Hallinnon ja noudattamisen lisäksi: miksi turvallisuusriskillä on merkitystä

Sieniteollisuus ja tietoturvaa hallitsevat valtion toimeksiannot ovat johtaneet erittäin säänneltyyn ympäristöön ja vuotuisiin paloharjoituksiin. Keskimääräisiin organisaatioihin vaikuttavien säädösten lukumäärä voi helposti ylittää kymmenen tai enemmän ja kasvaa päivä päivältä monimutkaisemmaksi. Tämä pakottaa useimmat yritykset osoittamaan kohtuuttoman määrän resursseja hallintoon ja sääntöjen noudattamiseen tähtääviin pyrkimyksiinsä pitkän IT-prioriteettiluettelonsa päälle. Ovatko nämä toimet perusteltuja? Tai yksinkertaisesti valintaruudun vaatimus osana vaatimustenmukaisuuteen perustuvaa lähestymistapaa turvallisuuteen?

Katkera totuus on, että voit ajoittaa auditoinnin, mutta et voi ajoittaa kyberhyökkäystä. Lähes joka päivä meitä muistutetaan tästä tosiasiasta, kun rikkomukset tekevät otsikkouutisia. Seurauksena on, että monet organisaatiot ovat päättäneet, että saadakseen käsityksen riskiasentoonsa heidän on ylitettävä yksinkertaiset vaatimustenmukaisuuden arvioinnit. Seurauksena on, että he ottavat huomioon uhat ja haavoittuvuudet sekä liiketoiminnan vaikutukset. Vain näiden kolmen tekijän yhdistelmä varmistaa kokonaisvaltaisen kuvan riskistä.

Vaatimukset noudattamisesta

Organisaatiot, jotka noudattavat valintaruutua ja vaatimustenmukaisuuteen perustuvaa lähestymistapaa riskienhallintaan, saavuttavat vain tietoturvan. Tämä johtuu siitä, että yrityksen turvallisuusasento on dynaaminen ja muuttuu ajan myötä. Tämä on toistuvasti todistettu.

Viime aikoina progressiiviset organisaatiot ovat alkaneet pyrkiä aktiivisempaan, riskipohjaiseen lähestymistapaan turvallisuuteen. Riskipohjaisen mallin tavoitteena on maksimoida organisaation tietoturvatoimintojen tehokkuus ja tarjota näkyvyys riski- ja noudattamisasentoon. Perimmäisenä tavoitteena on jatkaa noudattamista, vähentää riskiä ja kohentaa turvallisuutta jatkuvasti.

Useat tekijät saavat organisaatiot siirtymään riskipohjaiseen malliin. Näitä ovat muun muassa:

• Uusi kyberlainsäädäntö (esim. Tietoonnettomuuksien jakamista ja suojaamista koskeva laki)
• Valuuttarekisteröintitoimiston (OCC) antamat valvontaohjeet

Turvallisuus pelastamiseen?

Yleisesti uskotaan, että haavoittuvuuden hallinta minimoi tietosuojariskin riskin. Asettamatta kuitenkaan haavoittuvuuksia niihin liittyvän riskin yhteyteen, organisaatiot kohdistavat usein väärinkäytösresursseja väärin. Usein he jättävät huomioimatta kriittisimmät riskit ja käsittelevät vain "matalalla roikkuvia hedelmiä".

Tämä ei ole vain rahan tuhlausta, vaan se myös antaa hakkereille pidemmän mahdollisuuden hyödyntää kriittisiä haavoittuvuuksia. Perimmäisenä tavoitteena on lyhentää ikkunaa. Hyökkääjien on hyödynnettävä ohjelmistovirhettä. Siksi haavoittuvuuden hallintaa on täydennettävä kokonaisvaltaisella, riskipohjaisella lähestymistavalla turvallisuuteen, jossa otetaan huomioon tekijät, kuten uhat, saavutettavuus, organisaation noudattamisasento ja liiketoiminnan vaikutukset. Jos uhka ei pääse haavoittuvuuteen, siihen liittyvää riskiä joko vähennetään tai poistetaan.

Riski kuin ainoa totuus

Organisaation noudattamisasenteella voi olla olennainen merkitys IT-turvallisuudessa tunnistamalla kompensoivia valvontatoimenpiteitä, joita voidaan käyttää estämään uhkien saavuttaminen tavoitteeseensa. Verizonin ja muiden organisaatioiden edellisen vuoden aikana suorittamien rikkomusten tutkinnasta saatujen, vuoden 2013 Verizonin tietorikkomustutkimusraporttien mukaan 97 prosenttia turvallisuustapauksista oli vältettävissä yksinkertaisten tai välittaisten valvontojen avulla. Yritystoiminta on kuitenkin kriittinen tekijä todellisen riskin määrittämisessä. Esimerkiksi haavoittuvuudet, jotka uhkaavat kriittisiä liiketoimintaomaisuuksia, edustavat paljon korkeampaa riskiä kuin ne, jotka liittyvät vähemmän kriittisiin kohteisiin.

