Осим управљања и поштовања правила: зашто је безбедносни ризик оно што је важно

Индустрија гљива и владини мандати који регулишу ИТ безбедност довели су до високо регулисаног окружења и годишњих ватрогасних вежби. Број прописа који утичу на просечне организације може лако да пређе десетак или више, и из дана у дан постаје све сложенији. То присиљава већину компанија да доделе неадекватну количину ресурса напорима управљања и поштовања прописа на њиховој дужој листи ИТ приоритета. Да ли су ови напори оправдани? Или једноставно захтев за потврдни оквир као део приступа који се заснива на поштовању правила?

Горка истина је да можете заказати ревизију, али не можете заказати цибер-напад. Скоро сваког дана се подсећамо те чињенице када кршења доносе вијести из наслова. Као резултат тога, многе организације су закључиле да, како би стекле увид у свој став о ризику, морају надићи једноставне процене усаглашености. Као резултат, они узимају у обзир претње и рањивости, као и утицај на пословање. Само комбинација ова три фактора осигурава холистички приказ ризика.

Замка усаглашености

Организације које слиједе потврдни оквир и управљање управљањем ризицима усмјерено на усклађеност постижу само правовремену сигурност. То је зато што је безбедносни став компаније динамичан и временом се мења. То се доказало изнова и изнова.

Недавно су напредне организације почеле да се баве проактивнијим приступом сигурности који се заснива на ризику. Циљ у моделу заснованом на ризику је максимизирати ефикасност информатичких безбедносних операција организације и омогућити увид у положај ризика и поштовања правила. Крајњи циљ је стално поштовање, смањење ризика и јачање сигурности континуирано.

Бројни фактори узрокују прелазак организација на модел заснован на ризику. Они укључују, али нису ограничени на:

• Нова цибер законодавства (нпр. Закон о дељењу и заштити цибер обавештајних података)
• Надзорне смернице од стране канцеларије контролора валуте (ОЦЦ)

Сигурност за спас?

Обично се верује да ће управљање рањивошћу свести на минимум ризик од кршења података. Међутим, без стављања рањивости у контекст ризика повезаног са њима, организације често неусклађују своје ресурсе за санацију. Често занемарују најважније ризике и обраћају се само „воћу са слабим висањем“.

Ово није само губитак новца, већ ствара и дужи прозор за хакере да искористе критичне рањивости. Крајњи циљ је да скрати прозорчиће који морају да искористе софтверски пропуст. Стога управљање рањивошћу мора бити допуњено холистичким приступом сигурности заснованом на ризику, који разматра факторе као што су претње, достижност, став организације и утицај на пословање. Ако претња не може да достигне рањивост, придружени ризик се или смањује или елиминише.

Ризикујте као једина истина

Став усаглашености организације може играти кључну улогу у безбедности ИТ-а идентификовањем компензацијских контрола које се могу користити да спрече претње да досегну свој циљ. Према Извјештају о истрагама кршења података о Веризону из 2013. године, анализом података добијених истрагама кршења закона коју су Веризон и друге организације вршили током претходне године, 97 посто сигурносних инцидената било је могуће избјећи једноставном или посредном контролом. Међутим, пословни утицај је критични фактор у одређивању стварног ризика. На примјер, рањивости које пријете критичним пословним средствима представљају далеко већи ризик од оних који су повезани са мање критичним циљевима.

Положај усаглашености обично није везан за пословну критичност имовине. Уместо тога, компензацијске контроле се примењују генерички и према томе се тестирају. Без јасног разумевања пословне критичности коју средство представља организацији, организација није у стању да приоритет наложи на санацији. Приступ усмерен на ризик односи се на безбедносно држање и утицај пословања како би се повећала оперативна ефикасност, побољшала тачност процене, смањила површина напада и побољшало одлучивање о инвестирању.

Као што је раније поменуто, на ризик утичу три кључна фактора: став усклађености, претње и рањивости и пословни утицај. Као резултат тога, од суштинске је важности да се обједине критичне информације о положају ризика и усклађености са тренутним, новим и новим информацијама о претњама како би се израчунали утицаји на пословање и приоритетни поступци санације.

Три елемента холистичког погледа на ризик

Постоје три главне компоненте за спровођење безбедносног приступа заснованог на ризику:

• Континуирана усаглашеност укључује усклађивање имовине и аутоматизацију класификације података, усклађивање техничких контрола, аутоматизацију тестирања усклађености, примену анкета за процену и аутоматизацију консолидације података. Уз континуирано придржавање, организације могу смањити преклапање уз помоћ заједничког оквира контроле како би повећали тачност прикупљања и анализе података и смањили сувишне, као и ручне, радно интензивне напоре до 75 процената.
• Континуирано надгледање подразумијева повећану учесталост процјена података и захтијева аутоматизацију сигурносних података агрегирањем и нормализацијом података из различитих извора као што су сигурносне информације и управљање догађајима (СИЕМ), управљање имовином, феедови пријетњи и скенери рањивости. Заузврат, организације могу смањити трошкове обједињавањем решења, поједностављивањем процеса, креирањем свести о ситуацијама како би се благовремено излагали експлоати и претње и прикупљањем историјских података о трендовима који могу помоћи у предиктивној безбедности.
• Санација на основу ризика заснована на затвореном кругу омогућава стручњацима у оквиру пословних јединица да дефинишу каталог ризика и толеранцију на ризик. Овај поступак укључује класификацију имовине ради дефинисања пословне критичности, континуираног оцењивања како би се омогућило утврђивање приоритета на основу ризика и праћење и мерење затворене петље. Успостављањем континуираног круга прегледа постојећих средстава, људи, процеса, потенцијалних ризика и могућих претњи организације могу драматично повећати оперативну ефикасност, истовремено побољшавајући сарадњу између пословних, безбедносних и ИТ операција. То омогућава да се мере безбедности - као што су време до решавања, улагања у особље безбедносних операција, куповина додатних безбедносних алата - и мере опипљивим.

Дно црта о ризику и сагласности

Мандати о усаглашености никада нису дизајнирани тако да управљају сабирницом ИТ заштите. Они би требали играти подршку у динамичном сигурносном оквиру који се покреће процјеном ризика, сталним надзором и санацијом затворене петље.