حداقل انطباق قابل دوام: آنچه شما باید به آن اهمیت دهید و چرا

در فضای امنیت فناوری اطلاعات، ما باید به همه چیز اهمیت دهیم. هر مسئله‌ای، مهم نیست که چقدر کوچک باشد، می‌تواند وسیله‌ای برای اجرای کد از راه دور یا حداقل، نقطه فرود عوامل تهدید برای زندگی خارج از زمین و تبدیل ابزارهای خودمان علیه ما باشد. تعجب آور نیست که کارکنان امنیت فناوری اطلاعات با فرسودگی و استرس مواجه می شوند. مطابق با تحقیق توسط Enterprise Strategy Group و ISSA، حدود نیمی از متخصصان امنیت فناوری اطلاعات فکر می کنند که شغل فعلی خود را در 12 ماه آینده ترک خواهند کرد.

تیم های امنیتی به طور حرفه ای مسئول هستند - و اکنون، برای افسران ارشد امنیت اطلاعات (CISO) شخصا مسئول - برای امنیت سازمان های خود. با این حال، در سایر حوزه‌های فناوری اطلاعات و فناوری، طرز فکر کاملاً متفاوتی وجود دارد. از شعار مارک زاکربرگ در مورد "سریع حرکت کنید و همه چیز را بشکنید"از طریق اریک ریس" راه اندازی ناب و مدل حداقل محصول قابل دوام (MVP)، فکر در این زمینه ها حرکت سریع و همچنین ارائه به اندازه کافی است تا سازمان بتواند به جلو حرکت کند و بهبود یابد.

اکنون، تیم‌های امنیتی فناوری اطلاعات نمی‌توانند این مدل را بپذیرند. مقررات بسیار زیادی وجود دارد که نمی توان در نظر گرفت. اما چه چیزی می توانیم از یک تمرین ذهنی در مورد حداقل انطباق قابل دوام (MVC) یاد بگیریم، و چگونه می توانیم از این اطلاعات برای کمک به رویکردمان استفاده کنیم؟

MVC چه چیزی را شامل می شود؟

MVC شامل پوشاندن چیزهایی است که برای ایمن بودن موثر لازم است. برای رسیدن به این هدف، باید بدانید که چه چیزی در اختیار دارید و چه چیزی برای حفظ امنیت ضروری است، و چه قوانین یا مقرراتی را باید برای نشان دادن اینکه با آنها مطابقت دارید، درک کنید.

برای مدیریت دارایی، در حالت ایده آل باید همه دارایی هایی را که نصب کرده اید بشناسید. بدون آن سطح نظارت، چگونه می توانید خود را ایمن بنامید؟ برای یک رویکرد MVC، آیا به بینش 100٪ در مورد آنچه دارید نیاز دارید؟

در واقع، پروژه‌های مدیریت دارایی مانند پایگاه‌های داده مدیریت پیکربندی (CMDB) با هدف ارائه هستند دید کامل به دارایی های فناوری اطلاعات، اما هرگز 100٪ دقیق نیستند. در گذشته، دقت دارایی حدود 70% تا 80% بود و حتی بهترین استقرارهای امروزی قادر به مشاهده کامل و حفظ آن نیستند. بنابراین، آیا باید بودجه MVC خود را در این زمینه صرف کنیم؟ بله، اما نه آن طور که ما ممکن است به طور سنتی فکر کنیم.

یکی از معاونین CISO به من گفت که ایده‌آل پوشش کامل را درک می‌کند، اما این امکان پذیر نیست. در عوض، او به دید کامل و مداوم زیرساخت های حیاتی سازمان - حدود 2.5٪ از کل دارایی ها - اهمیت می دهد، در حالی که بارهای کاری دیگر تا آنجا که ممکن بود ردیابی می شدند. بنابراین، در حالی که دید هنوز یک عنصر ضروری برای برنامه‌های امنیت فناوری اطلاعات است، تلاش باید در ابتدا برای محافظت از دارایی‌های با بالاترین خطر انجام شود. با این حال، این یک هدف کوتاه مدت است، زیرا شما تنها یک افشای آسیب‌پذیری را از تبدیل شدن یک دارایی کم‌ریسک به دارایی پرخطر فاصله دارید. در حین انجام این فرآیند، رعایت امنیت را با هم مخلوط نکنید - آنها یکسان نیستند. یک کسب و کار سازگار ممکن است ایمن نباشد.

