ในด้านความปลอดภัยด้านไอที เราต้องใส่ใจในทุกสิ่ง ปัญหาใดๆ ไม่ว่าจะเล็กน้อยแค่ไหนก็สามารถกลายเป็นเครื่องมือสำหรับการเรียกใช้โค้ดจากระยะไกล หรืออย่างน้อยที่สุดก็เป็นจุดเชื่อมโยงไปถึงของผู้คุกคามที่จะใช้ชีวิตนอกพื้นที่และหันเครื่องมือของเรามาต่อต้านเรา จึงไม่น่าแปลกใจที่เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีต้องเผชิญกับความเหนื่อยหน่ายและความเครียด ตาม การวิจัยโดย Enterprise Strategy Group และ ISSA ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีประมาณครึ่งหนึ่งคิดว่าพวกเขาจะออกจากงานปัจจุบันในอีก 12 เดือนข้างหน้า
ทีมรักษาความปลอดภัยมีหน้าที่รับผิดชอบอย่างมืออาชีพ และตอนนี้สำหรับหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ต้องรับผิดชอบเป็นการส่วนตัว — เพื่อความปลอดภัยขององค์กรของตน แต่ในด้านอื่นๆ ของไอทีและเทคโนโลยีกลับมีกรอบความคิดที่แตกต่างไปจากเดิมอย่างสิ้นเชิง จากมนต์เสน่ห์ของ Mark Zuckerberg ว่า “เคลื่อนที่เร็วและทำลายสิ่งของ” ผ่านไปยัง Eric Ries' การเริ่มต้นแบบ Lean และโมเดลผลิตภัณฑ์ที่มีศักยภาพขั้นต่ำ (MVP) แนวคิดในด้านเหล่านี้คือการก้าวอย่างรวดเร็ว แต่ยังต้องส่งมอบให้เพียงพอเพื่อให้องค์กรสามารถก้าวไปข้างหน้าและปรับปรุงได้
ขณะนี้ทีมรักษาความปลอดภัยด้านไอทีไม่ยอมรับโมเดลนี้ มีกฎระเบียบมากเกินไปที่จะต้องพิจารณา แต่เราสามารถเรียนรู้อะไรได้บ้างจากการฝึกจิตเกี่ยวกับการปฏิบัติตามข้อกำหนดขั้นต่ำ (MVC) และเราจะใช้ข้อมูลนั้นเพื่อช่วยเราในแนวทางของเราได้อย่างไร
MVC จะเกี่ยวข้องกับอะไร?
MVC เกี่ยวข้องกับการปกปิดสิ่งที่จำเป็นเพื่อความปลอดภัยอย่างมีประสิทธิภาพ เพื่อให้บรรลุเป้าหมายนี้ คุณต้องเข้าใจสิ่งที่คุณมีอยู่และสิ่งที่สำคัญในการรักษาความปลอดภัย และกฎหรือข้อบังคับใดที่คุณต้องแสดงให้เห็นว่าคุณปฏิบัติตาม
สำหรับการจัดการสินทรัพย์ ตามหลักการแล้ว คุณจะต้องทราบสินทรัพย์ทั้งหมดที่คุณติดตั้งไว้ หากปราศจากการกำกับดูแลในระดับนั้น คุณจะเรียกตัวเองว่าปลอดภัยได้อย่างไร? สำหรับแนวทาง MVC คุณจะต้องมีข้อมูลเชิงลึก 100% เกี่ยวกับสิ่งที่คุณมีหรือไม่
ในความเป็นจริง โครงการการจัดการสินทรัพย์ เช่น ฐานข้อมูลการจัดการการกำหนดค่า (CMDB) มีเป้าหมายที่จะให้บริการ การมองเห็นสินทรัพย์ไอทีอย่างเต็มรูปแบบแต่ก็ไม่เคยถูกต้อง 100% ในอดีต ความแม่นยำของสินทรัพย์อยู่ที่ประมาณ 70% ถึง 80% และแม้แต่การใช้งานที่ดีที่สุดในปัจจุบันก็ไม่สามารถมองเห็นได้ทั้งหมดและคงไว้ตรงนั้น แล้วเราควรใช้งบประมาณ MVC ในพื้นที่นี้หรือไม่? ใช่ แต่ไม่ใช่ในลักษณะที่เราคิดตามธรรมเนียม
