Ev Güvenlik Yönetişim ve uyumun ötesinde: neden önemli olan güvenlik riski

Yönetişim ve uyumun ötesinde: neden önemli olan güvenlik riski

İçindekiler:

Anonim

BT endüstrisini yöneten mantar endüstrisi ve hükümet, yüksek düzeyde düzenlenmiş bir ortama ve yıllık uygunluk yangın tatbikatlarına yol açtı. Ortalama organizasyonları etkileyen düzenlemelerin sayısı bir düzine veya daha fazla kolayca geçebilir ve gün geçtikçe daha karmaşık hale gelebilir. Bu, çoğu şirketi, uzun BT öncelikleri listesinin üstünde, yönetişim ve uyumluluk çabalarına aşırı miktarda kaynak tahsis etmeye zorluyor. Bu çabalar gerekli midir? Ya da sadece güvenliğe uyum odaklı bir yaklaşımın bir parçası olarak bir onay kutusu gereksinimi mi?


Acı gerçek şu ki, bir denetim planlayabilirsiniz, ancak bir siber saldırı planlayamazsınız. Neredeyse her gün, ihlaller manşet haber yaparken bu gerçeği hatırlatıyoruz. Sonuç olarak, birçok kuruluş risk duruşlarını anlamak için basit uyum değerlendirmelerinin ötesine geçmeleri gerektiği sonucuna varmıştır. Sonuç olarak, iş üzerindeki etkilerin yanı sıra tehditleri ve güvenlik açıklarını da dikkate alıyorlar. Sadece bu üç faktörün bir kombinasyonu risk hakkında bütünsel bir görüş sağlar.

Uyum Tuzaklığı

Risk yönetimine bir onay kutusu, uyumluluk odaklı yaklaşım izleyen kuruluşlar, yalnızca zamanında güvenlik sağlar. Çünkü bir şirketin güvenlik duruşu dinamiktir ve zaman içinde değişir. Bu defalarca kanıtlanmıştır.


Son zamanlarda, ilerici kuruluşlar güvenliğe daha proaktif, riske dayalı bir yaklaşım izlemeye başlamıştır. Risk tabanlı bir modeldeki amaç, bir kurumun BT güvenlik operasyonlarının verimliliğini en üst düzeye çıkarmak ve risk ve uyumluluk duruşuna görünürlük sağlamaktır. Nihai hedef, uyum içinde kalmak, riski azaltmak ve güvenliği sürekli olarak güçlendirmektir.


Bir takım faktörler kuruluşların riske dayalı bir modele geçmesine neden olmaktadır. Bunlar aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

  • Ortaya çıkan siber mevzuat (örneğin, Siber İstihbarat Paylaşımı ve Korunması Yasası)
  • Para Birimi Denetleyici Ofisi (OCC) tarafından denetleyici rehberlik

Kurtarma için Güvenlik?

Güvenlik açığı yönetiminin veri ihlali riskini en aza indireceğine inanılmaktadır. Ancak, güvenlik açıklarını kendileriyle ilişkili risk bağlamına sokmadan, kuruluşlar genellikle düzeltme kaynaklarını yanlış hizalarlar. Genellikle en düşük riskleri göz ardı ederken sadece "düşük meyveli meyveleri" ele alırlar.


Bu sadece para israfı değil, aynı zamanda bilgisayar korsanlarının kritik güvenlik açıklarından faydalanması için daha uzun bir fırsat penceresi yaratıyor. Nihai hedef, pencere saldırganlarının bir yazılım kusurunu kullanmak zorunda kalmasını kısaltmaktır. Bu nedenle, güvenlik açığı yönetimi, tehdit, ulaşılabilirlik, kuruluşun uyumluluk duruşu ve iş etkisi gibi faktörleri göz önünde bulunduran, bütüncül, riske dayalı bir güvenlik yaklaşımı ile desteklenmelidir. Tehdit güvenlik açığına ulaşamazsa, ilişkili risk azalır veya ortadan kaldırılır.

Tek Gerçek Olarak Risk

Bir kuruluşun uyumluluk duruşu, tehditlerin hedeflerine ulaşmasını önlemek için kullanılabilecek telafi edici kontrolleri belirleyerek BT ​​güvenliğinde önemli bir rol oynayabilir. Verizon ve diğer kuruluşların bir önceki yıl gerçekleştirdiği ihlal araştırmalarından elde edilen verilerin bir analizi olan 2013 Verizon Veri İhlali Soruşturma Raporu'na göre, güvenlik olaylarının yüzde 97'si basit veya ara kontrollerle önlenebilir. Ancak, iş etkisi gerçek riskin belirlenmesinde kritik bir faktördür. Örneğin, kritik ticari varlıkları tehdit eden güvenlik açıkları, daha az kritik hedeflerle ilişkili olanlardan çok daha yüksek bir risk oluşturur.


Uygunluk duruşu tipik olarak varlıkların ticari önemine bağlı değildir. Bunun yerine, dengeleme kontrolleri jenerik olarak uygulanır ve buna göre test edilir. Bir varlığın bir kuruluş için temsil ettiği iş kritikliğini net bir şekilde anlamadan, bir kuruluş iyileştirme çabalarına öncelik veremez. Risk odaklı bir yaklaşım, operasyonel verimliliği artırmak, değerlendirme doğruluğunu artırmak, saldırı yüzeylerini azaltmak ve yatırım karar vermeyi iyileştirmek için hem güvenlik duruşunu hem de iş üzerindeki etkisini ele alır.


