Dincolo de guvernare și conformitate: de ce este important riscul pentru securitate

Industria de ciuperci și mandatele guvernamentale care guvernează securitatea IT au dus la un mediu foarte reglementat și la exerciții de incendiu anuale de conformitate. Numărul de reglementări care afectează organizațiile medii poate depăși cu ușurință o duzină sau mai multe, și să devină mai complex în fiecare zi. Acest lucru obligă majoritatea companiilor să aloce o sumă necorespunzătoare de resurse pentru eforturile de guvernare și de conformitate pe lista lungă de priorități IT. Aceste eforturi sunt justificate? Sau pur și simplu o cerință de casă ca parte a unei abordări de securitate bazate pe respectarea condițiilor?

Adevărul amar este că puteți programa un audit, dar nu puteți programa un cyberattack. Aproape în fiecare zi, ni se amintește de acest fapt atunci când încălcările fac vești în titlu. Drept urmare, multe organizații au ajuns la concluzia că pentru a obține o perspectivă asupra posturii lor de risc, acestea trebuie să depășească evaluările de conformitate simple. Drept urmare, aceștia iau în considerare amenințările și vulnerabilitățile, precum și impactul asupra afacerilor. Doar o combinație dintre acești trei factori asigură o viziune holistică a riscului.

Capcana conformității

Organizațiile care urmăresc o casetă de control, abordarea bazată pe respectarea gestionării riscurilor obțin doar o securitate la timp. Asta pentru că postura de securitate a unei companii este dinamică și se schimbă în timp. Acest lucru a fost dovedit din nou.

Recent, organizațiile progresiste au început să urmărească o abordare a securității mai proactivă, bazată pe riscuri. Scopul unui model bazat pe riscuri este de a maximiza eficiența operațiunilor de securitate IT ale unei organizații și de a oferi vizibilitate în postura de risc și de conformitate. Scopul final este de a rămâne în conformitate, de a reduce riscul și de a întări securitatea în mod continuu.

O serie de factori determină organizațiile să treacă la un model bazat pe riscuri. Acestea includ, dar nu se limitează la:

• Legislația cibernetică emergentă (de exemplu, Legea privind protecția și protecția informațiilor informatice)
• Îndrumări de supraveghere de către Oficiul Controlorului Monedei (OCC)

Securitate la salvare?

Se consideră în mod obișnuit că gestionarea vulnerabilităților va reduce riscul unei încălcări a datelor. Cu toate acestea, fără a plasa vulnerabilități în contextul riscului asociat cu acestea, organizațiile deseori își aliniază greșit resursele de remediere. Adesea, ele trec cu vederea cele mai critice riscuri, în timp ce se adresează doar „fructelor cu agățat redus”.

Aceasta nu este doar o pierdere de bani, dar creează și o fereastră mai lungă de oportunități pentru hackeri de a exploata vulnerabilitățile critice. Scopul final este de a scurta ferestrele atacatorilor trebuie să exploateze un defect software. Prin urmare, gestionarea vulnerabilității trebuie să fie completată de o abordare holistică, bazată pe riscuri de securitate, care ia în considerare factori precum amenințările, accesibilitatea, postura de conformitate a organizației și impactul asupra afacerii. Dacă amenințarea nu poate atinge vulnerabilitatea, riscul asociat este fie redus, fie eliminat.

Riscul ca unic adevăr

Postura de conformitate a unei organizații poate juca un rol esențial în securitatea IT prin identificarea controalelor compensatorii care pot fi utilizate pentru a preveni amenințările să-și atingă ținta. Potrivit Raportului de investigare a încălcărilor de date Verizon 2013, o analiză a datelor obținute din investigațiile privind încălcările pe care Verizon și alte organizații le-au efectuat în cursul anului precedent, 97 la sută din incidentele de securitate au fost evitate prin controale simple sau intermediare. Cu toate acestea, impactul asupra afacerii este un factor esențial în determinarea riscului real. De exemplu, vulnerabilitățile care amenință activele de afaceri critice reprezintă un risc mult mai mare decât cele asociate cu ținte mai puțin critice.

Postura de conformitate nu este de obicei legată de criticitatea activității. În schimb, controalele compensatorii sunt aplicate generic și testate în consecință. Fără o înțelegere clară a criticității întreprinderii pe care un activ o reprezintă pentru o organizație, o organizație nu este în măsură să acorde prioritate eforturilor de remediere. O abordare bazată pe riscuri abordează atât postura de securitate, cât și impactul asupra afacerii pentru a crește eficiența operațională, a îmbunătăți exactitatea evaluării, a reduce suprafețele de atac și a îmbunătăți luarea deciziilor în materie de investiții.

După cum am menționat anterior, riscul este influențat de trei factori cheie: postura de conformitate, amenințări și vulnerabilități și impactul asupra afacerilor. Drept urmare, este esențial să agregăm informații critice despre posturile de risc și de conformitate cu informațiile amenințărilor actuale, noi și emergente pentru a calcula impactul asupra operațiunilor comerciale și a acorda prioritate acțiunilor de remediere.

Trei elemente pentru o viziune holistică a riscului

Există trei componente principale pentru implementarea unei abordări a securității bazate pe riscuri:

• Conformitatea continuă include reconcilierea activelor și automatizarea clasificării datelor, alinierea controalelor tehnice, automatizarea testării conformității, implementarea sondajelor de evaluare și automatizarea consolidării datelor. Cu respectarea continuă, organizațiile pot reduce suprapunerile prin utilizarea unui cadru de control comun pentru a crește precizia în colectarea și analiza datelor și reducerea eforturilor redundante, precum și a eforturilor manuale, care consumă forță de muncă cu până la 75%.
• Monitorizarea continuă implică o frecvență crescută a evaluărilor de date și necesită automatizarea datelor de securitate prin agregarea și normalizarea datelor dintr-o varietate de surse, cum ar fi informații de securitate și gestionarea evenimentelor (SIEM), gestionarea activelor, fluxurile de amenințări și scanerele de vulnerabilitate. La rândul lor, organizațiile pot reduce costurile prin unificarea soluțiilor, raționalizarea proceselor, crearea de conștientizare situațională pentru expunerea exploatăților și amenințărilor în timp util și colectarea datelor de tendințe istorice, care pot ajuta la securitatea predictivă.
• Remedierea pe buclă închisă, bazată pe riscuri, asigură specialiștii din cadrul unităților de afaceri pentru a defini un catalog de risc și toleranța la risc. Acest proces presupune clasificarea activelor pentru a defini criticitatea afacerii, punctarea continuă pentru a permite prioritizarea bazată pe riscuri și urmărirea și măsurarea în buclă închisă. Prin instituirea unei bucle de revizuire continuă a activelor, persoanelor, proceselor, riscurilor potențiale și amenințărilor existente, organizațiile pot crește dramatic eficiența operațională, îmbunătățind în același timp colaborarea între afaceri, securitate și operațiuni IT. Aceasta permite măsurarea eforturilor de securitate - cum ar fi rezoluția în timp, investițiile în personalul operațiunilor de securitate, achiziționarea de instrumente suplimentare de securitate - și să fie realizate tangibil.

Linia de bază privind riscul și conformitatea

Mandatele de conformitate nu au fost niciodată proiectate pentru a conduce autobuzul de securitate IT. Acestea ar trebui să joace un rol de sprijin în cadrul unui cadru de securitate dinamic, care este determinat de evaluarea riscurilor, monitorizarea continuă și remedierea cu buclă închisă.