Mik a kivételes elvárásai?

Mik a kivételes elvárásai?

Időbélyeg: 20. október 2023. 9:00
What are Your Exception Expectations? PlatoBlockchain Data Intelligence. Vertical Search. Ai.

A kiberbiztonságban mindig van egy új, fényes objektum: nulla bizalom, mesterséges intelligencia, jelszó nélküli hitelesítés, kvantumszámítás. Ez csak néhány a legújabb felkapott témák közül, és a szervezetek nyomást gyakorolnak arra, hogy elfogadják ezeket, hogy megelőzzék a jelenlegi fenyegetéseket.

Noha ezek az új technológiák minden bizonnyal relevánsak, nem biztos, hogy olyan fontosak, mint a „kiberalapok” megfelelő megalkotása. Új élvonalbeli eszközök vásárlása vagy egy teljesen új architektúra tervezése nem fogja helyettesíteni a sikeres biztonsági programot felépítő alapvető, strukturális alapokon való kiválóságot. Ezen alapvető megfontolások egyik példája a „kivételek” területe. 

Egyszerűen minden vállalkozásban magától értetődő, hogy lesznek kivételek a kiberbiztonsági politikák és eljárások alól. Ezek a javítási kivételektől a többtényezős hitelesítési (MFA) kivételeken át a hozzáférési és tűzfalkivételekig terjednek. Az, hogy egy szervezet hogyan dolgozza fel és nyomon követi a kivételkéréseket, valamint értékeli a kivételekhez kapcsolódó kockázatokat, nagyban befolyásolhatja azt, hogy mennyire könnyű vagy nehéz a szervezet számára a kibertámadások megfigyelése, észlelése és reagálása.

Indokolt-e a kiberbiztonsági kivétel? 

A támadók kihasználják a kivételeket, mert könnyebb utat biztosítanak a szervezet környezetébe. Például támogattam egy katonai szerződést, és a parancsnokság elindította az alkalmazások engedélyezési listáját. A vezető tisztek segítői kivételeket kértek az idősebbek számára, mert attól tartottak, hogy a technológia „beavatkozhat” a vezető tisztek munkájába. Azonban a magas rangú tisztek pontosan azok a csoportok, akiknek további biztonsági védelemre volt szükségük. 

Találkozhattunk és elmagyaráztuk a segédeknek, hogyan védhetné meg jobban a technológia ezeket a VIP-tagokat, és egyeztettünk az irodáikkal, hogy gyorsan megoldjuk a technológiával kapcsolatos problémákat. Néhány aggály ellenére a VIP-k végül jobban védettek voltak, és a kivételre vonatkozó kérelmeket elvetették. Nem kellett más, mint leülni, megbeszélni a felhasználók aggodalmait, és türelmesen elmagyarázni, hogyan lehet enyhíteni ezen aggodalmakon. 

A kivételek végső soron azt jelzik, hogy mennyire lehet jó a biztonság – ha kevesebb kivétel lenne (vagy egyáltalán nem). Íme néhány dolog, amit érdemes szem előtt tartani:

  • Gondoskodjon arról, hogy világos és tömör eljárást alkalmazzon a kivételek kérésére és jóváhagyására. (Tipp: a kényelem nem jó alap a kivételek megadásához!) Ennek a folyamatnak összhangban kell lennie más biztonsági szabályzatokkal, például a szervezet elfogadható felhasználási szabályzatával.
  • A folyamatnak tartalmaznia kell egy kockázatértékelést a kivétel hatásának meghatározására.
  • Kövesse nyomon az összes kivételt, hogy megbizonyosodjon arról, hogy nem élnek vissza velük.
  • Ha túl sok kivételkérelme van, előfordulhat, hogy módosítania kell a házirendet, hogy az alkalmazottak biztonságosan végezhessék munkájukat.
  • A kivételeknek le kell járniuk. Ha szükséges, át lehet őket tekinteni, hogy érvényesek-e még.

Ha alulmarad a kiberbiztonság alapjaiban, például egy kivételes folyamatban, akkor biztonsági problémákkal kell szembenéznie, függetlenül attól, hogy mennyi időt és pénzt fektet be az új technológiákba. Az automatizálás és más megoldások segíthetnek, de nem törölnek el minden problémát, még azokat sem, amelyek új emberi viselkedést és folyamatokat igényelnek. Akárcsak Achilles a görög mitológiából, könnyű elfelejteni egy gyenge pontot, ha sokáig együtt élünk vele. Akhilleuszhoz hasonlóan az ilyen feledékenységnek is súlyos következményei lehetnek.

Tovább Partneri perspektívák a Google Cloudból

Időbélyeg:

Még több Sötét olvasmány