Vaatimustenmukaisuusasento ei tyypillisesti ole sidoksissa omaisuuden liiketoimintakriittisyyteen. Sen sijaan kompensoivia säätöjä sovelletaan yleisesti ja testataan vastaavasti. Ilman selvää ymmärrystä yrityksen kriittisyydestä, jota omaisuus edustaa organisaatiolle, organisaatio ei pysty priorisoimaan kunnostamistoimenpiteitä. Riskikeskeinen lähestymistapa kohdistuu sekä turvallisuusasentoon että liiketoiminnan vaikutuksiin toiminnan tehostamiseksi, arvioinnin tarkkuuden parantamiseksi, hyökkäyspintojen vähentämiseksi ja sijoituspäätösten tehostamiseksi.

Kuten aiemmin mainittiin, riskiin vaikuttavat kolme avaintekijää: noudattamisasenne, uhat ja haavoittuvuudet sekä liiketoiminnan vaikutukset. Tämän seurauksena on välttämätöntä koota kriittinen tieto riskien ja vaatimustenmukaisuusasennoista nykyisten, uusien ja esiin nousevien uhatietojen kanssa, jotta voidaan laskea vaikutukset liiketoimintaan ja priorisoida korjaustoimenpiteet.

Kolme elementtiä kokonaisvaltaisessa riskinarvioinnissa

Turvallisuusriskipohjaisen lähestymistavan toteuttamisessa on kolme pääkomponenttia:

• Jatkuvaan vaatimustenmukaisuuteen sisältyy omaisuuserien yhteensovittaminen ja tietojen luokittelun automatisointi, teknisten hallintalaitteiden yhdenmukaistaminen, vaatimustenmukaisuuden testauksen automatisointi, arviointitutkimusten käyttöönotto ja tietojen yhdistämisen automatisointi. Jatkuvan vaatimustenmukaisuuden avulla organisaatiot voivat vähentää päällekkäisyyksiä hyödyntämällä yhteistä ohjauskehystä tiedonkeruun ja tietojen analysoinnin tarkkuuden lisäämiseksi ja tarpeettomien sekä manuaalisten, työvoimavaltaisten ponnistelujen vähentämiseksi jopa 75 prosentilla.
• Jatkuva seuranta merkitsee datan arviointien tiheyden lisääntymistä ja vaatii tietoturvadatan automatisointia yhdistämällä ja normalisoimalla tietoja useista lähteistä, kuten turvallisuustiedoista ja tapahtumien hallinnasta (SIEM), omaisuuden hallinnasta, uhkien syötteistä ja haavoittuvuusskannereista. Organisaatiot puolestaan ​​voivat vähentää kustannuksia yhdistämällä ratkaisuja, virtaviivaistamalla prosesseja, luomalla tilannetietoisuutta paljastaaksesi hyväksikäytöt ja uhat ajoissa ja keräämällä historiallisia suuntaustietoja, jotka voivat auttaa ennakoivassa turvallisuudessa.
• Suljetun silmukan riskipohjainen korjaus hyödyntää liiketoimintayksiköiden aiheen asiantuntijoita riskiluettelon ja riskinkantokyvyn määrittelemiseksi. Prosessiin sisältyy omaisuusluokittelu liiketoimintakriittisyyden määrittelemiseksi, jatkuva pisteytys riskipohjaisen priorisoinnin mahdollistamiseksi sekä suljetun silmukan seuranta ja mittaus. Perustamalla jatkuvan tarkastelusilmukan olemassa olevista omaisuuseristä, ihmisistä, prosesseista, potentiaalisista riskeistä ja mahdollisista uhista organisaatiot voivat parantaa dramaattisesti toiminnan tehokkuutta parantaen samalla yhteistyötä liiketoiminnan, turvallisuuden ja IT-toimintojen välillä. Tämä mahdollistaa turvallisuusponnistelujen - kuten ratkaisuun kuluvan ajan, investoinnit turvallisuusoperaatioiden henkilöstöön, ylimääräisten turvallisuustyökalujen ostot - mittaamisen ja konkretisoinnin.

Bottom Line riskeistä ja vaatimustenmukaisuudesta

Vaatimustenmukaisuusvaltuutuksia ei koskaan suunniteltu ajamaan tietoturvaväylää. Niiden tulisi olla tukevassa asemassa dynaamisessa turvallisuuskehyksessä, jota ohjaa riskien arviointi, jatkuva seuranta ja suljetun kierroksen korjaus.