รอง CISO คนหนึ่งบอกฉันว่าเขาเข้าใจอุดมคติของการครอบคลุมเต็มรูปแบบ แต่ก็เป็นไปไม่ได้ แต่เขาให้ความสำคัญกับการมองเห็นโครงสร้างพื้นฐานที่สำคัญขององค์กรอย่างสมบูรณ์และต่อเนื่อง — ประมาณ 2.5% ของสินทรัพย์ทั้งหมด — ในขณะที่ปริมาณงานอื่นๆ จะถูกติดตามบ่อยที่สุดเท่าที่จะทำได้ ดังนั้น แม้ว่าการมองเห็นจะยังคงเป็นองค์ประกอบที่จำเป็นสำหรับโปรแกรมรักษาความปลอดภัยด้านไอที แต่ความพยายามควรไปที่การปกป้องสินทรัพย์ที่มีความเสี่ยงสูงสุดก่อน อย่างไรก็ตาม นี่เป็นเป้าหมายระยะสั้น เนื่องจากคุณเป็นเพียงช่องโหว่เดียวที่เปิดเผยจากสินทรัพย์ที่มีความเสี่ยงต่ำกลายเป็นสินทรัพย์ที่มีความเสี่ยงสูง ในขณะที่ดำเนินการตามกระบวนการนี้ อย่าเอาการปฏิบัติตามกฎระเบียบไปปะปนกับการรักษาความปลอดภัย เพราะสิ่งเหล่านี้ไม่เหมือนกัน ธุรกิจที่ปฏิบัติตามข้อกำหนดอาจไม่ปลอดภัย
การวางแผนกฎระเบียบ
ในฐานะส่วนหนึ่งของ MVC เราต้องคิดถึงกฎระเบียบและวิธีปฏิบัติตามกฎระเบียบเหล่านั้น ความท้าทายสำหรับทีมรักษาความปลอดภัยคือวิธีคิดล่วงหน้าเกี่ยวกับกฎเหล่านี้ แนวทางทั่วไปคือการนำกฎหมายมาใช้ จากนั้นดูว่าจะนำไปใช้กับแอปพลิเคชันของเราได้ที่ใด จากนั้นจึงทำการเปลี่ยนแปลงระบบตามความจำเป็น อย่างไรก็ตาม นี่อาจเป็นแนวทางแบบหยุด-เริ่มต้นที่เกี่ยวข้องกับการเปลี่ยนแปลงและค่าใช้จ่าย ทุกครั้งที่มีการนำกฎระเบียบใหม่เข้ามาหรือมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น
เราจะทำให้กระบวนการนี้ง่ายขึ้นสำหรับทีมของเราได้อย่างไร? แทนที่จะดูกฎเกณฑ์แต่ละข้อแยกกัน เราจะดูได้ไหมว่ากฎเกณฑ์ใดที่บังคับใช้โดยทั่วไป แล้วใช้กฎนั้นเพื่อลดปริมาณงานที่ต้องปฏิบัติตามกฎเกณฑ์ทั้งหมด แทนที่จะให้ทีมผ่านการฝึกครั้งใหญ่เพื่อนำระบบเข้าสู่การปฏิบัติตามกฎระเบียบ เราจะเอาอะไรออกจากขอบเขตหรือใช้เป็นบริการเพื่อจัดหาโครงสร้างพื้นฐานด้วยวิธีที่ปลอดภัยแทนได้ ในทำนองเดียวกัน เราสามารถใช้แนวทางปฏิบัติที่ดีที่สุดทั่วไป เช่น การควบคุมบนคลาวด์เพื่อขจัดปัญหาทั้งชุด แทนที่จะพิจารณาทีละประเด็นได้หรือไม่
หัวใจสำคัญของแนวทางนี้ เราต้องลดค่าใช้จ่ายด้านความปลอดภัยและมุ่งเน้นไปที่สิ่งที่แสดงถึงความเสี่ยงที่ใหญ่ที่สุดสำหรับธุรกิจของเรา แทนที่จะคิดถึงเทคโนโลยีที่เฉพาะเจาะจง เราสามารถตรวจสอบปัญหาเหล่านี้เป็นปัญหาของกระบวนการและผู้คนได้ เนื่องจากกฎระเบียบจะมีการพัฒนาและเปลี่ยนแปลงอยู่เสมอเมื่อตลาดดำเนินไป การใช้กรอบความคิดนี้ทำให้การวางแผนด้านความปลอดภัยง่ายขึ้น เนื่องจากไม่ได้จมอยู่กับรายละเอียดบางอย่างที่อาจทำให้ทีมของเราลำบาก เมื่อกระบวนการถูกสร้างขึ้นเพื่อดู CVE และข้อมูลภัยคุกคาม แทนที่จะอยู่ในเงื่อนไขความเสี่ยงในทางปฏิบัติเกี่ยวกับสิ่งที่เป็นปัญหาจริงๆ
