Innholdsfortegnelse:
- The Fallfall of Compliance
- Sikkerhet for redningen?
- Risiko som eneste sannhet
- Tre elementer til et helhetlig syn på risiko
- Hovedpoenget om risiko og etterlevelse
Soppindustri og myndighetsmandater som styrer IT-sikkerhet har ført til et sterkt regulert miljø og årlige brannøvelser for etterlevelse. Antallet forskrifter som berører gjennomsnittlige organisasjoner kan lett overstige et dusin eller mer, og vokse mer komplekse med dagen. Dette tvinger de fleste selskaper til å tildele en overdreven mengde ressurser til styrings- og etterlevelsesinnsats øverst på deres lange liste over IT-prioriteringer. Er dette garantert? Eller rett og slett et avkrysningskrav som en del av en samsvarsdrevet tilnærming til sikkerhet?
Den bitre sannheten er at du kan planlegge en revisjon, men du kan ikke planlegge et nettangrep. Nesten hver dag blir vi påminnet om dette faktum når brudd gir nyheter om overskriften. Som et resultat har mange organisasjoner konkludert med at for å få innsikt i risikostillingen, må de gå utover enkle samsvarsvurderinger. Som et resultat tar de hensyn til trusler og sårbarheter, så vel som forretningsvirkning. Bare en kombinasjon av disse tre faktorene sikrer et helhetlig syn på risiko.
The Fallfall of Compliance
Organisasjoner som forfølger en avkrysningsriktig, compliance-drevet tilnærming til risikostyring, oppnår bare punkt-i-tid sikkerhet. Det er fordi et virksomhets sikkerhetsstilling er dynamisk og endres over tid. Dette har blitt påvist gang på gang.
Nylig har progressive organisasjoner begynt å følge en mer proaktiv, risikobasert tilnærming til sikkerhet. Målet i en risikobasert modell er å maksimere effektiviteten til organisasjonens IT-sikkerhetsoperasjoner og gi synlighet i forhold til risiko og samsvar. Det endelige målet er å forbli i samsvar, redusere risiko og herde sikkerheten kontinuerlig.
Flere faktorer fører til at organisasjoner går over til en risikobasert modell. Disse inkluderer, men er ikke begrenset til:
- Emerging cyber-lovgivning (f.eks. Lov om deling og beskyttelse av Cyber Intelligence)
- Veiledende veiledning fra kontoret til valutakontrolløren (OCC)
Sikkerhet for redningen?
Det antas ofte at sårbarhetsstyring vil minimere risikoen for et datainnbrudd. Uten å plassere sårbarheter i sammenheng med risikoen forbundet med dem, justerer imidlertid organisasjoner ofte sine saneringsressurser. Ofte overser de de mest kritiske risikoene, mens de bare tar for seg "lavthengende frukt."
Dette er ikke bare bortkastet penger, men det skaper også et lengre mulighetsvindu for hackere til å utnytte kritiske sårbarheter. Det endelige målet er å forkorte vinduet angriperne må utnytte en programvarefeil. Derfor må sårbarhetsstyring suppleres med en helhetlig, risikobasert tilnærming til sikkerhet, som vurderer faktorer som trusler, tilgjengelighet, organisasjonens samsvar holdning og virksomhetseffekt. Hvis trusselen ikke kan nå sårbarheten, reduseres eller elimineres den tilhørende risikoen.
Risiko som eneste sannhet
En organisasjons etterlevelsesholdning kan spille en vesentlig rolle i IT-sikkerhet ved å identifisere kompenserende kontroller som kan brukes for å forhindre at trusler når målet sitt. I følge Verizon Data Breach Investigations Report fra 2013, en analyse av dataene hentet fra bruddundersøkelser som Verizon og andre organisasjoner har utført i løpet av året før, kunne 97 prosent av sikkerhetshendelser unngås gjennom enkle eller mellomliggende kontroller. Imidlertid er virksomhetseffekter en kritisk faktor for å bestemme faktisk risiko. For eksempel representerer sårbarheter som truer viktige forretningsfordeler en langt høyere risiko enn de som er assosiert med mindre kritiske mål.
Samsvarsholdning er vanligvis ikke knyttet til virksomhetens kritikk av eiendeler. I stedet brukes kompenserende kontroller generisk og testes deretter. Uten en klar forståelse av forretningskritiske forhold som en eiendel representerer for en organisasjon, er en organisasjon ikke i stand til å prioritere saneringsinnsats. En risikodrevet tilnærming adresserer både sikkerhetsholdning og virksomhetseffekt for å øke driftseffektiviteten, forbedre vurderingsnøyaktigheten, redusere angrepsflater og forbedre beslutningen om investering.
Som nevnt tidligere påvirkes risiko av tre viktige faktorer: samsvarsholdning, trusler og sårbarheter og virksomhetspåvirkning. Som et resultat er det viktig å samle kritisk intelligens om risiko- og samsvarsstillinger med nåværende, ny og fremvoksende trusselinformasjon for å beregne virkninger på forretningsdriften og prioritere saneringshandlinger.
Tre elementer til et helhetlig syn på risiko
Det er tre hovedkomponenter for å implementere en risikobasert tilnærming til sikkerhet:- Kontinuerlig etterlevelse inkluderer avstemming av eiendeler og automatisering av dataklassifisering, justering av tekniske kontroller, automatisering av samsvarstesting, distribusjon av vurderingsundersøkelser og automatisering av datakonsolidering. Med kontinuerlig etterlevelse kan organisasjoner redusere overlapping ved å utnytte et felles kontrollramme for å øke nøyaktigheten i datainnsamling og dataanalyse, og redusere overflødige, så vel som manuelle, arbeidskrevende innsats med opptil 75 prosent.
- Kontinuerlig overvåking innebærer en økt frekvens av datavurderinger og krever automatisering av sikkerhetsdata ved å aggregere og normalisere data fra en rekke kilder som sikkerhetsinformasjon og hendelsesstyring (SIEM), kapitalforvaltning, trusselfeeds og sårbarhetsskannere. På sin side kan organisasjoner redusere kostnadene ved å forene løsninger, effektivisere prosesser, skape situasjonsbevissthet for å eksponere utnyttelser og trusler på en rettidig måte og samle historiske trenddata, som kan bidra til forutsigbar sikkerhet.
- Lukket loop, risikobasert sanering utnytter fageksperter innen forretningsenheter for å definere en risikokatalog og risikotoleranse. Denne prosessen innebærer aktivaklassifisering for å definere forretningskritiskitet, kontinuerlig skåring for å muliggjøre risikobasert prioritering og sporing og måling av lukket loop. Ved å etablere en kontinuerlig gjennomgangsløyfe av eksisterende eiendeler, mennesker, prosesser, potensielle risikoer og mulige trusler, kan organisasjoner dramatisk øke driftseffektiviteten, samtidig som de forbedrer samarbeidet mellom forretnings-, sikkerhets- og IT-operasjoner. Dette gjør at sikkerhetsinnsats - som tid til oppløsning, investering i personell i sikkerhetsoperasjoner, kjøp av ekstra sikkerhetsverktøy - kan måles og gjøres håndgripelig.