Op het gebied van IT-beveiliging moeten we ons overal zorgen over maken. Elk probleem, hoe klein ook, kan het voertuig worden voor het uitvoeren van code op afstand, of op zijn minst een landingsplaats voor bedreigingsactoren om van het land te leven en onze eigen instrumenten tegen ons te gebruiken. Het is niet verrassend dat IT-beveiligingspersoneel te maken krijgt met burn-out en stress. Volgens onderzoek door Enterprise Strategy Group en ISSA denkt ongeveer de helft van de IT-beveiligingsprofessionals dat ze hun huidige baan in de komende twaalf maanden zullen verlaten.
Beveiligingsteams zijn professioneel verantwoordelijk – en nu, voor Chief Information Security Officers (CISO’s), persoonlijk aansprakelijk — voor de veiligheid van hun organisaties. Maar op andere gebieden van IT en technologie heerst een heel andere mentaliteit. Uit de mantra van Mark Zuckerberg: “beweeg snel en breek dingen” door naar Eric Ries' Lean Startup en het Minimum Viable Product (MVP)-model, is de gedachte op deze gebieden om snel te handelen, maar ook om net genoeg te leveren zodat de organisatie vooruit kan komen en zich kan verbeteren.
Nu kunnen IT-beveiligingsteams dit model niet omarmen. Er zijn te veel regels om over na te denken. Maar wat kunnen we leren van een mentale oefening rond minimale levensvatbare compliance (MVC), en hoe kunnen we die informatie gebruiken om ons te helpen bij onze aanpak?
Wat zou MVC inhouden?
MVC omvat het afdekken van wat nodig is om effectief veilig te zijn. Om dit te bereiken moet u begrijpen wat u allemaal heeft geregeld en wat van cruciaal belang is om veilig te houden, en aan welke regels of voorschriften u moet aantonen dat u hieraan voldoet.
Voor asset management moet u idealiter alle assets kennen die u heeft geïnstalleerd. Hoe kun je jezelf zonder dat niveau van toezicht veilig noemen? Zou je voor een MVC-aanpak 100% inzicht nodig hebben in wat je hebt?
In werkelijkheid zijn asset management-projecten zoals configuratiemanagementdatabases (CMDB's) bedoeld om te voorzien volledig inzicht in IT-middelen, maar ze zijn nooit 100% nauwkeurig. In het verleden schommelde de nauwkeurigheid van assets rond de 70% tot 80%, en zelfs de beste implementaties van vandaag zijn niet in staat om volledige zichtbaarheid te bereiken en deze daar te houden. Moeten we ons MVC-budget hieraan besteden? Ja, maar niet helemaal op de manier waarop we traditioneel denken.
Een plaatsvervangend CISO vertelde me dat hij het ideaal van volledige dekking begrijpt, maar dat dit niet mogelijk was; in plaats daarvan geeft hij om volledige en continue zichtbaarheid van de kritieke infrastructuur van de organisatie – ongeveer 2.5% van de totale activa – terwijl de andere werklasten zo vaak mogelijk werden gevolgd. Dus hoewel zichtbaarheid nog steeds een noodzakelijk element is voor IT-beveiligingsprogramma's, moeten de inspanningen eerst worden besteed aan het beschermen van de activa met het hoogste risico. Dit is echter een doel voor de korte termijn, aangezien u slechts één enkele openbaarmaking van een kwetsbaarheid verwijderd bent van een activa met een laag risico die een activa met een hoog risico wordt. Terwijl u dit proces doorloopt, mag u de naleving van beveiliging niet door elkaar halen; ze zijn niet hetzelfde. Een bedrijf dat aan de regels voldoet, is mogelijk geen veilig bedrijf.
Regelgevingsplanning
Als onderdeel van MVC moeten we nadenken over regelgeving en hoe we deze kunnen naleven. De uitdaging voor beveiligingsteams is hoe ze vooruit kunnen denken rond deze regels. De typische aanpak is om de wetgeving binnen te halen, vervolgens te kijken waar deze van toepassing is op onze toepassingen en vervolgens indien nodig wijzigingen aan te brengen in de systemen. Dit kan echter een zeer stop-start-aanpak zijn, die verandering – en dus kosten – met zich meebrengt telkens wanneer er nieuwe regelgeving wordt ingevoerd of er een belangrijke verandering plaatsvindt.
Hoe kunnen we dit proces eenvoudiger maken voor onze teams? Kunnen we, in plaats van elke regelgeving afzonderlijk te bekijken, kijken naar wat de toepasselijke regelgeving gemeenschappelijk heeft, en dat vervolgens gebruiken om de hoeveelheid werk die nodig is om aan al deze regelgeving te voldoen, te verminderen? Wat kunnen we, in plaats van het team enorme oefeningen te laten doen om systemen aan de regels te laten voldoen, buiten de reikwijdte nemen of als een dienst gebruiken om de infrastructuur op een veilige manier aan te bieden? Kunnen we op dezelfde manier algemene best practices zoals cloudcontroles gebruiken om hele reeksen problemen weg te nemen, in plaats van elk probleem afzonderlijk te bekijken?
De kern van deze aanpak is dat we de overhead rond beveiliging moeten verminderen en ons moeten concentreren op wat de grootste risico's voor onze bedrijven vertegenwoordigt. In plaats van na te denken over specifieke technologieën, kunnen we deze problemen onderzoeken als processen en mensenkwesties, omdat regelgeving altijd zal evolueren en veranderen naarmate de markt vordert. Door deze mentaliteit te hanteren, wordt de beveiligingsplanning eenvoudiger, omdat deze niet verzandt in enkele details waar onze teams last van kunnen hebben wanneer processen zijn gebouwd om naar CVE's en dreigingsgegevens te kijken, in plaats van in praktische risicotermen rond wat werkelijk een probleem is.
Het idee om het minimum te doen dat nodig is om aan de marktvraag te voldoen of een reeks regels door te voeren, kan op het eerste gezicht aantrekkelijk zijn. Maar de mentaliteit van MVP gaat niet alleen over het bereiken van een specifiek niveau en zich daar vervolgens vestigen. In plaats daarvan gaat het erom die minimumnorm te bereiken en vervolgens zo snel mogelijk te itereren om de situatie verder te verbeteren. Voor beveiligingsteams kan deze mentaliteit van voortdurende verbetering en het zoeken naar manieren om risico's te verminderen een nuttig alternatief zijn voor het traditionele IT-beveiligingsmodel. Door u te concentreren op welke verbeteringen in de kortst mogelijke tijd de meeste risico-impact zouden hebben, kunt u uw effectiviteit vergroten en de risico's in het algemeen verminderen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why