andmete hindamise sagenemist ja nõuab turvaandmete automatiseerimist, koondades ja normaliseerides andmeid erinevatest allikatest, näiteks turbeteave ja sündmuste haldus (SIEM), varahaldus, ohuallikad ja haavatavuse skännerid. Organisatsioonid saavad omakorda vähendada kulusid lahenduste ühendamise, protsesside sujuvamaks muutmise, olukorrateadlikkuse loomise abil, et ekspluateerimine ja ohud õigeaegselt paljastada, ning kogudes ajaloolisi suundumusi käsitlevaid andmeid, mis võivad aidata ennustavat turvalisust.

  • Suletud ahelaga riskipõhine heastamine aitab äriüksuste siseselt ekspertidel määratleda riskikataloogi ja riskitaluvuse. See protsess hõlmab varade klassifitseerimist, et määratleda ärikriitilisus, pidevat skoorimist, et võimaldada riskipõhist prioriseerimist, ning suletud ahela jälgimist ja mõõtmist. Luues olemasolevate varade, inimeste, protsesside, võimalike riskide ja võimalike ohtude pideva ülevaatesüsteemi, saavad organisatsioonid dramaatiliselt suurendada tegevuse tõhusust, parandades samal ajal koostööd äri-, turbe- ja IT-operatsioonide vahel. See võimaldab mõõta ja muuta käegakatsutavateks julgeolekualaseid jõupingutusi - näiteks kriisilahendamise aeg, investeeringud turvaoperatsioonide töötajatesse, täiendavate turbevahendite ostmine.

Alumine rida riski ja vastavuse osas

Vastavusvolitused ei olnud kunagi mõeldud IT-turbe bussi juhtimiseks. Neil peaks olema toetav roll dünaamilises turberaamistikus, mida juhivad riski hindamine, pidev jälgimine ja suletud ahela heastamine.