У сфері ІТ-безпеки ми повинні дбати про все. Будь-яка проблема, якою б малою вона не була, може стати засобом для дистанційного виконання коду або, принаймні, точкою приземлення для загрозливих акторів, які живуть за рахунок землі та обертають наші власні інструменти проти нас. Не дивно, що працівники ІТ-безпеки стикаються з виснаженням і стресом. Відповідно до дослідження Enterprise Strategy Group і ISSA, близько половини фахівців з ІТ-безпеки вважають, що залишать поточну роботу в найближчі 12 місяців.
Команди безпеки несуть професійну відповідальність — і тепер для керівників інформаційної безпеки (CISO), особиста відповідальність — для безпеки своїх організацій. Проте в інших галузях ІТ і технологій існує зовсім інше мислення. З мантри Марка Цукерберга «швидко рухатись і ламати речі” до Еріка Райса Lean Startup і модель мінімально життєздатного продукту (MVP), ідея в цих сферах полягає в тому, щоб рухатися швидко, але також забезпечити достатньо, щоб організація могла рухатися вперед і вдосконалюватися.
Зараз групи ІТ-безпеки не можуть прийняти цю модель. Надто багато правил, які потрібно враховувати. Але чого ми можемо навчитися з розумової вправи щодо мінімальної життєздатної відповідності (MVC) і як ми можемо використати цю інформацію, щоб допомогти нам у нашому підході?
Що включатиме MVC?
MVC передбачає прикриття того, що необхідно для ефективної безпеки. Щоб досягти цього, ви маєте розуміти, що у вас є, що є критично важливим для забезпечення безпеки, а також які правила чи норми ви маєте продемонструвати, що ви відповідаєте.
Для управління активами в ідеалі ви повинні знати всі активи, які ви встановили. Без такого рівня нагляду, як ви можете вважати себе безпечним? Для підходу MVC вам знадобиться 100% розуміння того, що ви маєте?
Насправді проекти управління активами, такі як бази даних керування конфігурацією (CMDB), мають на меті забезпечити повна видимість ІТ-активів, але вони ніколи не бувають точними на 100%. У минулому точність активів коливалася в межах від 70% до 80%, і навіть найкращі сьогоднішні розгортання не можуть досягти повної видимості та зберегти її там. Отже, чи варто витрачати наш бюджет MVC на цю сферу? Так, але не зовсім так, як ми могли б традиційно думати.
Один заступник CISO сказав мені, що він розуміє ідеал повного покриття, але це неможливо; натомість він піклується про повну та постійну видимість критичної інфраструктури організації — близько 2.5% від загальних активів — тоді як інші робочі навантаження відстежуються якомога частіше. Таким чином, незважаючи на те, що видимість все ще є необхідним елементом для програм ІТ-безпеки, зусилля повинні бути спрямовані на захист активів із найвищим ризиком. Однак це короткострокова мета, оскільки лише одне розкриття вразливості дозволить активу з низьким рівнем ризику перетворитися на актив із високим ризиком. Проходячи цей процес, не плутайте відповідність із безпекою — це не одне й те саме. Сумісний бізнес може бути небезпечним.
Планування регулювання
Як частина MVC, ми маємо думати про правила та як їх дотримуватися. Завдання для команд безпеки полягає в тому, як продумати ці правила наперед. Типовий підхід полягає в тому, щоб отримати законодавство, потім побачити, де воно стосується наших програм, а потім внести зміни в системи за потреби. Однак це може бути підхід, який передбачає зміни — і, отже, витрати — кожного разу, коли вводиться нове регулювання або відбуваються значні зміни.
Як ми можемо полегшити цей процес для наших команд? Замість того, щоб розглядати кожну постанову окремо, чи можемо ми поглянути на те, що є спільним для відповідних норм, а потім використати це для зменшення обсягу роботи, необхідної для дотримання їх усіх? Замість того, щоб змушувати команду виконувати величезні вправи, щоб привести системи у відповідність, що ми можемо вилучити зі сфери діяльності або натомість використовувати як послугу для безпечного забезпечення інфраструктури? Подібним чином, чи можемо ми використовувати загальні найкращі практики, як-от хмарні засоби керування, щоб усунути цілі набори проблем, а не розглядати кожну проблему окремо?
В основі цього підходу ми маємо зменшити накладні витрати на безпеку та зосередитися на тому, що становить найбільший ризик для нашого бізнесу. Замість того, щоб думати про конкретні технології, ми можемо розглядати ці проблеми як проблеми процесів і людей, тому що правила завжди розвиватимуться та змінюватимуться разом із ринком. Таке мислення спрощує планування безпеки, оскільки воно не загрузне в деяких деталях, які можуть заважати нашим командам, коли процеси побудовані для аналізу CVE та даних про загрози, а не в термінах практичного ризику щодо того, що насправді є проблемою.
