الحد الأدنى من الامتثال القابل للتطبيق: ما الذي يجب أن تهتم به ولماذا

في مجال أمن تكنولوجيا المعلومات، علينا أن نهتم بكل شيء. أي مشكلة، مهما كانت صغيرة، يمكن أن تصبح وسيلة لتنفيذ التعليمات البرمجية عن بعد، أو على الأقل، نقطة انطلاق للجهات الفاعلة في مجال التهديد للعيش خارج الأرض وتحويل أدواتنا ضدنا. ليس من المستغرب أن يواجه موظفو أمن تكنولوجيا المعلومات الإرهاق والتوتر. وفق بحث أجرته مجموعة Enterprise Strategy Group وISSA، يعتقد حوالي نصف المتخصصين في مجال أمن تكنولوجيا المعلومات أنهم سيتركون وظائفهم الحالية خلال الـ 12 شهرًا القادمة.

تتحمل فرق الأمن المسؤولية المهنية - والآن، بالنسبة لكبار مسؤولي أمن المعلومات (CISOs)، مسؤولة شخصيا - لأمن منظماتهم. ولكن في مجالات أخرى من تكنولوجيا المعلومات والتكنولوجيا، هناك عقلية مختلفة تماما. من شعار مارك زوكربيرج "التحرك بسرعة وكسر الأشياء"إلى إريك ريس" العجاف بدء التشغيل ونموذج الحد الأدنى من المنتجات القابلة للتطبيق (MVP)، فإن الفكرة في هذه المجالات هي التحرك بسرعة ولكن أيضًا تقديم ما يكفي فقط حتى تتمكن المنظمة من المضي قدمًا والتحسن.

الآن، لا تستطيع فرق أمن تكنولوجيا المعلومات تبني هذا النموذج. هناك الكثير من اللوائح التي يجب مراعاتها. ولكن ما الذي يمكننا أن نتعلمه من التمرين الذهني حول الحد الأدنى من الامتثال القابل للتطبيق (MVC)، وكيف يمكننا استخدام هذه المعلومات لمساعدتنا في نهجنا؟

ما الذي سيتضمنه MVC؟

يتضمن MVC تغطية ما هو مطلوب ليكون آمنًا بشكل فعال. ولتحقيق ذلك، عليك أن تفهم ما لديك وما هو ضروري للحفاظ على الأمان، وما هي القواعد أو اللوائح التي يجب عليك إثبات أنك ملتزم بها.

بالنسبة لإدارة الأصول، من الأفضل أن تعرف جميع الأصول التي قمت بتثبيتها. بدون هذا المستوى من الرقابة، كيف يمكنك أن تعتبر نفسك آمنًا؟ بالنسبة لنهج MVC، هل تحتاج إلى رؤية 100% لما لديك؟

في الواقع، تهدف مشاريع إدارة الأصول مثل قواعد بيانات إدارة التكوين (CMDBs) إلى توفير الرؤية الكاملة لأصول تكنولوجيا المعلومات، لكنها ليست دقيقة بنسبة 100٪ أبدًا. في الماضي، كانت دقة الأصول تتراوح بين 70% إلى 80%، وحتى أفضل عمليات النشر اليوم غير قادرة على تحقيق الرؤية الكاملة والاحتفاظ بها عند هذا الحد. لذا، هل يجب أن ننفق ميزانية MVC الخاصة بنا على هذا المجال؟ نعم، ولكن ليس تمامًا بالطريقة التي قد نفكر بها تقليديًا.