Daha önce de belirtildiği gibi, risk üç temel faktörden etkilenir: uyumluluk duruşu, tehditler ve güvenlik açıkları ve iş üzerindeki etki. Sonuç olarak, iş operasyonları üzerindeki etkileri hesaplamak ve iyileştirme eylemlerine öncelik vermek için risk ve uyum duruşları hakkında kritik istihbaratın güncel, yeni ve yeni ortaya çıkan tehdit bilgileri ile birleştirilmesi gerekmektedir.

Bütüncül Bir Risk Görüşünde Üç Unsur

Güvenliğe riske dayalı bir yaklaşımın uygulanmasının üç ana bileşeni vardır:

  • Sürekli uyum, varlıkların mutabakatını ve veri sınıflandırmasının otomasyonunu, teknik kontrollerin hizalanmasını, uygunluk testinin otomasyonunu, değerlendirme anketlerinin konuşlandırılmasını ve veri konsolidasyonunun otomasyonunu içerir. Sürekli uygunluk ile kuruluşlar, veri toplama ve veri analizindeki doğruluğu artırmak ve gereksiz, emek yoğun çabaları yüzde 75'e kadar azaltmak için ortak bir kontrol çerçevesi kullanarak örtüşmeyi azaltabilir.

  • Sürekli izleme, veri değerlendirmelerinin sıklığını artırır ve güvenlik bilgileri ve olay yönetimi (SIEM), varlık yönetimi, tehdit beslemeleri ve güvenlik açığı tarayıcıları gibi çeşitli kaynaklardan veri toplayarak ve normalleştirerek güvenlik verileri otomasyonu gerektirir. Buna karşılık, kuruluşlar çözümleri birleştirerek, süreçleri düzene sokarak, istismarları ve tehditleri zamanında ortaya çıkarmak için durumsal farkındalık yaratarak ve tahmini güvenliğe yardımcı olabilecek tarihi eğilim verilerini toplayarak maliyetleri azaltabilir.

  • Kapalı döngü, riske dayalı iyileştirme, bir risk kataloğu ve risk toleransı tanımlamak için iş birimleri içindeki konu uzmanlarından yararlanır. Bu süreç, iş kritikliğini tanımlamak için varlık sınıflandırmasını, riske dayalı önceliklendirmeyi sağlamak için sürekli puanlamayı ve kapalı döngü izleme ve ölçümü gerektirir. Kuruluşlar, varlıklar, insanlar, süreçler, potansiyel riskler ve olası tehditler hakkında sürekli bir gözden geçirme döngüsü oluşturarak işletme, güvenlik ve BT operasyonları arasındaki işbirliğini geliştirirken operasyonel verimliliği önemli ölçüde artırabilir. Bu, çözüm süresi, güvenlik operasyonları personeline yatırım, ek güvenlik araçlarının satın alınması gibi güvenlik çabalarının ölçülmesini ve somut hale getirilmesini sağlar.

Risk ve Uyumluluğun Alt Çizgisi

Uyumluluk zorunlulukları hiçbir zaman BT güvenlik veri yolunu kullanmak için tasarlanmamıştır. Risk değerlendirmesi, sürekli izleme ve kapalı döngü iyileştirme tarafından yönlendirilen dinamik bir güvenlik çerçevesi içinde destekleyici bir rol oynamalıdırlar.
Yönetişim ve uyumun ötesinde: neden önemli olan güvenlik riski

Başarısız olan, hayatta kalan (ve hatta başarılı olan) 4 üst teknoloji şirketi

Başarısız olan, hayatta kalan (ve hatta başarılı olan) 4 üst teknoloji şirketi

Herkes bu büyük ikramiyeyi vurmayı hayal ediyor: son derece popüler bir uygulama, çocuklar ve ebeveynlerin oyun zamanı boyunca savaştığı çok bağımlılık yaratan bir oyun, binlerce düzenli takipçiye sahip bir blog veya ...

Yutturmaca ötesinde: ios 7'deki 7 önemli yeni özellik

Yutturmaca ötesinde: ios 7'deki 7 önemli yeni özellik

Apple son zamanlarda tartışmalı iOS 7'yi başlatarak büyük bir hamle yaptı. Sosyal ağ kullanıcılarının neredeyse anında geri bildirimi olumlu değildi. Bazıları yeni işletim sistemini önemsemese de, diğerleri tutkuyla ...

Büyük veri projelerinin başarısız olmasına neden olan bazı önemli şeyler nelerdir?

Büyük veri projelerinin başarısız olmasına neden olan bazı önemli şeyler nelerdir?

Editörün Seçimi

Editörün Seçimi

Editörün Seçimi

Editörün Seçimi

Editörün Seçimi

Editörün Seçimi

Popüler kategoriler

© Copyright tr.theastrologypage.com, 2024 Eylül | Site Hakkında | Temas | Gizlilik Politikası.