Di luar tadbir urus dan pematuhan: mengapa risiko keselamatan adalah perkara yang penting

Industri cendawan dan mandat kerajaan yang mengawal keselamatan IT telah membawa kepada persekitaran yang sangat terkawal dan latihan api pematuhan tahunan. Bilangan peraturan yang mempengaruhi organisasi rata-rata boleh dengan mudah melebihi sedozen atau lebih, dan berkembang lebih kompleks pada hari itu. Ini memaksa kebanyakan syarikat untuk memberikan jumlah sumber yang sangat besar kepada usaha tadbir urus dan pematuhan di atas senarai panjang keutamaan IT mereka. Adakah usaha ini diperlukan? Atau sekadar kotak semakan sebagai sebahagian daripada pendekatan pematuhan yang mematuhi keselamatan?

Kebenaran pahit adalah anda boleh menjadualkan audit, tetapi anda tidak boleh menjadualkan serangan siber. Hampir setiap hari, kita diingatkan akan fakta ini apabila pelanggaran membuat tajuk utama. Akibatnya, banyak organisasi telah menyimpulkan bahawa untuk mendapatkan gambaran mengenai postur risiko mereka, mereka mesti melampaui penilaian pematuhan yang mudah. Akibatnya, mereka mengambil ancaman dan kelemahan, serta kesan perniagaan, menganggapnya. Hanya gabungan tiga faktor ini menjamin pandangan menyeluruh terhadap risiko.

The Pitfall of Compliance

Organisasi yang mengejar kotak cek, pendekatan pematuhan yang berasaskan kepatuhan kepada pengurusan risiko hanya mencapai tahap keselamatan tepat masa. Ini kerana kedudukan keselamatan syarikat adalah dinamik dan berubah dari semasa ke semasa. Ini telah terbukti berkali-kali.

Baru-baru ini, organisasi progresif telah memulakan pendekatan yang lebih proaktif, berasaskan risiko kepada keselamatan. Matlamat dalam model berasaskan risiko adalah untuk memaksimumkan kecekapan operasi keselamatan IT organisasi dan memberikan penglihatan ke dalam risiko dan pematuhan postur. Matlamat utama adalah untuk tetap mematuhi, mengurangkan risiko dan mengeras keselamatan secara berterusan.

Beberapa faktor menyebabkan organisasi beralih kepada model berasaskan risiko. Ini termasuk, tetapi tidak terhad kepada:

• Undang-undang siber yang muncul (contohnya, Akta Perkongsian dan Perlindungan Perisikan Cyber)
• Panduan pengawasan oleh Kantor Pengawas Mata Uang (OCC)

Keselamatan kepada Penyelamat?

Adalah dipercayai bahawa pengurusan kelemahan akan meminimumkan risiko pelanggaran data. Walau bagaimanapun, tanpa meletakkan kerentanan dalam konteks risiko yang berkaitan dengan mereka, organisasi sering menyalahgunakan sumber pemulihan mereka. Seringkali mereka mengabaikan risiko paling kritikal semasa hanya menangani "buah gantung rendah."

Ini bukan hanya satu pembaziran wang, tetapi ia juga mewujudkan peluang yang lebih lama untuk penggodam untuk mengeksploitasi kerentanan kritikal. Matlamat utama adalah untuk memendekkan penyerang tingkap untuk mengeksploitasi kecacatan perisian. Oleh itu, pengurusan kelemahan perlu ditambah dengan pendekatan berasaskan risiko yang holistik terhadap keselamatan, yang menganggap faktor-faktor seperti ancaman, kebolehjadian, postur pematuhan organisasi dan kesan perniagaan. Jika ancaman itu tidak dapat mencapai kerentanan, risiko yang berkaitan sama ada dikurangkan atau dihapuskan.