أخبرني أحد نواب رئيس أمن المعلومات أنه يفهم المثل الأعلى للتغطية الكاملة، لكن ذلك لم يكن ممكنًا؛ وبدلاً من ذلك، فهو يهتم بالرؤية الكاملة والمستمرة للبنية التحتية الحيوية للمؤسسة - حوالي 2.5% من إجمالي الأصول - بينما يتم تتبع أعباء العمل الأخرى بشكل متكرر قدر الإمكان. لذا، في حين أن الرؤية لا تزال عنصرًا ضروريًا لبرامج أمن تكنولوجيا المعلومات، إلا أن الجهود يجب أن تذهب إلى حماية الأصول الأكثر خطورة أولاً. ومع ذلك، يعد هذا هدفًا قصير المدى، حيث إنك مجرد كشف واحد عن ثغرة أمنية بعيدًا عن أن تصبح الأصول منخفضة المخاطر أصولًا عالية المخاطر. أثناء القيام بهذه العملية، لا تخلط بين الامتثال والأمان - فهما ليسا نفس الشيء. قد لا تكون الأعمال المتوافقة آمنة.

تخطيط التنظيم

كجزء من MVC، علينا أن نفكر في اللوائح وكيفية الالتزام بها. التحدي الذي يواجه فرق الأمن هو كيفية التفكير مسبقًا حول هذه القواعد. يتمثل النهج النموذجي في إدخال التشريع، ثم معرفة مكان تطبيقه على تطبيقاتنا، ثم إجراء تغييرات على الأنظمة حسب الحاجة. ومع ذلك، يمكن أن يكون هذا نهجًا متوقفًا للغاية يتضمن التغيير - وبالتالي التكلفة - في كل مرة يتم فيها وضع تنظيم جديد أو يحدث تغيير كبير.

كيف يمكننا أن نجعل هذه العملية أسهل لفرقنا؟ بدلاً من النظر إلى كل لائحة على حدة، هل يمكننا أن ننظر إلى ما هو مشترك بين اللوائح المطبقة، ثم نستخدم ذلك لتقليل حجم العمل المطلوب للامتثال لها جميعاً؟ بدلاً من إخضاع الفريق لتمارين ضخمة لجعل الأنظمة متوافقة، ما الذي يمكننا إما أن نخرجه من النطاق أو نستخدمه كخدمة لتوفير البنية التحتية بطريقة آمنة بدلاً من ذلك؟ وعلى نحو مماثل، هل يمكننا استخدام أفضل الممارسات الشائعة مثل عناصر التحكم السحابية لإزالة مجموعات كاملة من المشكلات، بدلاً من النظر في كل مشكلة على حدة؟

وفي قلب هذا النهج، يتعين علينا تقليل النفقات العامة المتعلقة بالأمن والتركيز على ما يمثل أكبر المخاطر التي تواجه أعمالنا. وبدلاً من التفكير في تكنولوجيات محددة، يمكننا أن ندرس هذه المشاكل باعتبارها قضايا تتعلق بالعمليات والأشخاص، لأن القواعد التنظيمية سوف تتطور وتتغير دائماً مع تقدم السوق. إن اتباع هذه العقلية يجعل التخطيط الأمني ​​أسهل، لأنه لا يتورط في بعض التفاصيل التي يمكن أن تبتلي فرقنا عندما يتم إنشاء العمليات للنظر في مكافحة التطرف العنيف وبيانات التهديدات بدلاً من مصطلحات المخاطر العملية حول المشكلة الحقيقية.

إن فكرة القيام بالحد الأدنى المطلوب لتلبية متطلبات السوق أو تمرير مجموعة من القواعد قد تكون جذابة في ظاهرها. لكن عقلية MVP لا تتعلق فقط بالوصول إلى مستوى معين ثم الاستقرار فيه. وبدلاً من ذلك، يتعلق الأمر بالوصول إلى هذا الحد الأدنى من المعايير ومن ثم التكرار بأسرع ما يمكن لتحسين الوضع بشكل أكبر. بالنسبة لفرق الأمن، يمكن أن تكون عقلية التحسين المستمر والبحث عن طرق لتقليل المخاطر بديلاً مفيدًا لنموذج أمن تكنولوجيا المعلومات التقليدي. من خلال التركيز على التحسينات التي سيكون لها أكبر تأثير على المخاطر في أقصر إطار زمني، يمكنك زيادة فعاليتك وتقليل المخاطر بشكل عام.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why