På it-sikkerhedsområdet skal vi bekymre os om alt. Ethvert problem, uanset hvor lille det er, kan blive redskabet til fjernudførelse af kode eller i det mindste et landingssted for trusselsaktører til at leve af jorden og vende vores egne værktøjer mod os. Det er ikke overraskende, at IT-sikkerhedspersonale står over for udbrændthed og stress. Ifølge forskning af Enterprise Strategy Group og ISSA, omkring halvdelen af it-sikkerhedsprofessionelle tror, at de vil forlade deres nuværende job inden for de næste 12 måneder.
Sikkerhedsteams er professionelt ansvarlige - og nu for chief information security officers (CISO'er), personligt ansvarlig — for deres organisationers sikkerhed. Men på andre områder af IT og teknologi er der en helt anden tankegang. Fra Mark Zuckerbergs mantra om "bevæge dig hurtigt og bryde ting"gennem til Eric Ries' Lean Startup og minimum viable product (MVP)-modellen, er tanken på disse områder at bevæge sig hurtigt, men også at levere lige nok til, at organisationen kan komme videre og forbedre sig.
Nu kan it-sikkerhedsteams ikke omfavne denne model. Der er for mange regler at overveje. Men hvad kan vi lære af en mental øvelse omkring minimum viable compliance (MVC), og hvordan kan vi bruge den information til at hjælpe os i vores tilgang?
Hvad ville MVC indebære?
MVC involverer at dække over, hvad der er nødvendigt for at være effektivt sikker. For at opnå dette skal du forstå, hvad du har på plads, og hvad der er vigtigt at holde sikkert, og hvilke regler eller forskrifter du skal vise, at du overholder.
Til asset management skal du ideelt set kende alle de aktiver, du har installeret. Hvordan kan du kalde dig selv sikker uden det niveau af tilsyn? For en MVC-tilgang, vil du have brug for 100 % indsigt i, hvad du har?
I virkeligheden har asset management-projekter som konfigurationsstyringsdatabaser (CMDB'er) til formål at levere fuld synlighed i it-aktiver, men de er aldrig 100 % nøjagtige. Tidligere svævede aktivernes nøjagtighed omkring 70 % til 80 %, og selv de bedste implementeringer i dag er ikke i stand til at opnå fuld synlighed og holde den der. Skal vi så bruge vores MVC-budget på dette område? Ja, men ikke helt på den måde, vi traditionelt tror.
En stedfortræder for CISO fortalte mig, at han forstår idealet om fuld dækning, men at det ikke var muligt; i stedet bekymrer han sig om fuld og kontinuerlig synlighed for organisationens kritiske infrastruktur – omkring 2.5 % af de samlede aktiver – mens de øvrige arbejdsbelastninger blev sporet så ofte som muligt. Så selvom synlighed stadig er et nødvendigt element for it-sikkerhedsprogrammer, bør indsatsen gå ind på at beskytte de aktiver med den højeste risiko først. Dette er dog et kortsigtet mål, da du kun er en enkelt sårbarhedsoplysning væk fra, at et aktiv med lav risiko bliver et højrisikoaktiv. Mens du gennemgår denne proces, skal du ikke blande compliance med sikkerhed - det er ikke det samme. En virksomhed, der overholder kravene, er muligvis ikke sikker.
Reguleringsplanlægning
Som en del af MVC er vi nødt til at tænke på regler og hvordan vi overholder dem. Udfordringen for sikkerhedshold er, hvordan man tænker fremad omkring disse regler. Den typiske tilgang er at få lovgivningen ind, så se hvor den gælder for vores applikationer og så lave ændringer i systemerne efter behov. Dette kan dog være en meget stop-start tilgang, der involverer ændringer - og dermed omkostninger - hver gang en ny regulering indføres eller en væsentlig ændring finder sted.
Hvordan kan vi gøre denne proces nemmere for vores teams? I stedet for at se på hver enkelt forskrift for sig, kan vi så se på, hvad der er fælles for de gældende regler, og så bruge det til at reducere den mængde arbejde, der kræves for at overholde dem alle? I stedet for at sætte teamet igennem store øvelser for at bringe systemer i overensstemmelse, hvad kan vi så enten tage ud af scope eller bruge som en service til at levere infrastrukturen på en sikker måde i stedet? På samme måde, kan vi bruge almindelige bedste praksisser som skykontrol til at fjerne hele sæt problemer i stedet for at se på hvert problem individuelt?
I hjertet af denne tilgang er vi nødt til at reducere omkostningerne omkring sikkerhed og koncentrere os om det, der repræsenterer de største risici for vores virksomheder. I stedet for at tænke på specifikke teknologier, kan vi undersøge disse problemer som processer og menneskelige spørgsmål, fordi regler altid vil udvikle sig og ændre sig, efterhånden som markedet fortsætter. At tage denne tankegang gør sikkerhedsplanlægningen nemmere, fordi den ikke hænger fast i nogle af de detaljer, der kan plage vores teams, når processer er blevet bygget til at se på CVE'er og trusselsdata snarere end i praktiske risikotermer omkring, hvad der virkelig er et problem.
Ideen om at gøre det minimum, der kræves for at imødekomme markedets krav eller vedtage et sæt regler, kan være tiltalende for pålydende værdi. Men tankegangen i MVP handler ikke kun om at komme til et bestemt niveau og så slå sig ned der. I stedet handler det om at komme til den minimumsstandard og derefter iterere så hurtigt som muligt for at forbedre situationen yderligere. For sikkerhedsteams kan denne tankegang med løbende forbedringer og udkig efter måder at reducere risikoen være et nyttigt alternativ til den traditionelle it-sikkerhedsmodel. Ved at fokusere på, hvilke forbedringer der ville have den største risikopåvirkning inden for den korteste tidsramme, kan du øge din effektivitet og reducere risikoen generelt.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why