Дом Безопасность Помимо управления и соответствия: почему важен риск безопасности

Помимо управления и соответствия: почему важен риск безопасности

Оглавление:

Anonim

Индустриальные и правительственные мандаты, регулирующие безопасность ИТ, привели к жестко регламентированной среде и ежегодным противопожарным учениям. Количество нормативных актов, которые влияют на рядовые организации, может легко превысить дюжину и более и усложняться с каждым днем. Это вынуждает большинство компаний выделять чрезмерное количество ресурсов для управления и обеспечения соответствия нормативам поверх своего длинного списка ИТ-приоритетов. Обоснованы ли эти усилия? Или просто требование флажка как часть подхода к безопасности на основе соответствия?


Горькая правда в том, что вы можете запланировать аудит, но вы не можете запланировать кибератаку. Почти каждый день нам напоминают об этом факте, когда нарушения делают заголовки новостей. В результате многие организации пришли к выводу, что для понимания своего состояния риска они должны выходить за рамки простых оценок соответствия. В результате они принимают во внимание угрозы и уязвимости, а также влияние на бизнес. Только комбинация этих трех факторов обеспечивает целостное представление о риске.

Ловушка соответствия

Организации, использующие чек-бокс, основанный на соблюдении требований подход к управлению рисками, достигают безопасности только на определенный момент времени. Это связано с тем, что состояние безопасности компании динамично и со временем меняется. Это было доказано снова и снова.


В последнее время прогрессивные организации начали использовать более активный и безопасный подход к безопасности. Цель модели, основанной на оценке риска, состоит в том, чтобы максимизировать эффективность операций ИТ-безопасности организации и обеспечить обзор рисков и состояния соответствия. Конечная цель - постоянно соблюдать требования, снижать риски и укреплять безопасность.


Ряд факторов заставляет организации переходить к модели, основанной на оценке риска. Они включают, но не ограничиваются:

  • Появляющееся кибер-законодательство (например, Закон о кибернетической разведке и защите)
  • Руководство по надзору со стороны Управления контролера валюты (OCC)

Безопасность на помощь?

Считается, что управление уязвимостями минимизирует риск утечки данных. Однако, не помещая уязвимости в контекст риска, связанного с ними, организации часто смещают свои ресурсы для восстановления. Часто они упускают из виду наиболее критические риски, обращаясь только к «низко висящим фруктам».


Это не только пустая трата денег, но и предоставляет хакерам более длительное окно для использования критических уязвимостей. Конечная цель - сократить окно, которое злоумышленники должны использовать в программном обеспечении. Следовательно, управление уязвимостями должно дополняться целостным подходом к безопасности, основанным на оценке риска, который учитывает такие факторы, как угрозы, достижимость, состояние соответствия организации и влияние на бизнес. Если угроза не может достичь уязвимости, связанный с ней риск либо уменьшается, либо устраняется.

Риск как единственная истина

Соответствие организации требованиям организации может сыграть важную роль в ИТ-безопасности путем определения компенсирующих элементов управления, которые могут использоваться для предотвращения достижения угроз их целью. Согласно отчету Verizon Data Breach Investigations Report 2013, анализу данных, полученных в результате расследований нарушений, которые Verizon и другие организации провели в течение предыдущего года, 97 процентов инцидентов безопасности можно было избежать с помощью простого или промежуточного контроля. Тем не менее, влияние бизнеса является критическим фактором в определении фактического риска. Например, уязвимости, которые угрожают критическим бизнес-активам, представляют гораздо более высокий риск, чем те, которые связаны с менее критичными целями.


Соблюдение норм поведения обычно не связано с критичностью активов для бизнеса. Вместо этого компенсирующие средства контроля применяются в общем и проверяются соответствующим образом. Без четкого понимания важности бизнеса, которую актив представляет для организации, организация не может расставить приоритеты по восстановлению. Подход, основанный на оценке риска, учитывает как состояние безопасности, так и влияние на бизнес, чтобы повысить операционную эффективность, повысить точность оценки, уменьшить вероятность возникновения атак и улучшить принятие инвестиционных решений.


Как упоминалось ранее, на риск влияют три ключевых фактора: соблюдение требований, угрозы и уязвимости и влияние на бизнес. В результате важно объединить критические сведения о рисках и положениях о соответствии с текущей, новой и появляющейся информацией об угрозах для расчета воздействий на бизнес-операции и определения приоритетов действий по исправлению.

Три элемента целостного взгляда на риск

Существует три основных компонента для реализации подхода к безопасности на основе риска:

  • Непрерывное соответствие включает в себя сверку активов и автоматизацию классификации данных, согласование технических средств контроля, автоматизацию тестирования на соответствие, развертывание оценочных обследований и автоматизацию консолидации данных. Благодаря постоянному соответствию организации могут уменьшить частичное совпадение за счет использования общей структуры управления для повышения точности сбора и анализа данных, а также сокращения избыточных, а также трудоемких ручных операций на 75%.
  • Непрерывный мониторинг подразумевает повышенную частоту оценки данных и требует автоматизации данных безопасности путем объединения и нормализации данных из различных источников, таких как информация о безопасности и управление событиями (SIEM), управление активами, каналы угроз и сканеры уязвимостей. В свою очередь, организации могут сократить расходы за счет унификации решений, оптимизации процессов, создания ситуационной осведомленности для своевременного выявления эксплойтов и угроз и сбора исторических данных о тенденциях, которые могут помочь в прогнозировании безопасности.
  • Замкнутая, основанная на оценке риска коррекция привлекает экспертов по конкретным вопросам в бизнес-единицах для определения каталога рисков и толерантности к ним. Этот процесс влечет за собой классификацию активов для определения критичности бизнеса, непрерывную оценку для обеспечения приоритизации на основе рисков, а также отслеживание и измерение с обратной связью. Создавая непрерывный цикл проверки существующих активов, людей, процессов, потенциальных рисков и возможных угроз, организации могут значительно повысить операционную эффективность, одновременно улучшая сотрудничество между бизнесом, безопасностью и ИТ-операциями. Это позволяет измерять и делать ощутимыми усилия по обеспечению безопасности, такие как время принятия решения, инвестиции в персонал по обеспечению безопасности, приобретение дополнительных средств безопасности.

Итог по риску и соблюдению

Мандаты соответствия никогда не были предназначены для управления шиной ИТ-безопасности. Они должны играть вспомогательную роль в рамках динамической системы безопасности, которая определяется оценкой рисков, постоянным мониторингом и восстановлением с обратной связью.
Помимо управления и соответствия: почему важен риск безопасности