แนวคิดในการทำสิ่งขั้นต่ำที่จำเป็นเพื่อตอบสนองความต้องการของตลาดหรือผ่านกฎเกณฑ์ต่างๆ อาจน่าสนใจตามมูลค่าที่ตราไว้ แต่กรอบความคิดของ MVP ไม่ใช่แค่การก้าวไปสู่ระดับที่เฉพาะเจาะจงแล้วปักหลักอยู่ตรงนั้น แต่เป็นการบรรลุมาตรฐานขั้นต่ำนั้นแล้วทำซ้ำให้เร็วที่สุดเท่าที่จะเป็นไปได้เพื่อปรับปรุงสถานการณ์ให้ดียิ่งขึ้น สำหรับทีมรักษาความปลอดภัย แนวคิดในการปรับปรุงอย่างต่อเนื่องและการมองหาวิธีลดความเสี่ยงอาจเป็นทางเลือกที่มีประโยชน์แทนโมเดลความปลอดภัยด้านไอทีแบบเดิม ด้วยการมุ่งเน้นไปที่การปรับปรุงใดที่จะมีผลกระทบต่อความเสี่ยงมากที่สุดในกรอบเวลาที่สั้นที่สุด คุณสามารถเพิ่มประสิทธิภาพและลดความเสี่ยงโดยทั่วไปได้
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 12
- 12 เดือน
- a
- สามารถ
- เกี่ยวกับเรา
- ตาม
- ความถูกต้อง
- ถูกต้อง
- บรรลุ
- นักแสดง
- กับ
- ก่อน
- จุดมุ่งหมาย
- ทั้งหมด
- ด้วย
- ทางเลือก
- เสมอ
- จำนวน
- an
- และ
- ใด
- อุทธรณ์
- เหมาะสม
- การใช้งาน
- มีผลบังคับใช้
- เข้าใกล้
- เป็น
- AREA
- พื้นที่
- รอบ
- AS
- สินทรัพย์
- การจัดการสินทรัพย์
- สินทรัพย์
- At
- ไป
- BE
- เพราะ
- กลายเป็น
- สมควร
- รับ
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- ที่ใหญ่ที่สุด
- จมปลัก
- ทำลาย
- นำมาซึ่ง
- นำ
- งบ
- สร้าง
- เผาไหม้
- ธุรกิจ
- ธุรกิจ
- แต่
- by
- โทรศัพท์
- CAN
- ซึ่ง
- ท้าทาย
- เปลี่ยนแปลง
- การเปลี่ยนแปลง
- หัวหน้า
- CISO
- เมฆ
- รหัส
- COM
- ร่วมกัน
- อย่างสมบูรณ์
- การปฏิบัติตาม
- ไม่ขัดขืน
- ปฏิบัติตาม
- จดจ่อ
- องค์ประกอบ
- พิจารณา
- ต่อเนื่องกัน
- การควบคุม
- ความคุ้มครอง
- ครอบคลุม
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ปัจจุบัน
- ข้อมูล
- ฐานข้อมูล
- ส่งมอบ
- ความต้องการ
- สาธิต
- การใช้งาน
- รอง
- รายละเอียด
- ต่าง
- การเปิดเผย
- do
- ทำ
- การทำ
- ลง
- แต่ละ
- ง่ายดาย
- มีประสิทธิภาพ
- ประสิทธิผล
- ความพยายาม
- ทั้ง
- ธาตุ
- โอบกอด
- พอ
- Enterprise
- เอริค
- แม้
- ทุกๆ
- ทุกอย่าง
- คาย
- ตรวจสอบ
- การปฏิบัติ
- การออกกำลังกาย
- ใบหน้า
- FAST
- ชื่อจริง
- โดยมุ่งเน้น
- สำหรับ
- ข้างหน้า
- มัก
- ราคาเริ่มต้นที่
- เต็ม
- ต่อไป
- Gartner
- General
- ได้รับ
- ได้รับ
- Go
- เป้าหมาย
- ไป
- ไป
- ครึ่ง
- มี
- he
- หัวใจสำคัญ
- ช่วย
- จุดสูง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- HTTPS
- ใหญ่
- ความคิด
- ในอุดมคติ
- ความนึกคิด
- ส่งผลกระทบ
- ปรับปรุง
- การปรับปรุง
- การปรับปรุง
- in
- ในอื่น ๆ
- เพิ่ม
- เป็นรายบุคคล
- ข้อมูล
- ความปลอดภัยของข้อมูล
- โครงสร้างพื้นฐาน
- ความเข้าใจ
- การติดตั้ง
- แทน
- เข้าไป
- รวมถึง
- ที่เกี่ยวข้องกับการ
- ปัญหา
- ปัญหา
- IT
- ความปลอดภัย
- วนซ้ำ
- การสัมภาษณ์
- jpg
- เพียงแค่
- เก็บ
- ทราบ
- ที่ดิน
- เชื่อมโยงไปถึง
- เรียนรู้
- น้อยที่สุด
- ทิ้ง
- กฎหมาย
- ชั้น
- กดไลก์
- สด
- ดู
- ที่ต้องการหา
- ความเสี่ยงต่ำ
- ทำ
- ทำให้
- การจัดการ
- มันตรา
- หลาย
- เครื่องหมาย
- zuckerberg ทำเครื่องหมาย
- ตลาด
- เรื่อง
- อาจ..
