Hjem Sikkerhed Ud over styring og overholdelse: hvorfor det er sikkerhedsrisikoen, der betyder noget

Ud over styring og overholdelse: hvorfor det er sikkerhedsrisikoen, der betyder noget

Indholdsfortegnelse:

Anonim

Svampebranchen og regeringsmandater, der styrer it-sikkerhed, har ført til et meget reguleret miljø og årlige overholdelse af brandøvelser. Antallet af regler, der berører gennemsnitlige organisationer, kan let overstige et dusin eller mere og vokse mere komplekst med dagen. Dette tvinger de fleste virksomheder til at tildele en overdreven mængde ressourcer til styring og overholdelsesindsats øverst på deres lange liste over it-prioriteter. Er disse bestræbelser berettiget? Eller blot et afkrydsningsfelt som en del af en compliance-drevet tilgang til sikkerhed?


Den bitre sandhed er, at du kan planlægge en revision, men du kan ikke planlægge et cyberangreb. Næsten hver dag bliver vi mindet om denne kendsgerning, når overtrædelser offentliggør overskrifter. Som et resultat har mange organisationer konkluderet, at de for at få indsigt i deres risikostilling skal gå ud over enkle overensstemmelsesvurderinger. Som et resultat tager de hensyn til trusler og sårbarheder såvel som forretningsmæssige virkninger. Kun en kombination af disse tre faktorer sikrer et holistisk syn på risiko.

Efterlevelsens faldgruppe

Organisationer, der forfølger en afkrydsningsfelt, compliance-styret tilgang til risikostyring, opnår kun point-in-time-sikkerhed. Det skyldes, at et virksomheds sikkerhedsstilling er dynamisk og ændrer sig over tid. Dette er blevet bevist gang på gang.


For nylig er progressive organisationer begyndt at følge en mere proaktiv, risikobaseret tilgang til sikkerhed. Målet i en risikobaseret model er at maksimere effektiviteten af ​​en organisations IT-sikkerhedsoperationer og give synlighed til risiko- og compliance-holdning. Det endelige mål er at forblive i overensstemmelse, mindske risikoen og hærde sikkerheden kontinuerligt.


En række faktorer får organisationer til at gå over til en risikobaseret model. Disse inkluderer, men er ikke begrænset til:

  • Emerging cyber-lovgivning (f.eks. Lov om deling og beskyttelse af cyber-intelligens)
  • Vejledende vejledning fra kontoret for valutakontrolleren (OCC)

Sikkerhed til redning?

Det menes almindeligt, at sårbarhedsstyring vil minimere risikoen for en dataforbrud. Uden at placere sårbarheder i sammenhæng med den risiko, der er forbundet med dem, justerer organisationer dog ofte deres afhjælpningsressourcer. Ofte overser de de mest kritiske risici, mens de kun adresserer "lavt hængende frugt."


Dette er ikke kun spild af penge, men det skaber også et længere vindue af muligheder for hackere til at udnytte kritiske sårbarheder. Det ultimative mål er at forkorte vinduet angribere skal udnytte en softwarefejl. Derfor skal sårbarhedsstyring suppleres med en holistisk, risikobaseret tilgang til sikkerhed, der tager højde for faktorer som trusler, rækkevidde, organisationens compliance-holdning og forretningspåvirkning. Hvis truslen ikke kan nå sårbarheden, reduceres eller elimineres den tilhørende risiko.

Risiko som eneste sandhed

En organisations compliance-holdning kan spille en væsentlig rolle i it-sikkerhed ved at identificere kompenserende kontroller, der kan bruges til at forhindre trusler i at nå deres mål. I henhold til Verizon-dataovertrædelsesundersøgelsesrapporten fra 2013, en analyse af de data, der blev opnået fra overtrædelsesundersøgelser, som Verizon og andre organisationer har udført i det foregående år, kunne 97 procent af sikkerhedshændelser undgås ved hjælp af enkel eller mellemlig kontrol. Forretningsvirkninger er imidlertid en kritisk faktor i bestemmelsen af ​​den faktiske risiko. F.eks. Repræsenterer sårbarheder, der truer kritiske forretningsaktiver, en langt højere risiko end dem, der er forbundet med mindre kritiske mål.


