Higit pa sa pamamahala at pagsunod: kung bakit ang panganib sa seguridad ay ang mahalaga

Ang industriya ng Mushrooming at pamahalaan ay nag-uutos na pinamamahalaan ang seguridad ng IT ay humantong sa isang lubos na kinokontrol na kapaligiran at taunang mga drills ng sunog sa pagsunod. Ang bilang ng mga regulasyon na nakakaapekto sa average na mga organisasyon ay madaling lumampas sa isang dosenang o higit pa, at lumago nang mas kumplikado sa araw. Pinipilit nito ang karamihan sa mga kumpanya na magtalaga ng isang hindi bababa na halaga ng mga mapagkukunan sa mga pagsisikap sa pamamahala at pagsunod sa tuktok ng kanilang mahabang listahan ng mga prayoridad sa IT. Kinakailangan ba ang mga pagsisikap na ito? O kaya kailangan lang ng isang check-box bilang bahagi ng diskarte na hinihimok ng pagsunod sa seguridad?

Ang mapait na katotohanan ay maaari kang mag-iskedyul ng isang pag-audit, ngunit hindi mo mai-iskedyul ang isang cyberattack. Halos araw-araw, inaalalayan tayo sa katotohanang ito kapag ang mga paglabag ay gumawa ng mga balita sa headline. Bilang isang resulta, maraming mga organisasyon ang nagpasya na upang makakuha ng pananaw sa kanilang panganib na pustura, dapat silang lumampas sa mga simpleng pagtatasa sa pagsunod. Bilang isang resulta, kumukuha sila ng mga pagbabanta at kahinaan, pati na rin ang epekto sa negosyo, sa account. Tanging ang isang kumbinasyon ng mga tatlong mga kadahilanan na ito ay nagsisiguro ng isang holistic na pananaw ng peligro.

Ang Pitfall ng Pagsunod

Ang mga organisasyon na nagpapatuloy ng isang check-box, diskarte na hinihimok ng pagsunod sa pamamahala ng peligro ay nakakamit lamang ng seguridad sa point-in-time. Ito ay dahil sa pustura ng isang kumpanya ay pabago-bago at nagbabago sa paglipas ng panahon. Ito ay napatunayan nang paulit-ulit.

Kamakailan lamang, ang mga progresibong organisasyon ay nagsimula na ituloy ang isang mas aktibo, diskarte na nakabatay sa peligro sa seguridad. Ang layunin sa isang modelo na batay sa peligro ay upang ma-maximize ang kahusayan ng mga operasyon ng seguridad sa IT ng isang organisasyon at magbigay ng kakayahang makita sa panganib at pagkakasunod sa pagkakasunud-sunod. Ang panghuli layunin ay upang manatiling pagsunod, mabawasan ang panganib at patigasin ang seguridad sa isang patuloy na batayan.

Ang isang bilang ng mga kadahilanan ay nagiging sanhi ng mga organisasyon na lumipat sa isang modelo na batay sa peligro. Kasama dito, ngunit hindi limitado sa:

• Ang umuusbong na batas sa cyber (hal., Cyber ​​Intelligence Sharing and Protection Act)
• Pangangasiwa ng patnubay ng Opisina ng Comptroller ng Pera (OCC)

Seguridad sa Pagsagip?

Karaniwang pinaniniwalaan na ang pamamahala ng kahinaan ay mabawasan ang panganib ng isang paglabag sa data. Gayunpaman, nang hindi inilalagay ang mga kahinaan sa konteksto ng panganib na nauugnay sa kanila, ang mga organisasyon ay madalas na nag-misalign ng kanilang mga mapagkukunan ng remediation. Kadalasan hindi nila pinapansin ang mga pinaka-kritikal na panganib habang tinutugunan lamang ang "mababang-nakabitin na prutas."

Hindi lamang ito isang pag-aaksaya ng pera, ngunit lumilikha din ito ng isang mas mahabang window ng pagkakataon para sa mga hacker na samantalahin ang mga kritikal na kahinaan. Ang panghuli layunin ay upang paikliin ang mga attackers window ay dapat na pagsamantalahan ng isang software na kapintasan. Samakatuwid, ang pamamahala ng kahinaan ay dapat na madagdagan ng isang holistic, diskarte na nakabatay sa panganib sa seguridad, na isinasaalang-alang ang mga kadahilanan tulad ng mga banta, abot-abot, pagkakasunod na pagkakasunud-sunod ng pagkakasunud-sunod at epekto sa negosyo. Kung ang banta ay hindi maabot ang kahinaan, ang nauugnay na panganib ay nabawasan o tinanggal.

Mapanganib bilang Sole Truth

Ang isang pagkakasunud-sunod sa pagkakasunud-sunod ng isang organisasyon ay maaaring maglaro ng isang mahalagang papel sa seguridad ng IT sa pamamagitan ng pagkilala sa mga compensating control na maaaring magamit upang maiwasan ang mga banta na maabot ang kanilang target. Ayon sa ulat ng 2013 Verizon Data Breach Investigations, isang pagsusuri ng mga datos na nakuha mula sa pagsisiyasat na isinagawa ni Verizon at iba pang mga organisasyon sa nakaraang taon, 97 porsyento ng mga insidente ng seguridad ay maiiwasan sa pamamagitan ng simple o intermediate control. Gayunpaman, ang epekto sa negosyo ay isang kritikal na kadahilanan sa pagtukoy ng aktwal na peligro. Halimbawa, ang mga kahinaan na nagbabanta sa mga kritikal na pag-aari ng negosyo ay kumakatawan sa isang mas mataas na peligro kaysa sa mga nauugnay sa mga hindi gaanong kritikal na mga target.

