Отвъд управлението и спазването: защо това е риск за сигурността е важно

Гъбичната промишленост и правителствените мандати, които управляват ИТ сигурността, доведоха до силно регулирана среда и ежегодно противопожарни тренировки. Броят на регулациите, които засягат средните организации, могат лесно да надхвърлят дузина или повече и да стават по-сложни с всеки изминал ден. Това принуждава повечето компании да присвоят неподходящо количество ресурси за управление и спазване на усилията на върха на своя дълъг списък от ИТ приоритети. Оправдани ли са тези усилия? Или просто изискване за отметка като част от подхода, ориентиран към спазването на сигурността?

Горчивата истина е, че можете да насрочите одит, но не можете да насрочите кибератака. Почти всеки ден ни се припомня този факт, когато нарушенията правят новина в заглавието. В резултат на това много организации стигат до заключението, че за да получат представа за своята рискова позиция, те трябва да надхвърлят прости оценки на съответствието. В резултат те вземат предвид заплахите и уязвимостите, както и въздействието върху бизнеса. Само комбинация от тези три фактора гарантира цялостен поглед върху риска.

Провалът на спазването

Организациите, които следват отметка, ориентиран към спазването на риска подход за управление на риска, постигат само навременна сигурност. Това е така, защото позицията на компанията за сигурност е динамична и се променя с течение на времето. Това е доказано непрекъснато.

Напоследък прогресивните организации започнаха да прилагат по-активен, основан на риска подход към сигурността. Целта при модела, базиран на риска, е да се увеличи максимално ефикасността на ИТ операциите по сигурността на информационните технологии и да се осигури видимост в позицията на риска и спазването. Крайната цел е постоянно да се спазва, да се намалява риска и да се втвърждава сигурността непрекъснато.

Редица фактори карат организациите да преминат към модел, основан на риска. Те включват, но не се ограничават до:

• Възникващо кибер законодателство (например Закон за споделяне и защита на кибер разузнаването)
• Насоки за надзор от Службата на контролера на валутата (OCC)

Сигурност за спасението?

Обикновено се смята, че управлението на уязвимостта ще сведе до минимум риска от нарушаване на данните. Въпреки това, без да поставят уязвимостите в контекста на свързания с тях риск, организациите често неправилно привеждат своите ресурси за оздравяване. Често пренебрегват най-критичните рискове, като се справят само с „плодове с ниско окачване“.

Това не е само загуба на пари, но създава и по-дълъг прозорец от възможности за хакерите да използват критичните уязвимости. Крайната цел е да се съкрати прозорците, които нападателите трябва да използват недостатък на софтуера. Следователно, управлението на уязвимостта трябва да бъде допълнено от холистичен, основан на риска подход към сигурността, който отчита фактори като заплахи, достижимост, поза за съответствие на организацията и въздействие върху бизнеса. Ако заплахата не може да достигне уязвимостта, свързаният риск се намалява или елиминира.

Риск като единствена истина

Позата на организацията за съответствие може да играе съществена роля в сигурността на информационните технологии чрез идентифициране на компенсиращи контроли, които могат да бъдат използвани за предотвратяване на заплахите да достигнат целта си. Според доклада за разследвания на данните за нарушения на Verizon за 2013 г., анализ на данните, получени от разследвания за нарушения, които Verizon и други организации са извършили през предходната година, 97 процента от инциденти със сигурността са били избегнати чрез прости или междинни проверки. Влиянието върху бизнеса обаче е критичен фактор за определяне на действителния риск. Например, уязвимостите, които заплашват критичните бизнес активи, представляват много по-висок риск от тези, които са свързани с по-малко критични цели.

Позата за съответствие обикновено не е обвързана с бизнес критичността на активите. Вместо това компенсиращите контроли се прилагат общо и се тестват съответно. Без ясно разбиране на бизнес критичността, която даден актив представлява за дадена организация, организацията не е в състояние да даде приоритет на усилията за отстраняване. Подходът, основан на риска, се отнася както за стойката на сигурността, така и за въздействието върху бизнеса, за да се увеличи оперативната ефективност, да се подобри точността на оценката, да се намалят повърхностите на атака и да се подобри вземането на инвестиционни решения.

Както бе споменато по-рано, рискът се влияе от три ключови фактора: поза за спазване, заплахи и уязвимости и въздействие върху бизнеса. В резултат на това е от съществено значение да се обобщи критичната информация относно позициите за риск и съответствие с актуална, нова и новопоявила се информация за заплаха, за да се изчислят въздействията върху бизнес операциите и да се поставят приоритет на действия за отстраняване.

Три елемента за цялостен поглед на риска

Има три основни компонента за прилагане на подход, основан на риска:

• Непрекъснатото съответствие включва съгласуването на активите и автоматизирането на класификацията на данните, подравняването на техническия контрол, автоматизирането на тестване за съответствие, разполагането на проучвания за оценка и автоматизирането на консолидирането на данни. С непрекъснатото спазване на изискванията организациите могат да намалят припокриването, като използват обща рамка за контрол, за да увеличат точността на събирането и анализа на данни и да намалят излишните, както и ръчните, трудоемки усилия с до 75 процента.
• Непрекъснатото наблюдение предполага увеличена честота на оценките на данните и изисква автоматизация на данните за сигурност чрез обобщаване и нормализиране на данни от различни източници, като например информация за сигурността и управление на събития (SIEM), управление на активи, емисии със заплахи и скенери за уязвимост. От своя страна, организациите могат да намалят разходите чрез обединяване на решения, рационализиране на процесите, създаване на ситуационна информираност за своевременно излагане на експлоатации и заплахи и събиране на исторически данни за тенденциите, които могат да помогнат за прогнозна сигурност.
• Възстановяването на базата на затворен контур, използващо специалисти в рамките на бизнес единиците, за да дефинира каталог на риска и толеранс към риска. Този процес включва класификация на активите за дефиниране на критичността на бизнеса, непрекъснато оценяване, за да се даде възможност за приоритизиране на риска и проследяване и измерване в затворен цикъл. Чрез установяване на непрекъснат преглед на съществуващите активи, хора, процеси, потенциални рискове и възможни заплахи, организациите могат драстично да повишат оперативната ефективност, като същевременно подобрят сътрудничеството между бизнеса, сигурността и ИТ операциите. Това дава възможност усилията за сигурност - като време за разрешаване, инвестиране в персонал за операции по сигурността, закупуване на допълнителни инструменти за сигурност - да бъдат измерени и направени осезаеми.

Долната линия относно риска и спазването

Мандатите за съответствие никога не са били предназначени за задвижване на шината за ИТ. Те трябва да играят поддържаща роля в динамичната рамка за сигурност, която се ръководи от оценка на риска, непрекъснат мониторинг и отстраняване на затворен контур.