V varnostnem prostoru IT moramo skrbeti za vse. Vsaka težava, ne glede na to, kako majhna je, lahko postane sredstvo za oddaljeno izvajanje kode ali vsaj pristajalna točka za akterje groženj, da živijo od zemlje in obrnejo naša orodja proti nam. Ni presenetljivo, da se varnostno osebje IT sooča z izgorelostjo in stresom. Po navedbah raziskava Enterprise Strategy Group in ISSA približno polovica strokovnjakov za varnost IT meni, da bodo v naslednjih 12 mesecih zapustili trenutno službo.

Varnostne ekipe so poklicno odgovorne – in zdaj, za glavne uradnike za informacijsko varnost (CISO), osebno odgovoren — za varnost svojih organizacij. Toda na drugih področjih IT in tehnologije je miselnost povsem drugačna. Iz mantre Marka Zuckerberga o "premikaj se hitro in lomi stvari” do Erica Riesa Lean zagon in model minimalnega izvedljivega izdelka (MVP) je misel na teh področjih hiter premik, a tudi zagotavljanje ravno dovolj, da lahko organizacija napreduje in se izboljša.

Zdaj ekipe za varnost IT ne morejo sprejeti tega modela. Preveč je predpisov, ki bi jih morali upoštevati. Toda kaj se lahko naučimo iz miselne vaje o minimalni izvedljivi skladnosti (MVC) in kako lahko uporabimo te informacije, da nam pomagajo pri našem pristopu?

Kaj bi vključeval MVC?

MVC vključuje pokrivanje tistega, kar je potrebno za učinkovito zaščito. Da bi to dosegli, morate razumeti, kaj imate in kaj je ključnega pomena za varnost ter s katerimi pravili ali predpisi morate dokazati, da ste skladni.

Za upravljanje sredstev je idealno, da poznate vsa sredstva, ki ste jih namestili. Kako se lahko imenujete varni brez te stopnje nadzora? Ali bi za pristop MVC potrebovali 100-odstotni vpogled v to, kar imate?

V resnici so projekti upravljanja sredstev, kot so baze podatkov za upravljanje konfiguracije (CMDB), namenjeni zagotavljanju popoln vpogled v sredstva IT, vendar nikoli niso 100 % točni. V preteklosti se je natančnost sredstev gibala okoli 70- do 80-odstotne oznake in tudi najboljše uvedbe danes ne morejo doseči popolne vidnosti in je ohraniti tam. Torej, ali naj svoj proračun MVC porabimo za to področje? Da, vendar ne povsem tako, kot si tradicionalno mislimo.

En namestnik CISO mi je rekel, da razume ideal popolnega kritja, vendar to ni mogoče; namesto tega skrbi za popolno in neprekinjeno preglednost kritične infrastrukture organizacije – približno 2.5 % skupnih sredstev – medtem ko so druge delovne obremenitve spremljali čim pogosteje. Torej, medtem ko je vidnost še vedno nujen element za varnostne programe IT, je treba najprej prizadevati za zaščito sredstev z največjim tveganjem. Vendar je to kratkoročni cilj, saj vas loči le eno razkritje ranljivosti od tega, da sredstvo z nizkim tveganjem postane visoko tvegano. Med tem postopkom ne zamenjujte skladnosti z varnostjo – to ni isto. Skladno podjetje morda ni varno.

Regulacijsko načrtovanje

Kot del MVC moramo razmišljati o predpisih in o tem, kako jih spoštovati. Izziv za varnostne ekipe je, kako vnaprej razmišljati o teh pravilih. Tipičen pristop je, da vnesemo zakonodajo, nato vidimo, kje se nanaša na naše aplikacije, in nato po potrebi spremenimo sisteme. Vendar pa je to lahko zelo ustavi in ​​začni pristop, ki vključuje spremembe – in s tem stroške – vsakič, ko se uvede nova uredba ali pride do pomembne spremembe.

Kako lahko olajšamo ta proces za naše ekipe? Ali lahko namesto vsakega predpisa posebej pogledamo, kaj je skupnega veljavnim predpisom, in nato to uporabimo za zmanjšanje količine dela, ki je potrebno v skladu z vsemi? Kaj lahko vzamemo izven obsega ali namesto tega uporabimo kot storitev za varno zagotavljanje infrastrukture, namesto da ekipo spravimo v obsežne vaje, da zagotovimo skladnost sistemov? Ali lahko podobno uporabimo običajne najboljše prakse, kot so kontrole v oblaku, da odstranimo cele sklope težav, namesto da bi obravnavali vsako težavo posebej?

V središču tega pristopa moramo zmanjšati režijske stroške glede varnosti in se osredotočiti na tisto, kar predstavlja največja tveganja za naša podjetja. Namesto da bi razmišljali o specifičnih tehnologijah, lahko te težave preučimo kot vprašanja procesov in ljudi, saj se bodo predpisi vedno razvijali in spreminjali, ko se trg nadaljuje. S to miselnostjo je načrtovanje varnosti lažje, saj se ne zatakne v nekaterih podrobnostih, ki lahko pestijo naše ekipe, ko so bili procesi zgrajeni tako, da obravnavajo CVE in podatke o grožnjah, ne pa v smislu praktičnega tveganja glede tega, kaj je res težava.

Zamisel, da bi naredili najmanj, kar je potrebno za izpolnjevanje zahtev trga ali sprejetje niza pravil, je morda privlačna že po nominalni vrednosti. Toda miselnost MVP-ja ni le v tem, da dosežete določeno raven in se tam ustalite. Namesto tega gre za doseganje tega minimalnega standarda in nato čim hitrejše ponavljanje, da se stanje še izboljša. Za varnostne ekipe je lahko ta miselnost nenehnega izboljševanja in iskanja načinov za zmanjšanje tveganja koristna alternativa tradicionalnemu modelu varnosti IT. Če se osredotočite na izboljšave, ki bi imele največji vpliv na tveganje v najkrajšem časovnem okviru, lahko povečate svojo učinkovitost in zmanjšate tveganje na splošno.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why