Στον χώρο της ασφάλειας πληροφορικής, πρέπει να νοιαζόμαστε για τα πάντα. Οποιοδήποτε ζήτημα, όσο μικρό κι αν είναι, μπορεί να γίνει το όχημα για την απομακρυσμένη εκτέλεση κώδικα ή, τουλάχιστον, ένα σημείο προσγείωσης για τους παράγοντες απειλών για να ζήσουν από τη γη και να στραφούν τα δικά μας εργαλεία εναντίον μας. Δεν αποτελεί έκπληξη το γεγονός ότι το προσωπικό ασφαλείας πληροφορικής αντιμετωπίζει εξάντληση και άγχος. Σύμφωνα με έρευνα από την Enterprise Strategy Group και ISSA, περίπου οι μισοί από τους επαγγελματίες ασφάλειας πληροφορικής πιστεύουν ότι θα εγκαταλείψουν την τρέχουσα εργασία τους μέσα στους επόμενους 12 μήνες.
Οι ομάδες ασφαλείας είναι επαγγελματικά υπεύθυνες — και τώρα, για τους επικεφαλής της ασφάλειας πληροφοριών (CISOs), προσωπικά υπεύθυνος — για την ασφάλεια των οργανώσεών τους. Ωστόσο, σε άλλους τομείς της πληροφορικής και της τεχνολογίας, υπάρχει μια εντελώς διαφορετική νοοτροπία. Από το μάντρα του Mark Zuckerberg για «κινηθείτε γρήγορα και σπάστε τα πράγματα«Μέχρι τον Έρικ Ρις» Lean Startup και το μοντέλο ελάχιστου βιώσιμου προϊόντος (MVP), η σκέψη σε αυτούς τους τομείς είναι να κινηθεί γρήγορα αλλά και να παραδοθεί αρκετά ώστε ο οργανισμός να προχωρήσει και να βελτιωθεί.
Τώρα, οι ομάδες ασφαλείας IT δεν μπορούν να αγκαλιάσουν αυτό το μοντέλο. Υπάρχουν πάρα πολλοί κανονισμοί που πρέπει να ληφθούν υπόψη. Αλλά τι μπορούμε να μάθουμε από μια διανοητική άσκηση γύρω από την ελάχιστη βιώσιμη συμμόρφωση (MVC) και πώς μπορούμε να χρησιμοποιήσουμε αυτές τις πληροφορίες για να μας βοηθήσουν στην προσέγγισή μας;
Τι θα περιλάμβανε το MVC;
Το MVC περιλαμβάνει την κάλυψη ό,τι χρειάζεται για να είναι αποτελεσματικά ασφαλές. Για να το επιτύχετε αυτό, πρέπει να κατανοήσετε τι έχετε στη διάθεσή σας και τι είναι κρίσιμο για να διατηρήσετε την ασφάλεια και με ποιους κανόνες ή κανονισμούς πρέπει να αποδείξετε ότι συμμορφώνεστε.
Για τη διαχείριση περιουσιακών στοιχείων, ιδανικά πρέπει να γνωρίζετε όλα τα στοιχεία που έχετε εγκαταστήσει. Χωρίς αυτό το επίπεδο επίβλεψης, πώς μπορείτε να χαρακτηρίσετε τον εαυτό σας ασφαλή; Για μια προσέγγιση MVC, θα χρειαζόσασταν 100% εικόνα για αυτό που έχετε;
Στην πραγματικότητα, τα έργα διαχείρισης περιουσιακών στοιχείων, όπως οι βάσεις δεδομένων διαχείρισης διαμόρφωσης (CMDB) στοχεύουν να παρέχουν πλήρης ορατότητα στα στοιχεία του IT, αλλά ποτέ δεν είναι 100% ακριβείς. Στο παρελθόν, η ακρίβεια των στοιχείων κυμαινόταν γύρω από το όριο του 70% έως 80% και ακόμη και οι καλύτερες αναπτύξεις σήμερα δεν είναι σε θέση να επιτύχουν πλήρη ορατότητα και να τη διατηρήσουν εκεί. Λοιπόν, πρέπει να ξοδέψουμε τον προϋπολογισμό μας για το MVC σε αυτόν τον τομέα; Ναι, αλλά όχι ακριβώς με τον τρόπο που πιστεύουμε παραδοσιακά.
Ένας αναπληρωτής CISO μου είπε ότι κατανοεί το ιδανικό της πλήρους κάλυψης, αλλά ότι δεν ήταν δυνατό. Αντίθετα, φροντίζει για την πλήρη και συνεχή προβολή της κρίσιμης υποδομής του οργανισμού - περίπου το 2.5% του συνόλου των περιουσιακών στοιχείων - ενώ οι υπόλοιποι φόρτοι εργασίας παρακολουθούνταν όσο πιο συχνά γίνεται. Έτσι, ενώ η ορατότητα εξακολουθεί να είναι απαραίτητο στοιχείο για τα προγράμματα ασφάλειας πληροφορικής, η προσπάθεια θα πρέπει να καταβληθεί πρώτα στην προστασία των περιουσιακών στοιχείων υψηλότερου κινδύνου. Ωστόσο, αυτός είναι ένας βραχυπρόθεσμος στόχος, καθώς απέχει μόνο μία αποκάλυψη ευπάθειας από το να γίνει ένα περιουσιακό στοιχείο χαμηλού κινδύνου σε περιουσιακό στοιχείο υψηλού κινδύνου. Κατά τη διάρκεια αυτής της διαδικασίας, μην ανακατεύετε τη συμμόρφωση με την ασφάλεια - δεν είναι το ίδιο πράγμα. Μια επιχείρηση που συμμορφώνεται μπορεί να μην είναι ασφαλής.
