În spațiul de securitate IT, trebuie să ne pese de totul. Orice problemă, oricât de mică, poate deveni vehiculul pentru execuția codului de la distanță sau, cel puțin, un punct de aterizare pentru actorii amenințărilor pentru a trăi din pământ și a ne întoarce propriile instrumente împotriva noastră. Nu este de mirare că personalul de securitate IT se confruntă cu epuizare și stres. Conform cercetare realizată de Enterprise Strategy Group și ISSA, aproximativ jumătate dintre profesioniștii în securitate IT cred că își vor părăsi actualul loc de muncă în următoarele 12 luni.
Echipele de securitate sunt responsabile profesional - iar acum, pentru ofițerii șefi de securitate a informațiilor (CISO), răspunzător personal — pentru securitatea organizațiilor lor. Cu toate acestea, în alte domenii ale IT și tehnologie, există o mentalitate complet diferită. Din mantra lui Mark Zuckerberg „mișcă-te repede și rupe lucrurile” prin intermediul lui Eric Ries Start Lean și modelul de produs minim viabil (MVP), gândul în aceste domenii este să se miște rapid, dar și să furnizeze suficient pentru ca organizația să poată avansa și să se îmbunătățească.
Acum, echipele de securitate IT nu pot accepta acest model. Sunt prea multe reglementări de luat în considerare. Dar ce putem învăța dintr-un exercițiu mental în jurul conformității minime viabile (MVC) și cum putem folosi aceste informații pentru a ne ajuta în abordarea noastră?
Ce ar implica MVC?
MVC implică acoperirea a ceea ce este necesar pentru a fi sigur în mod eficient. Pentru a realiza acest lucru, trebuie să înțelegeți ce aveți în vigoare și ce este esențial pentru a menține siguranța, precum și ce reguli sau reglementări trebuie să demonstrați că respectați.
Pentru gestionarea activelor, în mod ideal, trebuie să cunoașteți toate activele pe care le-ați instalat. Fără acest nivel de supraveghere, cum te poți numi sigur? Pentru o abordare MVC, ai avea nevoie de o perspectivă de 100% a ceea ce ai?
În realitate, proiectele de management al activelor, cum ar fi bazele de date de gestionare a configurației (CMDB), urmăresc să ofere vizibilitate deplină asupra activelor IT, dar nu sunt niciodată 100% exacte. În trecut, acuratețea activelor se situa în jurul valorii de 70% până la 80% și chiar și cele mai bune implementări de astăzi nu sunt capabile să obțină vizibilitate deplină și să o mențină acolo. Deci, ar trebui să ne cheltuim bugetul MVC în acest domeniu? Da, dar nu chiar așa cum am putea crede în mod tradițional.
Un adjunct CISO mi-a spus că înțelege idealul acoperirii complete, dar că nu a fost posibil; în schimb, îi pasă de vizibilitatea completă și continuă pentru infrastructura critică a organizației - aproximativ 2.5% din totalul activelor - în timp ce celelalte sarcini de lucru au fost urmărite cât mai des posibil. Deci, în timp ce vizibilitatea este încă un element necesar pentru programele de securitate IT, efortul ar trebui să se îndrepte mai întâi în protejarea activelor cu cel mai mare risc. Cu toate acestea, acesta este un obiectiv pe termen scurt, deoarece sunteți la o singură dezvăluire a vulnerabilității de la un activ cu risc scăzut care să devină unul cu risc ridicat. În timp ce treceți prin acest proces, nu amestecați conformitatea cu securitatea - nu sunt același lucru. O afacere conformă poate să nu fie una sigură.
Planificarea regulamentului
Ca parte a MVC, trebuie să ne gândim la reglementări și la cum să le respectăm. Provocarea pentru echipele de securitate este cum să gândească în viitor în jurul acestor reguli. Abordarea tipică este de a introduce legislația, apoi de a vedea unde se aplică aplicațiilor noastre și apoi de a face modificări la sisteme, după cum este necesar. Cu toate acestea, aceasta poate fi o abordare foarte stop-start care implică schimbare - și, prin urmare, cheltuieli - de fiecare dată când se introduce o nouă reglementare sau are loc o schimbare semnificativă.
Cum putem face acest proces mai ușor pentru echipele noastre? În loc să analizăm fiecare reglementare separat, putem analiza ceea ce este comun cu reglementările aplicabile și apoi să le folosim pentru a reduce cantitatea de muncă necesară în conformitate cu toate acestea? În loc să punem echipa prin exerciții uriașe pentru a aduce sistemele în conformitate, ce putem fie să scoatem din domeniul de aplicare, fie să folosim ca serviciu pentru a furniza infrastructura într-un mod sigur? În mod similar, putem folosi cele mai bune practici comune, cum ar fi controalele cloud, pentru a elimina seturi întregi de probleme, în loc să analizăm fiecare problemă în parte?
În centrul acestei abordări, trebuie să reducem cheltuielile generale legate de securitate și să ne concentrăm asupra a ceea ce reprezintă cele mai mari riscuri pentru afacerile noastre. În loc să ne gândim la tehnologii specifice, putem examina aceste probleme ca probleme legate de procese și persoane, deoarece reglementările vor evolua și se vor schimba întotdeauna pe măsură ce piața continuă. Luarea acestei mentalități facilitează planificarea securității, deoarece nu se blochează în unele dintre detaliile care ne pot afecta echipele atunci când procesele au fost create pentru a analiza CVE-urile și datele amenințărilor, mai degrabă decât în termeni practic de risc în jurul a ceea ce este cu adevărat o problemă.
Ideea de a face minimul necesar pentru a satisface cerințele pieței sau a trece un set de reguli ar putea fi atrăgătoare la valoarea nominală. Dar mentalitatea MVP nu se referă doar la a ajunge la un anumit nivel și apoi a se stabili acolo. În schimb, este vorba de a ajunge la acel standard minim și apoi de a repeta cât mai repede posibil pentru a îmbunătăți în continuare situația. Pentru echipele de securitate, această mentalitate de îmbunătățire continuă și căutarea unor modalități de reducere a riscurilor poate fi o alternativă utilă la modelul tradițional de securitate IT. Concentrându-vă asupra îmbunătățirilor care ar avea cel mai mare impact asupra riscului în cel mai scurt interval de timp, vă puteți crește eficacitatea și reduce riscul în general.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why