ในด้านความปลอดภัยด้านไอที เราต้องใส่ใจในทุกสิ่ง ปัญหาใดๆ ไม่ว่าจะเล็กน้อยแค่ไหนก็สามารถกลายเป็นเครื่องมือสำหรับการเรียกใช้โค้ดจากระยะไกล หรืออย่างน้อยที่สุดก็เป็นจุดเชื่อมโยงไปถึงของผู้คุกคามที่จะใช้ชีวิตนอกพื้นที่และหันเครื่องมือของเรามาต่อต้านเรา จึงไม่น่าแปลกใจที่เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีต้องเผชิญกับความเหนื่อยหน่ายและความเครียด ตาม การวิจัยโดย Enterprise Strategy Group และ ISSA ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีประมาณครึ่งหนึ่งคิดว่าพวกเขาจะออกจากงานปัจจุบันในอีก 12 เดือนข้างหน้า
ทีมรักษาความปลอดภัยมีหน้าที่รับผิดชอบอย่างมืออาชีพ และตอนนี้สำหรับหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ต้องรับผิดชอบเป็นการส่วนตัว — เพื่อความปลอดภัยขององค์กรของตน แต่ในด้านอื่นๆ ของไอทีและเทคโนโลยีกลับมีกรอบความคิดที่แตกต่างไปจากเดิมอย่างสิ้นเชิง จากมนต์เสน่ห์ของ Mark Zuckerberg ว่า “เคลื่อนที่เร็วและทำลายสิ่งของ” ผ่านไปยัง Eric Ries' การเริ่มต้นแบบ Lean และโมเดลผลิตภัณฑ์ที่มีศักยภาพขั้นต่ำ (MVP) แนวคิดในด้านเหล่านี้คือการก้าวอย่างรวดเร็ว แต่ยังต้องส่งมอบให้เพียงพอเพื่อให้องค์กรสามารถก้าวไปข้างหน้าและปรับปรุงได้
ขณะนี้ทีมรักษาความปลอดภัยด้านไอทีไม่ยอมรับโมเดลนี้ มีกฎระเบียบมากเกินไปที่จะต้องพิจารณา แต่เราสามารถเรียนรู้อะไรได้บ้างจากการฝึกจิตเกี่ยวกับการปฏิบัติตามข้อกำหนดขั้นต่ำ (MVC) และเราจะใช้ข้อมูลนั้นเพื่อช่วยเราในแนวทางของเราได้อย่างไร
MVC จะเกี่ยวข้องกับอะไร?
MVC เกี่ยวข้องกับการปกปิดสิ่งที่จำเป็นเพื่อความปลอดภัยอย่างมีประสิทธิภาพ เพื่อให้บรรลุเป้าหมายนี้ คุณต้องเข้าใจสิ่งที่คุณมีอยู่และสิ่งที่สำคัญในการรักษาความปลอดภัย และกฎหรือข้อบังคับใดที่คุณต้องแสดงให้เห็นว่าคุณปฏิบัติตาม
สำหรับการจัดการสินทรัพย์ ตามหลักการแล้ว คุณจะต้องทราบสินทรัพย์ทั้งหมดที่คุณติดตั้งไว้ หากปราศจากการกำกับดูแลในระดับนั้น คุณจะเรียกตัวเองว่าปลอดภัยได้อย่างไร? สำหรับแนวทาง MVC คุณจะต้องมีข้อมูลเชิงลึก 100% เกี่ยวกับสิ่งที่คุณมีหรือไม่
ในความเป็นจริง โครงการการจัดการสินทรัพย์ เช่น ฐานข้อมูลการจัดการการกำหนดค่า (CMDB) มีเป้าหมายที่จะให้บริการ การมองเห็นสินทรัพย์ไอทีอย่างเต็มรูปแบบแต่ก็ไม่เคยถูกต้อง 100% ในอดีต ความแม่นยำของสินทรัพย์อยู่ที่ประมาณ 70% ถึง 80% และแม้แต่การใช้งานที่ดีที่สุดในปัจจุบันก็ไม่สามารถมองเห็นได้ทั้งหมดและคงไว้ตรงนั้น แล้วเราควรใช้งบประมาณ MVC ในพื้นที่นี้หรือไม่? ใช่ แต่ไม่ใช่ในลักษณะที่เราคิดตามธรรมเนียม
รอง CISO คนหนึ่งบอกฉันว่าเขาเข้าใจอุดมคติของการครอบคลุมเต็มรูปแบบ แต่ก็เป็นไปไม่ได้ แต่เขาให้ความสำคัญกับการมองเห็นโครงสร้างพื้นฐานที่สำคัญขององค์กรอย่างสมบูรณ์และต่อเนื่อง — ประมาณ 2.5% ของสินทรัพย์ทั้งหมด — ในขณะที่ปริมาณงานอื่นๆ จะถูกติดตามบ่อยที่สุดเท่าที่จะทำได้ ดังนั้น แม้ว่าการมองเห็นจะยังคงเป็นองค์ประกอบที่จำเป็นสำหรับโปรแกรมรักษาความปลอดภัยด้านไอที แต่ความพยายามควรไปที่การปกป้องสินทรัพย์ที่มีความเสี่ยงสูงสุดก่อน อย่างไรก็ตาม นี่เป็นเป้าหมายระยะสั้น เนื่องจากคุณเป็นเพียงช่องโหว่เดียวที่เปิดเผยจากสินทรัพย์ที่มีความเสี่ยงต่ำกลายเป็นสินทรัพย์ที่มีความเสี่ยงสูง ในขณะที่ดำเนินการตามกระบวนการนี้ อย่าเอาการปฏิบัติตามกฎระเบียบไปปะปนกับการรักษาความปลอดภัย เพราะสิ่งเหล่านี้ไม่เหมือนกัน ธุรกิจที่ปฏิบัติตามข้อกำหนดอาจไม่ปลอดภัย
