Casa Seguretat Més enllà de la governança i el compliment: per què és important el risc per a la seguretat

Més enllà de la governança i el compliment: per què és important el risc per a la seguretat

Taula de continguts:

Anonim

La indústria de bolets i els mandats governamentals que regeixen la seguretat de les TI han donat lloc a un entorn altament regulat i simulacres de compliment anuals. El nombre de regulacions que afecten les organitzacions mitjanes pot superar fàcilment una dotzena o més, i cada dia es farà més complex. Això està obligant a la majoria de les empreses a assignar una quantitat desmesurada de recursos als esforços de govern i compliment a la llarga llista de prioritats informàtiques. Estan justificats aquests esforços? O simplement una casella de selecció com a part d’un enfocament de la seguretat basat en el compliment?


La veritat amarga és que podeu programar una auditoria, però no podeu programar un ciberataque. Gairebé cada dia ens recorda aquest fet quan els incompliments fan notícies de titular. Com a resultat, moltes organitzacions han conclòs que per obtenir coneixement de la seva postura de risc, han d’anar més enllà de les simples avaluacions de compliment. Com a resultat, estan tenint en compte les amenaces i les vulnerabilitats, així com l'impacte empresarial. Només una combinació d’aquests tres factors garanteix una visió holística del risc.

El problema de compliment

Les organitzacions que duen a terme un enfocament basat en el compliment de la gestió del risc només aconsegueixen seguretat puntual. El fet és que la posició de seguretat d’una empresa és dinàmica i canvia amb el pas del temps. Això s’ha demostrat una i altra vegada.


Recentment, les organitzacions progressistes han començat a perseguir un enfocament de seguretat més proactiu, basat en el risc. L’objectiu en un model basat en el risc és maximitzar l’eficiència de les operacions de seguretat informàtica de l’organització i proporcionar visibilitat en la postura de risc i compliment. L’objectiu final és mantenir el compliment, reduir el risc i endurir la seguretat de manera continuada.


Diversos factors provoquen que les organitzacions passin a un model basat en el risc. Aquests inclouen, però no es limiten a:

  • Legislació cibernètica emergent (per exemple, Llei sobre la protecció i la protecció de cibera intel·ligència)
  • Orientació de supervisió per part de l'Oficina del Controlador de la Moneda (OCC)

Seguretat al rescat?

Se sol creure que la gestió de la vulnerabilitat minimitzarà el risc d'una infracció de dades. Tanmateix, sense situar vulnerabilitats en el context del risc associat a elles, les organitzacions sovint desalineen els recursos de reparació. Sovint passen per alt els riscos més crítics mentre només s’ocupen de “fruites penjants”.


Això no només és una pèrdua de diners, sinó que també genera una finestra d’oportunitat més llarga per als hackers d’explotar vulnerabilitats crítiques. L’objectiu final és escurçar la finestra que els atacants han d’explotar un defecte del programari. Per tant, la gestió de la vulnerabilitat s’ha de complementar amb un enfocament holístic basat en el risc basat en el risc, que considera factors com les amenaces, l’accessibilitat, la postura de compliment de l’organització i l’impacte comercial. Si l’amenaça no pot arribar a la vulnerabilitat, es redueix o s’elimina el risc associat.

El risc com a única veritat

La postura de compliment d’una organització pot tenir un paper essencial en la seguretat de les TI mitjançant la identificació de controls compensadors que es poden utilitzar per evitar que les amenaces arribin al seu objectiu. Segons l’informe d’investigacions de Verizon Data Breach Investigations del 2013, una anàlisi de les dades obtingudes de les investigacions d’incompliment que Verizon i altres organitzacions han realitzat durant l’any anterior, el 97 per cent dels incidents de seguretat eren evitables mitjançant controls simples o intermedis. No obstant això, l'impacte empresarial és un factor crític per determinar el risc real. Per exemple, les vulnerabilitats que amenacen els actius empresarials crítics representen un risc molt més elevat que les associades a objectius menys crítics.


La postura de compliment normalment no està relacionada amb la criticitat empresarial dels actius. En lloc d'això, els controls de compensació s'apliquen de forma genèrica i es posen a prova d'acord. Sense una comprensió clara de la criticitat empresarial que representa un actiu per a una organització, una organització no pot prioritzar els esforços de reparació. Un enfocament basat en el risc tracta tant la postura de seguretat com l’impacte empresarial per augmentar l’eficiència operativa, millorar la precisió de l’avaluació, reduir les superfícies d’atac i millorar la presa de decisions sobre inversions.


Com s'ha comentat anteriorment, el risc està influït per tres factors clau: postura de compliment, amenaces i vulnerabilitats i impacte comercial. Com a resultat, és imprescindible agrupar la intel·ligència crítica sobre les posicions de risc i compliment amb la informació d’amenaça actual, nova i emergent per calcular els impactes en les operacions empresarials i prioritzar les accions de reparació.

Tres elements per a una visió holística del risc

Hi ha tres components principals per implementar un enfocament de seguretat basat en el risc:

  • El compliment continu inclou la conciliació d’actius i l’automatització de la classificació de dades, l’alineació de controls tècnics, l’automatització de les proves de compliment, el desplegament d’enquestes d’avaluació i l’automatització de la consolidació de dades. Amb un compliment continuat, les organitzacions poden reduir el solapament aprofitant un marc de control comú per augmentar la precisió en la recollida de dades i l’anàlisi de dades, i reduir fins a un 75 per cent els esforços de mà d’obra manuals i redundants.
  • El control continu implica una major freqüència de les avaluacions de dades i requereix l’automatització de dades de seguretat agregant i normalitzant dades de diverses fonts com ara informació sobre seguretat i gestió d’esdeveniments (SIEM), gestió d’actius, fonts d’amenaça i escàners de vulnerabilitat. Al seu torn, les organitzacions poden reduir costos unificant solucions, racionalitzant processos, creant consciència situacional per exposar les explotacions i les amenaces de manera puntual i recopilar dades de tendències històriques, que poden ajudar a la seguretat predictiva.
  • La remediació basada en un risc tancat permet variar experts en unitats de negoci per definir un catàleg de riscos i la tolerància al risc. Aquest procés comporta una classificació d’actius per definir la criticitat empresarial, la puntuació contínua per permetre la priorització basada en el risc i el seguiment i mesurament de llaç tancat. En establir un bucle de revisió contínua d’actius, persones, processos, riscos potencials i possibles amenaces existents, les organitzacions poden augmentar dràsticament l’eficiència operativa, alhora que milloren la col·laboració entre operacions empresarials, de seguretat i informàtiques. D’aquesta manera es poden mesurar i fer tangibles els esforços de seguretat (com ara el temps de resolució, la inversió en personal d’operacions de seguretat, la compra d’eines addicionals de seguretat).

La línia de fons sobre el risc i el compliment

Els mandats de compliment no es van dissenyar mai per conduir el bus de seguretat informàtic. Haurien de tenir un paper de suport en un marc de seguretat dinàmic impulsat per l'avaluació de riscos, el control continu i la correcció de bucles tancades.
Més enllà de la governança i el compliment: per què és important el risc per a la seguretat