- me
- พบ
- จิต
- อาจ
- Mindset
- ขั้นต่ำ
- ผสม
- แบบ
- เดือน
- มากที่สุด
- ย้าย
- เดินหน้าต่อไป
- MVP
- จำเป็น
- จำเป็นต้อง
- จำเป็น
- ไม่เคย
- ใหม่
- ถัดไป
- ไม่
- ตอนนี้
- of
- ปิด
- เจ้าหน้าที่
- on
- ONE
- เพียง
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ของเรา
- ออก
- เหนือศีรษะ
- การควบคุม
- ของตนเอง
- ส่วนหนึ่ง
- ส่ง
- อดีต
- คน
- สถานที่
- โรคระบาด
- การวางแผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- เป็นไปได้
- ประยุกต์
- การปฏิบัติ
- ปัญหาที่เกิดขึ้น
- กระบวนการ
- กระบวนการ
- ผลิตภัณฑ์
- เป็นอาชีพ
- มืออาชีพ
- โปรแกรม
- โครงการ
- ปกป้อง
- ให้
- วาง
- อย่างรวดเร็ว
- ทีเดียว
- ค่อนข้าง
- ความจริง
- จริงๆ
- ลด
- การควบคุม
- กฎระเบียบ
- รีโมท
- เอาออก
- แสดงให้เห็นถึง
- จำเป็นต้องใช้
- รับผิดชอบ
- ความเสี่ยง
- ความเสี่ยง
- กฎระเบียบ
- s
- เดียวกัน
- ขอบเขต
- ปลอดภัย
- ความปลอดภัย
- เห็น
- บริการ
- ชุด
- ชุดอุปกรณ์
- ตกตะกอน
- ระยะสั้น
- ที่สั้นที่สุด
- น่า
- สำคัญ
- เหมือนกับ
- เดียว
- สถานการณ์
- เล็ก
- So
- บาง
- ช่องว่าง
- โดยเฉพาะ
- ใช้จ่าย
- ทักษะ
- มาตรฐาน
- ยังคง
- กลยุทธ์
- ความเครียด
- น่าแปลกใจ
- ระบบ
- เอา
- ใช้เวลา
- การ
- ทีม
- ทีม
- เทคโนโลยี
- เทคโนโลยี
- เงื่อนไขการใช้บริการ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- ที่นั่น
- ดังนั้น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- คิด
- คิด
- นี้
- คิดว่า
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- เวลา
- ระยะเวลา
- ไปยัง
- ในวันนี้
- บอก
- เกินไป
- เครื่องมือ
- รวม
- แบบดั้งเดิม
- ตามธรรมเนียม
- กลับ
- ตามแบบฉบับ
- เข้าใจ
- เข้าใจ
- us
- ใช้
- มีประโยชน์
- ความคุ้มค่า
- พาหนะ
- มาก
- ทำงานได้
- ความชัดเจน
- ความอ่อนแอ
- คือ
- ทาง..
- วิธี
- we
- คือ
- อะไร
- ความหมายของ
- เมื่อ
- ในขณะที่
- ทั้งหมด
- ทำไม
- จะ
- กับ
- ไม่มี
- งาน
- จะ
- ใช่
- ยัง
- คุณ
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล
- Zuckerberg