Tietoturva-alueella meidän on huolehdittava kaikesta. Mikä tahansa ongelma, olipa se kuinka pieni tahansa, voi muodostua koodin etäsuorittamisen välineeksi tai ainakin laskeutumispisteeksi uhkatoimijoille, jotka voivat elää maasta ja kääntää omat työkalumme meitä vastaan. Ei ole yllättävää, että tietoturvahenkilöstö kohtaa työuupumusta ja stressiä. Mukaan Enterprise Strategy Groupin tutkimus ja ISSA:ssa noin puolet tietoturva-ammattilaisista ajattelee jättävänsä nykyisen työnsä seuraavan 12 kuukauden aikana.
Tietoturvatiimit ovat ammatillisesti vastuussa – ja nyt tietoturvapäälliköistä (CISO) henkilökohtaisesti vastuussa — organisaatioidensa turvallisuuden vuoksi. Mutta muilla IT:n ja teknologian aloilla ajattelutapa on täysin erilainen. Mark Zuckerbergin mantrasta "liikkua nopeasti ja rikkoa asiat”Eric Riesin kautta Lean Startup ja minimi elinkelpoinen tuote (MVP) malli, näillä alueilla ajatuksena on edetä nopeasti, mutta myös toimittaa juuri tarpeeksi, jotta organisaatio voi edetä ja kehittyä.
Nyt IT-tietoturvatiimit eivät voi omaksua tätä mallia. Sääntöjä on liikaa harkittavaksi. Mutta mitä voimme oppia henkisestä harjoituksesta, joka koskee vähimmäisvaatimusten noudattamista (MVC), ja kuinka voimme käyttää tätä tietoa auttamaan meitä lähestymistapaamme?
Mitä MVC sisältäisi?
MVC kattaa sen, mitä tarvitaan, jotta se olisi tehokas. Tämän saavuttamiseksi sinun on ymmärrettävä, mitä sinulla on käytössäsi ja mikä on tärkeää pitää turvassa, ja mitä sääntöjä tai määräyksiä sinulla on osoittaa, että noudatat.
Omaisuudenhallintaa varten sinun on ihanteellisesti tiedettävä kaikki asentamasi omaisuus. Kuinka voit kutsua itseäsi turvalliseksi ilman tällaista valvontaa? Tarvitsetko MVC-lähestymistapaa varten 100 %:n käsityksen siitä, mitä sinulla on?
Todellisuudessa omaisuudenhallintaprojektit, kuten kokoonpanonhallintatietokannat (CMDB) pyrkivät tarjoamaan täydellinen näkyvyys IT-omaisuuksiin, mutta ne eivät koskaan ole 100 % tarkkoja. Aiemmin resurssien tarkkuus liikkui 70–80 prosentin rajalla, eivätkä parhaatkaan nykyiset sovellukset pysty saavuttamaan täyttä näkyvyyttä ja pitämään sitä siellä. Joten pitäisikö meidän käyttää MVC-budjettimme tälle alueelle? Kyllä, mutta ei aivan sillä tavalla kuin voisimme perinteisesti ajatella.
Yksi CISO:n sijainen kertoi minulle, että hän ymmärtää täydellisen kattavuuden ihanteen, mutta se ei ollut mahdollista; Sen sijaan hän välittää täydellisestä ja jatkuvasta näkyvyydestä organisaation kriittiselle infrastruktuurille – noin 2.5 % kokonaisvarallisuudesta – samalla kun muita työkuormia seurattiin mahdollisimman usein. Joten vaikka näkyvyys on edelleen välttämätön osa IT-tietoturvaohjelmia, on ensin pyrittävä suojaamaan suurimman riskin omaisuus. Tämä on kuitenkin lyhyen aikavälin tavoite, koska olet vain yhden haavoittuvuuden paljastamisen päässä siitä, että matalariskisestä omaisuudesta tulee korkean riskin omaisuus. Kun käytät tätä prosessia, älä sekoita turvallisuuden noudattamista – ne eivät ole sama asia. Vaatimustenmukainen yritys ei välttämättä ole turvallinen.
Sääntelyn suunnittelu
Osana MVC:tä meidän on pohdittava säännöksiä ja niiden noudattamista. Turvatiimien haasteena on miettiä näitä sääntöjä eteenpäin. Tyypillinen tapa on saada lainsäädäntö sisään, katsoa, missä se koskee sovelluksiamme, ja sitten tehdä muutoksia järjestelmiin tarpeen mukaan. Tämä voi kuitenkin olla hyvin stop-start -lähestymistapa, johon liittyy muutoksia – ja siten kustannuksia – joka kerta, kun uusi asetus otetaan käyttöön tai tapahtuu merkittävä muutos.
Miten voimme helpottaa tätä prosessia tiimeillemme? Sen sijaan, että tarkastelemme kutakin asetusta erikseen, voimmeko tarkastella sitä, mikä on yhteistä sovellettaville määräyksille, ja sitten käyttää sitä vähentämään niiden kaikkien noudattamisen edellyttämää työtä? Sen sijaan, että laittaisimme tiimin läpi valtavia harjoituksia järjestelmien saattamiseksi vaatimustenmukaisiksi, mitä voimme joko poistaa soveltamisalan ulkopuolelle tai käyttää palveluna infrastruktuurin tarjoamiseen turvallisella tavalla? Voimmeko käyttää yleisiä parhaita käytäntöjä, kuten pilvihallintaa, poistaaksemme kokonaisia ongelmia sen sijaan, että tarkastelemme jokaista ongelmaa erikseen?
Tämän lähestymistavan ytimessä meidän on vähennettävä turvallisuuteen liittyviä yleiskustannuksia ja keskityttävä siihen, mikä muodostaa suurimmat riskit liiketoiminnallemme. Sen sijaan, että ajattelemme tiettyjä teknologioita, voimme tarkastella näitä ongelmia prosesseina ja ihmiskysymyksinä, koska säännökset kehittyvät ja muuttuvat aina markkinoiden edetessä. Tämä ajattelutapa tekee turvallisuussuunnittelusta helpompaa, koska se ei juutu joihinkin yksityiskohtiin, jotka voivat vaivata tiimejämme, kun prosessit on rakennettu tarkastelemaan CVE:itä ja uhkatietoja pikemminkin kuin käytännön riskien kannalta todellisen ongelman ympärillä.
Ajatus tehdä vähimmäisvaatimus markkinoiden vaatimusten täyttämiseksi tai sääntöjen noudattamiseksi saattaa olla houkutteleva nimellisarvoltaan. Mutta MVP:n ajattelutapa ei ole vain tietylle tasolle pääsemistä ja sinne asettumista. Sen sijaan kyse on vähimmäisstandardin saavuttamisesta ja sen jälkeen mahdollisimman nopeasta iteraatiosta tilanteen parantamiseksi. Tietoturvatiimeille tämä jatkuva parantaminen ja riskien vähentämiskeinojen etsiminen voi olla hyödyllinen vaihtoehto perinteiselle IT-tietoturvamallille. Keskitymällä siihen, millä parannuksilla olisi suurin riskivaikutus lyhyessä ajassa, voit lisätä tehokkuuttasi ja vähentää riskejä yleensä.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why