IT セキュリティの分野では、あらゆることに気を配る必要があります。どんなに小さな問題であっても、リモートでコードが実行される手段となる可能性があり、少なくとも、脅威アクターが陸上で生活し、私たち自身のツールを私たちに向ける着地点となる可能性があります。 IT セキュリティ スタッフが燃え尽き症候群やストレスに直面するのは驚くべきことではありません。によると 企業戦略グループによる調査 と ISSA によると、IT セキュリティ専門家の約半数は、今後 12 か月以内に現在の仕事を辞めると考えています。
セキュリティ チームは専門的に責任を負いますが、現在では最高情報セキュリティ責任者 (CISO) が、 個人的に責任がある — 組織のセキュリティのため。しかし、IT やテクノロジーの他の分野では、まったく異なる考え方が存在します。マーク・ザッカーバーグのマントラより「速く動き、物を壊す」からエリック・リースまで リーンスタートアップ 実行可能最小限の製品 (MVP) モデルでは、これらの分野での考え方は、迅速に行動するだけでなく、組織が前進して改善できるように十分な量を提供することです。
現在、IT セキュリティ チームはこのモデルを採用できません。考慮すべき規制が多すぎます。しかし、実行最小限のコンプライアンス (MVC) に関する頭の体操から何を学ぶことができますか?また、その情報をアプローチに役立てるためにどのように使用できるでしょうか?
MVC には何が関係するのでしょうか?
MVC には、効果的にセキュリティを確保するために必要なものをカバーすることが含まれます。これを達成するには、何を導入しているのか、安全を保つために何が重要なのか、準拠していることを証明するためにどのようなルールや規制があるのかを理解する必要があります。
資産管理の場合、理想的には、インストールしたすべての資産を把握する必要があります。そのレベルの監視がなければ、どうやって安全だと言えるでしょうか? MVC アプローチの場合、自分が持っているものについて 100% の洞察が必要ですか?
実際には、構成管理データベース (CMDB) のような資産管理プロジェクトは、次のことを目的としています。 IT資産を完全に可視化, しかし、それらは決して 100% 正確ではありません。以前は、資産の精度は 70% ~ 80% の水準で推移しており、今日の最良の導入でも完全な可視性を達成してそれを維持することはできません。では、MVC の予算をこの分野に費やすべきでしょうか?はい、しかし、私たちが伝統的に考えているような方法ではありません。
ある副 CISO は、完全にカバーするという理想は理解しているが、それは不可能だと私に言いました。その代わりに、組織の重要なインフラストラクチャ (総資産の約 2.5%) を完全かつ継続的に可視化し、他のワークロードをできるだけ頻繁に追跡することに関心を持っています。したがって、IT セキュリティ プログラムには可視性が依然として必要な要素ですが、最もリスクの高い資産を保護することに最初に取り組む必要があります。ただし、これは短期的な目標であり、脆弱性が XNUMX 回公開されるだけで、低リスクの資産が高リスクの資産に変わることになります。このプロセスを実行する際は、コンプライアンスとセキュリティを混同しないでください。これらは同じものではありません。準拠しているビジネスが安全であるとは限りません。
規制計画
MVC の一環として、規制とそれに準拠する方法について考えなければなりません。セキュリティ チームにとっての課題は、これらのルールをどのように事前に検討するかです。典型的なアプローチは、法律を制定し、それがアプリケーションのどこに適用されるかを確認し、必要に応じてシステムに変更を加えるというものです。ただし、これは、新しい規制が導入されたり、重大な変更が発生したりするたびに、変更を伴う、つまり出費を伴う非常にストップ・スタートのアプローチになる可能性があります。
チームにとってこのプロセスを簡単にするにはどうすればよいでしょうか?各規制を個別に見るのではなく、該当する規制に共通するものを検討し、それを利用してすべての規制に準拠するために必要な作業量を削減することはできますか?システムをコンプライアンスに準拠させるための大規模な演習をチームに課すのではなく、代わりに安全な方法でインフラストラクチャを提供するために、何を対象外にするか、サービスとして使用できるでしょうか?同様に、クラウド コントロールのような一般的なベスト プラクティスを使用して、各問題を個別に検討するのではなく、一連の問題全体を取り除くことはできるでしょうか?
このアプローチの中心となるのは、セキュリティ関連のオーバーヘッドを削減し、ビジネスにとって最大のリスクとなるものに集中することです。市場の発展とともに規制は常に進化し、変化するため、特定のテクノロジーについて考えるのではなく、これらの問題をプロセスと人の問題として検討することができます。この考え方を採用すると、実際に問題が何かに関する実際的なリスクの観点ではなく、CVE と脅威データを検討するプロセスが構築されている場合、チームを悩ませる可能性のある詳細の一部に行き詰まることがなくなるため、セキュリティの計画が容易になります。
市場の需要を満たすため、または一連のルールを通過させるために必要最小限のことを行うという考えは、額面通りに魅力的かもしれません。しかし、MVP の考え方は、単に特定のレベルに到達してそこに落ち着くことではありません。代わりに、その最低基準に到達し、状況をさらに改善するためにできるだけ早く反復することが重要です。セキュリティ チームにとって、継続的に改善し、リスクを軽減する方法を模索するというこの考え方は、従来の IT セキュリティ モデルに代わる有用な手段となる可能性があります。最短の期間でどのような改善がリスクに最も大きな影響を与えるかに焦点を当てることで、効果を高め、一般的にリスクを軽減することができます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why