Risiko sebagai Kebenaran Tunggal

Posisi pematuhan organisasi boleh memainkan peranan penting dalam keselamatan IT dengan mengenal pasti kawalan pampasan yang boleh digunakan untuk mencegah ancaman daripada mencapai sasaran mereka. Menurut Laporan Penyiasatan Pelanggaran Data Verizon 2013, analisis data yang diperoleh daripada pelanggaran penyelidikan yang dilakukan Verizon dan organisasi lain pada tahun sebelumnya, 97 peratus insiden keselamatan dihindari melalui kawalan mudah atau perantaraan. Walau bagaimanapun, kesan perniagaan adalah faktor penting dalam menentukan risiko sebenar. Sebagai contoh, kelemahan yang mengancam aset perniagaan kritikal mewakili risiko jauh lebih tinggi daripada yang dikaitkan dengan sasaran kurang kritikal.

Postur pematuhan biasanya tidak terikat pada kritikan aset perniagaan. Sebaliknya, kawalan pampasan diterapkan secara generik dan diuji dengan sewajarnya. Tanpa pemahaman yang jelas tentang kritikal perniagaan yang aset mewakili organisasi, organisasi tidak dapat mengutamakan usaha pemulihan. Pendekatan yang didorong oleh risiko menangani kedua-dua postur keselamatan dan kesan perniagaan untuk meningkatkan kecekapan operasi, memperbaiki ketepatan penilaian, mengurangkan permukaan serangan dan meningkatkan keputusan pelaburan.

Seperti yang dinyatakan sebelum ini, risiko dipengaruhi oleh tiga faktor utama: postur pematuhan, ancaman dan kelemahan, dan kesan perniagaan. Akibatnya, adalah penting untuk mengagregat kecerdasan kritikal mengenai postur risiko dan pematuhan dengan maklumat ancaman semasa, baru dan muncul untuk mengira kesan terhadap operasi perniagaan dan mengutamakan tindakan pemulihan.

Tiga Unsur untuk Pandangan Holistik terhadap Risiko

Terdapat tiga komponen utama untuk melaksanakan pendekatan berasaskan risiko kepada keselamatan:

• Pematuhan yang berterusan merangkumi penyesuaian aset dan automasi klasifikasi data, penyelarasan kawalan teknikal, automasi ujian kepatuhan, penggunaan tinjauan penilaian, dan automasi penyatuan data. Dengan pematuhan yang berterusan, organisasi dapat mengurangkan pertindihan dengan memanfaatkan kerangka kawalan bersama untuk meningkatkan ketepatan pengumpulan data dan analisis data, dan mengurangkan usaha yang berlebihan, serta usaha manual, intensif buruh sehingga 75 peratus.
• Pemantauan berterusan menunjukkan peningkatan frekuensi penilaian data dan memerlukan automasi data keselamatan dengan mengagregasi dan menormalkan data dari pelbagai sumber seperti maklumat keselamatan dan pengurusan peristiwa (SIEM), pengurusan aset, makanan ancaman dan pengimbas kerentanan. Sebaliknya, organisasi boleh mengurangkan kos dengan menyatukan penyelesaian, menyelaraskan proses, mewujudkan kesedaran keadaan untuk mendedahkan eksploit dan ancaman pada masa yang tepat, dan mengumpulkan data trend bersejarah, yang dapat membantu dalam keselamatan ramalan.
• Gelung tertutup, pemulihan berasaskan risiko memanfaatkan pakar subjek dalam unit perniagaan untuk menentukan katalog risiko dan toleransi risiko. Proses ini memerlukan klasifikasi aset untuk menentukan kritikal perniagaan, pemarkahan berterusan untuk membolehkan keutamaan berasaskan risiko, dan pengesanan dan pengukuran gelung tertutup. Dengan mewujudkan satu tinjauan tinjauan aset, orang, proses, potensi risiko dan ancaman yang mungkin, organisasi dapat meningkatkan kecekapan operasi secara mendadak, sambil meningkatkan kerjasama antara perniagaan, keselamatan dan operasi IT. Ini membolehkan usaha keselamatan - seperti penyelesaian masa, pelaburan dalam kakitangan operasi keselamatan, pembelian alat keselamatan tambahan - untuk diukur dan dibuat nyata.

Bottom Line on Risk and Compliance

Mandat pematuhan tidak pernah dirancang untuk memacu bas keselamatan IT. Mereka perlu memainkan peranan sokongan dalam rangka keselamatan yang dinamik yang didorong oleh penilaian risiko, pemantauan berterusan dan pemulihan gelung tertutup.