Nello spazio della sicurezza IT, dobbiamo preoccuparci di tutto. Qualsiasi problema, non importa quanto piccolo, può diventare il veicolo per l’esecuzione di codice remoto o, per lo meno, un punto di approdo per gli autori delle minacce che vogliono vivere dei frutti della terra e rivolgere i nostri strumenti contro di noi. Non sorprende che il personale addetto alla sicurezza IT debba affrontare burnout e stress. Secondo ricerca condotta dall’Enterprise Strategy Group e ISSA, circa la metà dei professionisti della sicurezza IT pensa che lasceranno il loro attuale lavoro nei prossimi 12 mesi.
I team di sicurezza sono professionalmente responsabili e ora, per i Chief Information Security Officer (CISO), personalmente responsabile – per la sicurezza delle loro organizzazioni. Eppure in altri settori dell’IT e della tecnologia esiste una mentalità completamente diversa. Dal mantra di Mark Zuckerberg “muoviti velocemente e spezza le cose” fino a Eric Ries' Avvio magra e il modello del prodotto minimo vitale (MVP), l'idea in queste aree è di muoversi rapidamente ma anche di fornire quanto basta affinché l'organizzazione possa andare avanti e migliorare.
Ora, i team di sicurezza IT non possono abbracciare questo modello. Ci sono troppe normative da considerare. Ma cosa possiamo imparare da un esercizio mentale sulla compliance minima vitale (MVC) e come possiamo utilizzare tali informazioni per aiutarci nel nostro approccio?
Cosa comporterebbe MVC?
MVC implica coprire ciò che è necessario per essere effettivamente sicuro. Per raggiungere questo obiettivo, devi capire cosa hai in atto e cosa è fondamentale mantenere sicuro, e quali norme o regolamenti devi dimostrare di essere conforme.
Per la gestione delle risorse, idealmente dovresti conoscere tutte le risorse che hai installato. Senza questo livello di supervisione, come puoi definirti sicuro? Per un approccio MVC, avresti bisogno di una visione approfondita al 100% di ciò che hai?
In realtà, i progetti di gestione delle risorse come i database di gestione della configurazione (CMDB) mirano a fornire piena visibilità delle risorse IT, ma non sono mai accurati al 100%. In passato, l'accuratezza delle risorse si aggirava intorno al 70-80% e anche le migliori implementazioni odierne non sono in grado di ottenere la piena visibilità e mantenerla tale. Quindi, dovremmo spendere il nostro budget MVC in quest'area? Sì, ma non proprio nel modo in cui potremmo pensare tradizionalmente.
Un vice CISO mi ha detto che comprende l'ideale della copertura totale, ma che non è possibile; si preoccupa invece della visibilità completa e continua dell'infrastruttura critica dell'organizzazione (circa il 2.5% delle risorse totali), mentre gli altri carichi di lavoro vengono monitorati il più frequentemente possibile. Pertanto, sebbene la visibilità sia ancora un elemento necessario per i programmi di sicurezza IT, lo sforzo dovrebbe essere rivolto innanzitutto alla protezione delle risorse a più alto rischio. Tuttavia, questo è un obiettivo a breve termine, poiché manca solo una rivelazione di vulnerabilità per trasformare un asset a basso rischio in uno ad alto rischio. Durante questo processo, non confondere la conformità con la sicurezza: non sono la stessa cosa. Un’azienda conforme potrebbe non essere sicura.
Pianificazione della regolamentazione
Come parte di MVC, dobbiamo pensare alle normative e a come rispettarle. La sfida per i team di sicurezza è come pensare al futuro attorno a queste regole. L'approccio tipico è quello di introdurre la legislazione, quindi vedere dove si applica alle nostre applicazioni e quindi apportare modifiche ai sistemi secondo necessità. Tuttavia, questo può essere un approccio molto stop-start che comporta cambiamenti – e quindi spese – ogni volta che viene introdotta una nuova regolamentazione o si verifica un cambiamento significativo.
Come possiamo rendere questo processo più semplice per i nostri team? Invece di considerare ciascuna normativa separatamente, possiamo considerare ciò che è comune alle normative applicabili e poi utilizzarlo per ridurre la quantità di lavoro richiesta per conformarsi a tutte? Invece di sottoporre il team a enormi esercizi per rendere i sistemi conformi, cosa possiamo invece escludere dall’ambito o utilizzare come servizio per fornire l’infrastruttura in modo sicuro? Allo stesso modo, possiamo utilizzare best practice comuni come i controlli cloud per rimuovere interi insiemi di problemi, anziché esaminare ciascun problema individualmente?
Al centro di questo approccio, dobbiamo ridurre le spese generali legate alla sicurezza e concentrarci su ciò che rappresenta i rischi maggiori per le nostre attività. Invece di pensare a tecnologie specifiche, possiamo esaminare questi problemi come questioni legate ai processi e alle persone, perché le normative si evolveranno e cambieranno sempre con l’evoluzione del mercato. Adottare questa mentalità semplifica la pianificazione della sicurezza, perché non si impantana in alcuni dettagli che possono affliggere i nostri team quando i processi sono stati creati per esaminare CVE e dati sulle minacce piuttosto che in termini pratici di rischio su ciò che è realmente un problema.
L’idea di fare il minimo richiesto per soddisfare le richieste del mercato o approvare una serie di regole potrebbe essere allettante a prima vista. Ma la mentalità dell’MVP non consiste solo nel raggiungere un livello specifico e poi stabilirsi lì. Si tratta invece di raggiungere lo standard minimo e poi agire il più rapidamente possibile per migliorare ulteriormente la situazione. Per i team di sicurezza, questa mentalità di miglioramento continuo e di ricerca di modi per ridurre i rischi può essere un’utile alternativa al tradizionale modello di sicurezza IT. Concentrandoti su quali miglioramenti avrebbero il maggiore impatto sul rischio nel più breve tempo possibile, puoi aumentare la tua efficacia e ridurre il rischio in generale.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why