Ідея виконання мінімуму, необхідного для задоволення вимог ринку або прийняття набору правил, може бути привабливою за номіналом. Але менталітет MVP полягає не лише в тому, щоб досягти певного рівня, а потім там осісти. Натомість мова йде про те, щоб досягти цього мінімального стандарту, а потім повторювати якомога швидше, щоб покращити ситуацію. Для команд із безпеки це мислення постійного вдосконалення та пошуку шляхів зменшення ризику може бути корисною альтернативою традиційній моделі ІТ-безпеки. Зосереджуючись на тому, які вдосконалення матимуть найбільший вплив на ризик за найкоротший проміжок часу, ви можете підвищити свою ефективність і зменшити ризик загалом.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why
- :є
- : ні
- :де
- $UP
- 12
- 12 місяців
- a
- Здатний
- МЕНЮ
- За
- точність
- точний
- Achieve
- актори
- проти
- попереду
- мета
- ВСІ
- Також
- альтернатива
- завжди
- кількість
- an
- та
- будь-який
- привабливий
- застосовно
- застосування
- застосовується
- підхід
- ЕСТЬ
- ПЛОЩА
- області
- навколо
- AS
- активи
- управління активами
- Активи
- At
- геть
- BE
- оскільки
- ставати
- становлення
- було
- КРАЩЕ
- передового досвіду
- найбільший
- заболочений
- Перерва
- приносити
- приніс
- бюджет
- побудований
- прогар
- бізнес
- підприємства
- але
- by
- call
- CAN
- який
- виклик
- зміна
- Зміни
- головний
- CISO
- хмара
- код
- COM
- загальний
- повністю
- дотримання
- поступливий
- дотримуватися
- сконцентрувати
- конфігурація
- Вважати
- безперервний
- управління
- охоплення
- покриття
- критичний
- Критична інфраструктура
- Поточний
- дані
- базами даних
- доставляти
- запити
- демонструвати
- розгортання
- заступник
- деталі
- різний
- розкриття
- do
- робить
- справи
- вниз
- кожен
- легше
- фактично
- ефективність
- зусилля
- або
- елемент
- обійняти
- досить
- підприємство
- Еріком
- Навіть
- Кожен
- все
- еволюціонувати
- досліджувати
- виконання
- Здійснювати
- Face
- ШВИДКО
- Перший
- фокусування
- для
- Вперед
- часто
- від
- Повний
- далі
- Gartner
- Загальне
- отримати
- отримання
- Go
- мета
- йде
- буде
- Половина
- Мати
- he
- Серце
- допомога
- Високий
- Як
- How To
- Однак
- HTTPS
- величезний
- ідея
- ідеальний
- в ідеалі
- Impact
- удосконалювати
- поліпшення
- поліпшення
- in
- В інших
- Augmenter
- Індивідуально
- інформація
- інформаційна безпека
- Інфраструктура
- розуміння
- встановлений
- замість
- в
- залучати
- включає в себе
- питання
- питання
- IT
- це безпека
- ітерація
- робота
- JPG
- просто
- тримати
- Знати
- земля
- посадка
- УЧИТЬСЯ
- найменш
- Залишати
- Законодавство
- рівень
- як
- жити
- подивитися
- шукати
- низький ризик
- зробити
- РОБОТИ
- управління
- Мантра
- багато
- позначити
- Марк Цукерберг
- ринок
- Матерія
- Може..
- me
- Зустрічатися
- психічний
- може бути
- Розум
- мінімальний
- змішувати
- модель
- місяців
- найбільш
- рухатися
- рухатися вперед
- MVP
- необхідно
- Необхідність
- необхідний
- ніколи
- Нові
- наступний
- немає
- зараз
- of
- від
- офіцерів
- on
- ONE
- тільки
- or
- порядок
- організація
- організації
- Інше
- наші
- з
- накладні витрати
- Нагляд
- власний
- частина
- проходити
- Минуле
- Люди
- місце
- Чума
- планування
- plato
- Інформація про дані Платона
- PlatoData
- точка
- це можливо
- Практичний
- практики
- проблеми
- процес
- процеси
- Product
- професійно
- професіонали
- програми
- проектів
- захищає
- забезпечувати
- Поклавши
- швидко
- досить
- швидше
- Реальність
- насправді
- зменшити
- Регулювання
- правила
- віддалений
- видаляти
- представляє
- вимагається
- відповідальний
- Risk
- ризики
- Правила
- s
- то ж
- сфера
- безпечний
- безпеку
- побачити
- обслуговування
- комплект
- набори
- осідання
- короткий термін
- найкоротший
- Повинен
- значний
- Аналогічно
- один
- ситуація
- невеликий
- So
- деякі
- Простір
- конкретний
- витрачати
- Персонал
- standard
- Як і раніше
- Стратегія
- стрес
- дивно
- Systems
- Приймати
- приймає
- взяття
- команда
- команди
- Технології
- Технологія
- terms
- ніж
- Що
- Команда
- їх
- Їх
- потім
- Там.
- отже
- Ці
- вони
- річ
- думати
- Мислення
- це
- думка
- загроза
- актори загроз
- через
- час
- терміни
- до
- сьогодні
- сказав
- занадто
- інструменти
- Усього:
- традиційний
- традиційно
- ПЕРЕГЛЯД
- типовий
- розуміти
- розумієш
- us
- використання
- корисний
- значення
- автомобіль
- дуже
- viable
- видимість
- вразливість
- було
- шлях..
- способи
- we
- були
- Що
- Що таке
- коли
- в той час як
- всі
- чому
- волі
- з
- без
- Work
- б
- так
- ще
- Ти
- вашу
- себе
- зефірнет
- Цукерберг