برنامه ریزی مقررات

به عنوان بخشی از MVC، ما باید به قوانین و نحوه رعایت آنها فکر کنیم. چالش تیم های امنیتی این است که چگونه از قبل درباره این قوانین فکر کنند. رویکرد معمولی این است که قانون را وارد کنیم، سپس ببینیم کجا در برنامه های ما اعمال می شود، و سپس در صورت نیاز تغییراتی در سیستم ها ایجاد کنیم. با این حال، این می تواند یک رویکرد بسیار توقف شروع باشد که هر بار که مقررات جدیدی وارد می شود یا تغییر قابل توجهی رخ می دهد، شامل تغییر - و در نتیجه هزینه - می شود.

چگونه می‌توانیم این فرآیند را برای تیم‌هایمان آسان‌تر کنیم؟ آیا به جای نگاه کردن به هر یک از مقررات به طور جداگانه، می‌توانیم به آنچه در مقررات قابل اجرا مشترک است نگاه کنیم و سپس از آن برای کاهش میزان کار مورد نیاز با رعایت همه آنها استفاده کنیم؟ به‌جای اینکه تیم را در تمرین‌های بزرگ برای انطباق با سیستم‌ها قرار دهیم، چه چیزی را می‌توانیم از محدوده خارج کنیم یا به‌عنوان خدماتی برای ارائه زیرساخت به روشی امن استفاده کنیم؟ به طور مشابه، آیا می‌توانیم از بهترین شیوه‌های رایج مانند کنترل‌های ابری برای حذف مجموعه‌ای از مشکلات استفاده کنیم، نه اینکه به هر موضوع به صورت جداگانه نگاه کنیم؟

در قلب این رویکرد، ما باید هزینه‌های سربار مربوط به امنیت را کاهش دهیم و بر آنچه که بزرگترین خطرات برای کسب‌وکارمان است تمرکز کنیم. به جای اینکه به فناوری‌های خاص فکر کنیم، می‌توانیم این مشکلات را به‌عنوان فرآیندها و مسائل افراد بررسی کنیم، زیرا مقررات همیشه با ادامه بازار تغییر می‌کنند و تغییر می‌کنند. در نظر گرفتن این طرز فکر، برنامه ریزی امنیتی را آسان تر می کند، زیرا در برخی از جزئیاتی که می تواند تیم ما را آزار دهد، زمانی که فرآیندهایی برای بررسی CVE ها و داده های تهدید ساخته شده اند، غرق نمی شود و نه در شرایط ریسک عملی در مورد آنچه واقعاً یک مسئله است.

ایده انجام حداقل های لازم برای برآورده کردن خواسته های بازار یا تصویب مجموعه ای از قوانین ممکن است در ارزش ظاهری جذاب باشد. اما طرز فکر MVP فقط رسیدن به یک سطح خاص و سپس استقرار در آنجا نیست. در عوض، رسیدن به حداقل استاندارد و سپس تکرار هر چه سریعتر برای بهبود بیشتر وضعیت است. برای تیم های امنیتی، این طرز فکر بهبود مستمر و جستجوی راه هایی برای کاهش ریسک می تواند جایگزین مفیدی برای مدل سنتی امنیت فناوری اطلاعات باشد. با تمرکز بر روی بهبودهایی که بیشترین تأثیر ریسک را در کوتاه ترین بازه زمانی خواهند داشت، می توانید اثربخشی خود را افزایش دهید و به طور کلی ریسک را کاهش دهید.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why