Overholdelsestilstand er typisk ikke bundet til aktivernes forretningskritiske betydning. I stedet anvendes kompenserende kontroller generisk og testes i overensstemmelse hermed. Uden en klar forståelse af den forretningskritikitet, som et aktiv repræsenterer for en organisation, er en organisation ikke i stand til at prioritere saneringsindsats. En risikodrevet tilgang adresserer både sikkerhedsstillelse og forretningspåvirkning for at øge driftseffektiviteten, forbedre vurderingsnøjagtigheden, reducere angreboverflader og forbedre investeringsbeslutningen.


Som nævnt tidligere er risikoen påvirket af tre nøglefaktorer: compliance-holdning, trusler og sårbarheder og forretningspåvirkning. Som et resultat er det vigtigt at samle kritisk intelligens om risiko- og overholdelsesstillinger med aktuelle, nye og nye truslerinformation for at beregne virkninger på forretningsdriften og prioritere afhjælpning.

Tre elementer til et holistisk syn på risiko

Der er tre hovedkomponenter til implementering af en risikobaseret tilgang til sikkerhed:

  • Kontinuerlig overholdelse inkluderer afstemning af aktiver og automatisering af dataklassificering, justering af tekniske kontroller, automatisering af compliance-test, implementering af vurderingsundersøgelser og automatisering af datakonsolidering. Med kontinuerlig overholdelse kan organisationer reducere overlapning ved at udnytte en fælles kontrolramme for at øge nøjagtigheden i dataindsamling og dataanalyse og reducere overflødige såvel som manuelle arbejdskrævende indsats med op til 75 procent.

  • Kontinuerlig overvågning indebærer en øget frekvens af datavurderinger og kræver automatisering af sikkerhedsdata ved at aggregere og normalisere data fra en række kilder, såsom sikkerhedsinformation og begivenhedsstyring (SIEM), aktivstyring, trusselfeeds og sårbarhedsscannere. Til gengæld kan organisationer reducere omkostningerne ved at forene løsninger, strømline processer, skabe situationsbevidsthed om at udsætte exploits og trusler rettidigt og indsamle historiske trenddata, som kan hjælpe med forudsigelig sikkerhed.

  • Lukket loop, risikobaseret afhjælpning udnytter fageksperter inden for forretningsenheder til at definere et risikokatalog og risikotolerance. Denne proces indebærer aktivklassificering til at definere forretningskritikitet, kontinuerlig score for at muliggøre risikobaseret prioritering og lukket loop tracking og måling. Ved at etablere en kontinuerlig gennemgangsløkke af eksisterende aktiver, mennesker, processer, potentielle risici og mulige trusler, kan organisationer dramatisk øge driftseffektiviteten, samtidig med at de forbedrer samarbejdet mellem forretnings-, sikkerheds- og IT-operationer. Dette gør det muligt at måle og gøre håndgribelige sikkerhedsbestræbelser - som tid til opløsning, investering i personale i sikkerhedsoperationer, køb af ekstra sikkerhedsværktøjer.

Den nederste linje om risiko og overholdelse

Overholdelsesmandater blev aldrig designet til at køre IT-sikkerhedsbussen. De bør spille en støttende rolle inden for en dynamisk sikkerhedsramme, der er drevet af risikovurdering, løbende overvågning og lukket sløjfeudbedring.
Ud over styring og overholdelse: hvorfor det er sikkerhedsrisikoen, der betyder noget

Maskinlæring og hvorfor det betyder noget

Maskinlæring og hvorfor det betyder noget

Digitale data: hvorfor det, der indsamles, betyder noget

Digitale data: hvorfor det, der indsamles, betyder noget

I juni 2012 vurderede Federal Trade Commission en straf på $ 800.000 mod Spokeo, en dataindsamler. FTC sagde, at Spokeo overtrådte Fair Credit Reporting Act ved at markedsføre sine forbrugerprofiler uden at fremstille ...

Internationalisering og lokalisering: hvorfor det betyder noget

Internationalisering og lokalisering: hvorfor det betyder noget

Selvom verden er meget mindre takket være internettet i disse dage, er der stadig en masse forskelle, som softwareudviklere skal tage højde for, når de prøver at nå et stadig mere globalt publikum. Bortset ...

Valg af editor

Valg af editor

Valg af editor

Valg af editor

Valg af editor

Valg af editor

Populære kategorier

© Copyright da.theastrologypage.com, 2024 November | Om webstedet | Kontakter | Fortrolighedspolitik.