I IT-sikkerhetsområdet må vi bry oss om alt. Ethvert problem, uansett hvor lite det er, kan bli kjøretøyet for ekstern kjøring av kode eller i det minste et landingspunkt for trusselaktører til å leve av landet og vende våre egne verktøy mot oss. Det er ikke overraskende at IT-sikkerhetspersonalet møter utbrenthet og stress. I følge forskning fra Enterprise Strategy Group og ISSA, rundt halvparten av IT-sikkerhetsekspertene tror de vil forlate sin nåværende jobb i løpet av de neste 12 månedene.
Sikkerhetsteam er profesjonelt ansvarlige - og nå, for informasjonssikkerhetssjefer (CISOer), personlig ansvarlig — for sikkerheten til deres organisasjoner. Men på andre områder innen IT og teknologi er det en helt annen tankegang. Fra Mark Zuckerbergs mantra om "bevege deg raskt og bryte ting"gjennom til Eric Ries' Slank oppstart og minimum viable product (MVP)-modellen, er tanken på disse områdene å bevege seg raskt, men også å levere akkurat nok til at organisasjonen kan gå videre og forbedre seg.
Nå kan ikke IT-sikkerhetsteam omfavne denne modellen. Det er for mange regler å vurdere. Men hva kan vi lære av en mental øvelse rundt minimum viable compliance (MVC), og hvordan kan vi bruke den informasjonen til å hjelpe oss i vår tilnærming?
Hva ville MVC innebære?
MVC innebærer å dekke over det som trengs for å være effektivt sikret. For å oppnå dette må du forstå hva du har på plass og hva som er viktig å holde sikkert, og hvilke regler eller forskrifter du må vise at du overholder.
For kapitalforvaltning må du ideelt sett kjenne til alle eiendelene du har installert. Uten det nivået av tilsyn, hvordan kan du kalle deg sikker? For en MVC-tilnærming, trenger du 100 % innsikt i hva du har?
I virkeligheten har prosjekter for kapitalforvaltning som konfigurasjonsadministrasjonsdatabaser (CMDB) som mål å tilby full innsyn i IT-ressurser, men de er aldri 100% nøyaktige. Tidligere har aktivumnøyaktigheten svevet rundt 70 % til 80 %, og selv de beste distribusjonene i dag er ikke i stand til å oppnå full synlighet og holde den der. Så, bør vi bruke MVC-budsjettet vårt på dette området? Ja, men ikke helt på den måten vi tradisjonelt tror.
En stedfortreder CISO fortalte meg at han forstår idealet om full dekning, men at det ikke var mulig; i stedet bryr han seg om full og kontinuerlig synlighet for organisasjonens kritiske infrastruktur – omtrent 2.5 % av de totale eiendelene – mens de andre arbeidsbelastningene ble sporet så ofte som mulig. Så selv om synlighet fortsatt er et nødvendig element for IT-sikkerhetsprogrammer, bør innsatsen gå inn på å beskytte de høyest risikoaktiva først. Dette er imidlertid et kortsiktig mål, siden du bare er en enkelt sårbarhetsavsløring unna at en eiendel med lav risiko blir en høyrisiko. Mens du går gjennom denne prosessen, ikke bland sammen samsvar med sikkerhet - de er ikke det samme. En virksomhet som overholder kravene er kanskje ikke sikker.
Reguleringsplanlegging
Som en del av MVC må vi tenke på regelverk og hvordan vi skal overholde dem. Utfordringen for sikkerhetsteam er hvordan de skal tenke fremover rundt disse reglene. Den typiske tilnærmingen er å få inn lovverket, så se hvor det gjelder for våre applikasjoner, og så gjøre endringer i systemene etter behov. Dette kan imidlertid være en veldig stopp-start-tilnærming som involverer endring - og dermed kostnad - hver gang en ny forskrift bringes inn eller en betydelig endring finner sted.
Hvordan kan vi gjøre denne prosessen enklere for teamene våre? I stedet for å se på hver forskrift separat, kan vi se på hva som er felles for gjeldende regelverk, og deretter bruke det til å redusere mengden arbeid som kreves for å overholde dem alle? I stedet for å sette teamet gjennom store øvelser for å bringe systemer i samsvar, hva kan vi enten ta ut av omfanget eller bruke som en tjeneste for å tilby infrastrukturen på en sikker måte i stedet? På samme måte, kan vi bruke vanlige beste fremgangsmåter som skykontroller for å fjerne hele sett med problemer, i stedet for å se på hvert problem individuelt?
I hjertet av denne tilnærmingen må vi redusere kostnadene rundt sikkerhet og konsentrere oss om det som representerer de største risikoene for virksomhetene våre. I stedet for å tenke på spesifikke teknologier, kan vi undersøke disse problemene som prosesser og menneskelige problemer, fordi reguleringer alltid vil utvikle seg og endre seg etter hvert som markedet fortsetter. Å ta denne tankegangen gjør sikkerhetsplanlegging enklere, fordi den ikke henger seg fast i noen av detaljene som kan plage teamene våre når prosesser er bygget for å se på CVE-er og trusseldata i stedet for i praktiske risikotermer rundt hva som egentlig er et problem.
Ideen om å gjøre det minimum som kreves for å møte markedets krav eller passere et sett med regler, kan være tiltalende for pålydende. Men tankegangen til MVP handler ikke bare om å komme til et bestemt nivå og deretter slå seg ned der. I stedet handler det om å komme til den minimumsstandarden og deretter iterere så raskt som mulig for å forbedre situasjonen ytterligere. For sikkerhetsteam kan denne tankegangen med kontinuerlig forbedring og se etter måter å redusere risiko være et nyttig alternativ til den tradisjonelle IT-sikkerhetsmodellen. Ved å fokusere på hvilke forbedringer som vil ha størst risikopåvirkning på kortest mulig tid, kan du øke effektiviteten og redusere risikoen generelt.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why