Κανονιστικός προγραμματισμός
Ως μέρος του MVC, πρέπει να σκεφτούμε τους κανονισμούς και τον τρόπο συμμόρφωσης με αυτούς. Η πρόκληση για τις ομάδες ασφαλείας είναι πώς να σκεφτούν εκ των προτέρων αυτούς τους κανόνες. Η τυπική προσέγγιση είναι να εισαγάγουμε τη νομοθεσία, στη συνέχεια να δούμε πού εφαρμόζεται στις εφαρμογές μας και στη συνέχεια να κάνουμε αλλαγές στα συστήματα όπως απαιτείται. Ωστόσο, αυτή μπορεί να είναι μια πολύ ενδιάμεση προσέγγιση που συνεπάγεται αλλαγές —και συνεπώς έξοδα— κάθε φορά που εισάγεται ένας νέος κανονισμός ή λαμβάνει χώρα μια σημαντική αλλαγή.
Πώς μπορούμε να κάνουμε αυτή τη διαδικασία ευκολότερη για τις ομάδες μας; Αντί να εξετάζουμε κάθε κανονισμό ξεχωριστά, μπορούμε να δούμε τι είναι κοινό με τους ισχύοντες κανονισμούς και, στη συνέχεια, να το χρησιμοποιήσουμε για να μειώσουμε τον όγκο της εργασίας που απαιτείται σύμφωνα με όλους; Αντί να βάζουμε την ομάδα σε τεράστιες ασκήσεις για να φέρουμε τα συστήματα σε συμμόρφωση, τι μπορούμε είτε να βγάλουμε εκτός πεδίου εφαρμογής είτε να χρησιμοποιήσουμε ως υπηρεσία για την παροχή της υποδομής με ασφαλή τρόπο; Παρομοίως, μπορούμε να χρησιμοποιήσουμε κοινές βέλτιστες πρακτικές, όπως τα στοιχεία ελέγχου cloud, για να αφαιρέσουμε ολόκληρα σύνολα προβλημάτων, αντί να εξετάζουμε κάθε ζήτημα ξεχωριστά;
Στο επίκεντρο αυτής της προσέγγισης, πρέπει να μειώσουμε τα γενικά έξοδα σχετικά με την ασφάλεια και να επικεντρωθούμε σε αυτό που αντιπροσωπεύει τους μεγαλύτερους κινδύνους για τις επιχειρήσεις μας. Αντί να σκεφτόμαστε συγκεκριμένες τεχνολογίες, μπορούμε να εξετάσουμε αυτά τα προβλήματα ως ζητήματα διαδικασιών και ανθρώπων, επειδή οι κανονισμοί θα εξελίσσονται και θα αλλάζουν πάντα καθώς προχωρά η αγορά. Η υιοθέτηση αυτής της νοοτροπίας διευκολύνει τον προγραμματισμό ασφάλειας, επειδή δεν κολλάει σε ορισμένες από τις λεπτομέρειες που μπορεί να ταλαιπωρούν τις ομάδες μας όταν οι διαδικασίες έχουν δημιουργηθεί για να εξετάσουν τα CVE και τα δεδομένα απειλών και όχι με πρακτικούς όρους κινδύνου γύρω από το τι είναι πραγματικά ένα ζήτημα.
Η ιδέα να κάνουμε το ελάχιστο που απαιτείται για να ικανοποιήσουμε τις απαιτήσεις της αγοράς ή να περάσουμε ένα σύνολο κανόνων μπορεί να είναι ελκυστική στην ονομαστική αξία. Αλλά η νοοτροπία του MVP δεν είναι μόνο να φτάσει σε ένα συγκεκριμένο επίπεδο και μετά να εγκατασταθεί εκεί. Αντίθετα, πρόκειται για την επίτευξη αυτού του ελάχιστου προτύπου και, στη συνέχεια, την επανάληψη όσο το δυνατόν γρηγορότερα για περαιτέρω βελτίωση της κατάστασης. Για τις ομάδες ασφαλείας, αυτή η νοοτροπία της συνεχούς βελτίωσης και της αναζήτησης τρόπων μείωσης του κινδύνου μπορεί να είναι μια χρήσιμη εναλλακτική λύση στο παραδοσιακό μοντέλο ασφάλειας πληροφορικής. Εστιάζοντας σε ποιες βελτιώσεις θα είχαν τον μεγαλύτερο αντίκτυπο στον κίνδυνο στο συντομότερο χρονικό διάστημα, μπορείτε να αυξήσετε την αποτελεσματικότητά σας και να μειώσετε τον κίνδυνο γενικότερα.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why