Il y a toujours un nouvel objet brillant à rechercher en matière de cybersécurité : le zéro confiance, l’IA, l’authentification sans mot de passe, l’informatique quantique. Ce ne sont là que quelques-uns des derniers sujets d’actualité, et les organisations se sentent obligées de les adopter afin de garder une longueur d’avance sur les menaces actuelles.
Même si ces nouvelles technologies sont certainement pertinentes, elles ne sont peut-être pas aussi importantes que de bien maîtriser les « bases du cyberespace ». L’achat de nouveaux outils de pointe ou la planification d’une toute nouvelle architecture ne remplacera pas l’excellence dans les fondements structurels fondamentaux qui bâtissent un programme de sécurité réussi. Un exemple de ces considérations fondamentales est le domaine des « exceptions ».
Il va de soi dans toute entreprise qu’il y aura des exceptions aux politiques et procédures de cybersécurité. Celles-ci vont des exceptions de correctifs aux exceptions d'authentification multifacteur (MFA) en passant par les exceptions d'accès et de pare-feu. La manière dont une organisation traite et suit les demandes d'exception et évalue les risques associés aux exceptions peut avoir un impact majeur sur la facilité ou la difficulté pour l'organisation de surveiller, détecter et répondre aux cyberattaques.
Les exceptions en matière de cybersécurité sont-elles justifiées ?
Les attaquants exploiteront les exceptions car elles facilitent l’accès à l’environnement d’une organisation. Par exemple, j'ai soutenu un contrat militaire et le commandement déployait la liste blanche des applications. Les assistants des officiers supérieurs ont demandé des exceptions pour ces officiers supérieurs parce qu'ils craignaient que la technologie puisse « interférer » avec le travail des officiers supérieurs. Cependant, les officiers supérieurs constituaient exactement le groupe qui avait besoin d’une protection de sécurité supplémentaire.
Nous avons pu rencontrer et expliquer aux assistants comment la technologie protégerait mieux ces VIP, et nous nous coordonnerions avec leurs bureaux pour résoudre rapidement tout problème lié à la technologie. Malgré quelques réticences, les VIP ont finalement été mieux protégés et les demandes d’exception ont été abandonnées. Il suffisait de s'asseoir et de discuter des inquiétudes des utilisateurs et de leur expliquer patiemment comment apaiser ces inquiétudes.
Les exceptions indiquent en fin de compte à quel point votre sécurité pourrait être bonne – s’il y avait moins d’exceptions (voire aucune). Voici quelques éléments à garder à l’esprit :
- Assurez-vous de disposer d’un processus clair et concis pour demander et approuver des exceptions. (Indice : la commodité n'est pas une bonne base pour accorder des exceptions !) Ce processus doit s'aligner sur d'autres politiques de sécurité, telles que la politique d'utilisation acceptable de l'organisation.
- Le processus devrait inclure une évaluation des risques pour déterminer l’impact de l’exception.
- Suivez toutes les exceptions pour vous assurer qu’elles ne sont pas utilisées de manière abusive.
- Si vous avez trop de demandes d'exception, vous devrez peut-être modifier votre politique afin que les employés puissent effectuer leur travail en toute sécurité.
- Les exceptions devraient expirer. Si nécessaire, ils peuvent être révisés pour voir s’ils sont toujours valables.
Si vous ne respectez pas les principes fondamentaux de la cybersécurité, comme un processus d'exception, vous serez confronté à des problèmes de sécurité, quel que soit le temps et l'argent que vous investissez dans les nouvelles technologies. L'automatisation et d'autres solutions peuvent aider, mais elles n'effacent pas tous les problèmes, y compris ceux qui nécessitent de nouveaux comportements et processus humains. Tout comme Achille dans la mythologie grecque, il est facile d'oublier un point faible si on vit avec lui depuis longtemps. Et tout comme Achille, un tel oubli peut avoir de graves conséquences.
En savoir plus Points de vue des partenaires de Google Cloud
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/google-cloud-security/what-are-your-exception-expectations
- :est
- :ne pas
- a
- Capable
- acceptable
- accès
- Achille
- Supplémentaire
- adopter
- devant
- AI
- aligner
- Tous
- toujours
- an
- ainsi que les
- tous
- Application
- architecture
- SONT
- Réservé
- AS
- Évaluation de risque climatique
- associé
- At
- Authentification
- Automation
- Basics
- base
- BE
- car
- comportements
- va
- Améliorée
- construire
- mais
- Achat
- CAN
- Peut obtenir
- Assurément
- chasse
- clair
- informatique
- concerné
- concis
- Conséquences
- considérations
- contrat
- commodité
- coordonner
- pourriez
- Courant
- En investissant dans une technologie de pointe, les restaurants peuvent non seulement rester compétitifs dans un marché en constante évolution, mais aussi améliorer significativement l'expérience de leurs clients.
- cyber
- cyber-attaques
- Cybersécurité
- Malgré
- détecter
- Déterminer
- difficile
- discuter
- Don
- fait
- down
- chuté
- facilité
- plus facilement
- Easy
- employés
- assurer
- Entreprise
- Environment
- Chaque
- exemple
- exception
- attentes
- Expliquer
- expliquant
- Chute
- échouer
- moins
- pare-feu
- Pour
- de
- fondamental
- Notions de base
- obtenez
- obtention
- donné
- aller
- Bien
- octroi
- grec
- Réservation de groupe
- Vous avez
- vous aider
- ici
- HOT
- Comment
- How To
- Cependant
- HTTPS
- humain
- i
- if
- Impact
- important
- in
- comprendre
- Y compris
- indiquer
- interférer
- développement
- Investir
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- jpg
- juste
- XNUMX éléments à
- Nouveautés
- Levier
- comme
- Location
- Longtemps
- majeur
- de nombreuses
- Mai..
- Découvrez
- MFA
- pourrait
- Militaire
- contrat militaire
- l'esprit
- modifier
- de l'argent
- Surveiller
- PLUS
- beaucoup
- authentification multifactorielle
- nécessaire
- Besoin
- besoin
- Nouveauté
- Les nouvelles technologies
- Aucun
- objet
- of
- les officiers
- bureaux
- on
- ONE
- or
- organisation
- organisations
- Autre
- ande
- patcher
- chemin
- patiemment
- perspectives
- et la planification de votre patrimoine
- Platon
- Intelligence des données Platon
- PlatonDonnées
- politiques
- politique
- la parfaite pression
- Problème
- procédures
- processus
- les process
- Programme
- protéger
- protégé
- protection
- fournir
- Quantum
- l'informatique quantique
- vite.
- gamme
- RE
- Indépendamment
- pertinent
- remplacer
- demandes
- exigent
- Réagir
- examiné
- bon
- Analyse
- évaluation des risques
- risques
- Roulant
- s
- en toute sécurité
- sécurité
- les politiques de sécurité
- sur le lien
- supérieur
- sévère
- Shorts
- devrait
- simplement
- Séance
- So
- Solutions
- quelques
- Spot
- rester
- Encore
- de construction
- réussi
- tel
- Appareils
- technologie
- Les technologies
- Technologie
- qui
- Les
- La Région
- leur
- Les
- Là.
- Ces
- l'ont
- des choses
- ceux
- des menaces
- fiable
- à
- trop
- a
- les outils
- Les sujets
- La confiance
- En fin de compte
- fondements
- utilisé
- utilisateurs
- Info de contact.
- vips
- était
- we
- ont été
- Quoi
- la totalité
- sera
- comprenant
- A gagné
- activités principales
- pourra
- Vous n'avez
- Votre
- zéphyrnet
- zéro
- confiance zéro