การวางแผนกฎระเบียบ
ในฐานะส่วนหนึ่งของ MVC เราต้องคิดถึงกฎระเบียบและวิธีปฏิบัติตามกฎระเบียบเหล่านั้น ความท้าทายสำหรับทีมรักษาความปลอดภัยคือวิธีคิดล่วงหน้าเกี่ยวกับกฎเหล่านี้ แนวทางทั่วไปคือการนำกฎหมายมาใช้ จากนั้นดูว่าจะนำไปใช้กับแอปพลิเคชันของเราได้ที่ใด จากนั้นจึงทำการเปลี่ยนแปลงระบบตามความจำเป็น อย่างไรก็ตาม นี่อาจเป็นแนวทางแบบหยุด-เริ่มต้นที่เกี่ยวข้องกับการเปลี่ยนแปลงและค่าใช้จ่าย ทุกครั้งที่มีการนำกฎระเบียบใหม่เข้ามาหรือมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น
เราจะทำให้กระบวนการนี้ง่ายขึ้นสำหรับทีมของเราได้อย่างไร? แทนที่จะดูกฎเกณฑ์แต่ละข้อแยกกัน เราจะดูได้ไหมว่ากฎเกณฑ์ใดที่บังคับใช้โดยทั่วไป แล้วใช้กฎนั้นเพื่อลดปริมาณงานที่ต้องปฏิบัติตามกฎเกณฑ์ทั้งหมด แทนที่จะให้ทีมผ่านการฝึกครั้งใหญ่เพื่อนำระบบเข้าสู่การปฏิบัติตามกฎระเบียบ เราจะเอาอะไรออกจากขอบเขตหรือใช้เป็นบริการเพื่อจัดหาโครงสร้างพื้นฐานด้วยวิธีที่ปลอดภัยแทนได้ ในทำนองเดียวกัน เราสามารถใช้แนวทางปฏิบัติที่ดีที่สุดทั่วไป เช่น การควบคุมบนคลาวด์เพื่อขจัดปัญหาทั้งชุด แทนที่จะพิจารณาทีละประเด็นได้หรือไม่
หัวใจสำคัญของแนวทางนี้ เราต้องลดค่าใช้จ่ายด้านความปลอดภัยและมุ่งเน้นไปที่สิ่งที่แสดงถึงความเสี่ยงที่ใหญ่ที่สุดสำหรับธุรกิจของเรา แทนที่จะคิดถึงเทคโนโลยีที่เฉพาะเจาะจง เราสามารถตรวจสอบปัญหาเหล่านี้เป็นปัญหาของกระบวนการและผู้คนได้ เนื่องจากกฎระเบียบจะมีการพัฒนาและเปลี่ยนแปลงอยู่เสมอเมื่อตลาดดำเนินไป การใช้กรอบความคิดนี้ทำให้การวางแผนด้านความปลอดภัยง่ายขึ้น เนื่องจากไม่ได้จมอยู่กับรายละเอียดบางอย่างที่อาจทำให้ทีมของเราลำบาก เมื่อกระบวนการถูกสร้างขึ้นเพื่อดู CVE และข้อมูลภัยคุกคาม แทนที่จะอยู่ในเงื่อนไขความเสี่ยงในทางปฏิบัติเกี่ยวกับสิ่งที่เป็นปัญหาจริงๆ
แนวคิดในการทำสิ่งขั้นต่ำที่จำเป็นเพื่อตอบสนองความต้องการของตลาดหรือผ่านกฎเกณฑ์ต่างๆ อาจน่าสนใจตามมูลค่าที่ตราไว้ แต่กรอบความคิดของ MVP ไม่ใช่แค่การก้าวไปสู่ระดับที่เฉพาะเจาะจงแล้วปักหลักอยู่ตรงนั้น แต่เป็นการบรรลุมาตรฐานขั้นต่ำนั้นแล้วทำซ้ำให้เร็วที่สุดเท่าที่จะเป็นไปได้เพื่อปรับปรุงสถานการณ์ให้ดียิ่งขึ้น สำหรับทีมรักษาความปลอดภัย แนวคิดในการปรับปรุงอย่างต่อเนื่องและการมองหาวิธีลดความเสี่ยงอาจเป็นทางเลือกที่มีประโยชน์แทนโมเดลความปลอดภัยด้านไอทีแบบเดิม ด้วยการมุ่งเน้นไปที่การปรับปรุงใดที่จะมีผลกระทบต่อความเสี่ยงมากที่สุดในกรอบเวลาที่สั้นที่สุด คุณสามารถเพิ่มประสิทธิภาพและลดความเสี่ยงโดยทั่วไปได้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why