Ang pagsunod sa pustura ay karaniwang hindi nakatali sa kritikal ng negosyo ng mga assets. Sa halip, ang mga kontrol sa compensating ay inilalapat nang husto at nasubok nang naaayon. Nang walang malinaw na pag-unawa sa kritikal na negosyo na kinakatawan ng isang asset sa isang samahan, ang isang samahan ay hindi masisimulan ang mga pagsisikap sa remediation. Ang isang diskarte na hinihimok ng panganib ay tumatalakay sa parehong postura ng seguridad at epekto sa negosyo upang madagdagan ang kahusayan sa pagpapatakbo, mapabuti ang kawastuhan ng pagtatasa, bawasan ang mga pag-atake sa pag-atake at pagbutihin ang paggawa ng desisyon sa pamumuhunan.

Tulad ng nabanggit kanina, ang peligro ay naiimpluwensyahan ng tatlong pangunahing mga kadahilanan: pagsunod sa posture, pagbabanta at kahinaan, at epekto sa negosyo. Bilang isang resulta, mahalaga na maipon ang kritikal na katalinuhan tungkol sa mga panganib at pagsunod sa mga pustura sa kasalukuyan, bago, at umuusbong na impormasyon sa banta upang makalkula ang mga epekto sa mga pagpapatakbo ng negosyo at unahin ang mga aksyon sa remediation.

Tatlong Elemento sa isang Holistic View ng Panganib

Mayroong tatlong pangunahing sangkap sa pagpapatupad ng isang diskarte na nakabatay sa panganib sa seguridad:

• Kasama sa patuloy na pagsunod ang pagkakasundo ng mga ari-arian at automation ng pag-uuri ng data, pagkakahanay ng mga teknikal na kontrol, automation ng pagsunod sa pagsubok, paglawak ng mga pagsusuri sa pagtatasa, at pag-aautomat ng pagsasama-sama ng data. Sa patuloy na pagsunod, ang mga organisasyon ay maaaring mabawasan ang overlap sa pamamagitan ng paggamit ng isang pangkaraniwang balangkas ng kontrol upang madagdagan ang kawastuhan sa pagkolekta ng data at pagsusuri ng data, at mabawasan ang kalabisan, pati na rin manu-manong, ang masipag na pagsisikap sa paggawa sa pamamagitan ng hanggang sa 75 porsyento.
• Ang patuloy na pagsubaybay ay nagpapahiwatig ng isang pagtaas ng dalas ng mga pagtatasa ng data at nangangailangan ng automation ng seguridad ng seguridad sa pamamagitan ng pag-iipon at pag-normalize ng data mula sa iba't ibang mga mapagkukunan tulad ng impormasyon ng seguridad at pamamahala ng kaganapan (SIEM), pamamahala ng asset, pagbabanta ng mga feed at kahinaan sa scanner. Kaugnay nito, ang mga organisasyon ay maaaring mabawasan ang mga gastos sa pamamagitan ng pag-iisa ng mga solusyon, pag-stream ng mga proseso, paglikha ng kamalayan sa kalagayan upang ilantad ang mga pagsasamantala at pagbabanta sa isang napapanahong paraan, at pagkolekta ng makasaysayang data ng uso, na maaaring makatulong sa mahuhulaan na seguridad.
• Ang closed-loop, mga nakabatay sa panganib na pag-remediation ay nakikinabang sa mga paksa ng eksperto sa loob ng mga yunit ng negosyo upang tukuyin ang isang katalogo ng peligro at pagpapaubaya sa panganib. Ang prosesong ito ay nangangailangan ng pag-uuri ng asset upang tukuyin ang kritikal na negosyo, patuloy na pagmamarka upang paganahin ang prioritization na batay sa peligro, at pagsara at pagsukat ng saradong-loop. Sa pamamagitan ng pagtaguyod ng isang patuloy na pagsusuri ng mga umiiral na mga assets, mga tao, proseso, potensyal na panganib at posibleng pagbabanta, ang mga organisasyon ay maaaring kapansin-pansing madaragdagan ang kahusayan sa pagpapatakbo, habang pinapabuti ang pakikipagtulungan sa mga operasyon sa negosyo, seguridad at IT. Pinapayagan nito ang mga pagsusumikap sa seguridad - tulad ng oras-to-resolution, pamumuhunan sa mga tauhan ng operasyon ng seguridad, pagbili ng karagdagang mga tool sa seguridad - na masusukat at ginawang nasasalat.

Ang Bottom Line sa Panganib at Pagsunod

Ang mga mandato sa pagsunod ay hindi kailanman idinisenyo upang himukin ang bus ng seguridad ng IT. Dapat silang maglaro ng isang papel na sumusuporta sa loob ng isang dynamic na balangkas ng seguridad na hinimok ng pagtatasa ng peligro, patuloy na pagsubaybay at remediation ng closed-loop.