นอกเหนือจากการกำกับดูแลและการปฏิบัติตาม: ทำไมความเสี่ยงด้านความปลอดภัยจึงเป็นเรื่องสำคัญ

อุตสาหกรรมเห็ดและข้อบังคับของรัฐบาลที่ควบคุมความปลอดภัยด้านไอทีได้นำไปสู่สภาพแวดล้อมที่มีการควบคุมอย่างเข้มงวดและการฝึกซ้อมตามข้อกำหนดประจำปี จำนวนกฎระเบียบที่ส่งผลกระทบต่อองค์กรโดยเฉลี่ยสามารถทำได้มากกว่าหนึ่งโหลหรือมากกว่านั้นและเพิ่มความซับซ้อนมากขึ้นในแต่ละวัน นี่คือการบังคับให้ บริษัท ส่วนใหญ่กำหนดจำนวนทรัพยากรที่น้อยเกินไปให้กับความพยายามด้านการกำกับดูแลและการปฏิบัติตามกฎระเบียบด้านบนของรายการลำดับความสำคัญด้านไอทีที่มีความยาว ความพยายามเหล่านี้รับประกันหรือไม่ หรือเพียงแค่ต้องการเช็คบ็อกซ์ซึ่งเป็นส่วนหนึ่งของแนวทางการรักษาความปลอดภัย?

ความจริงอันขมขื่นคือคุณสามารถกำหนดเวลาการตรวจสอบบัญชี แต่คุณไม่สามารถกำหนดเวลาการโจมตีทางไซเบอร์ได้ เกือบทุกวันเราได้รับการเตือนจากข้อเท็จจริงนี้เมื่อมีการละเมิดข่าวพาดหัวข่าว เป็นผลให้หลายองค์กรได้ข้อสรุปว่าเพื่อให้เข้าใจถึงท่าทีความเสี่ยงของพวกเขาพวกเขาจะต้องไปไกลกว่าการประเมินการปฏิบัติตามง่าย เป็นผลให้พวกเขากำลังพิจารณาภัยคุกคามและความเสี่ยงรวมถึงผลกระทบทางธุรกิจด้วย การรวมปัจจัยทั้งสามเข้าด้วยกันเท่านั้นทำให้มั่นใจได้ว่าจะมีความเสี่ยงแบบองค์รวม

ข้อผิดพลาดของการปฏิบัติตาม

องค์กรที่ดำเนินการตามกล่องกาเครื่องหมายแนวทางการขับเคลื่อนการปฏิบัติตามการจัดการความเสี่ยงจะได้รับความปลอดภัย ณ จุดเวลาเท่านั้น นั่นเป็นเพราะท่าทางความปลอดภัยของ บริษัท นั้นมีการเปลี่ยนแปลงตลอดเวลา สิ่งนี้ได้รับการพิสูจน์แล้วครั้งแล้วครั้งเล่า

เมื่อเร็ว ๆ นี้องค์กรที่ก้าวหน้าได้เริ่มดำเนินการตามแนวทางด้านความปลอดภัย เป้าหมายในรูปแบบตามความเสี่ยงคือการเพิ่มประสิทธิภาพของการดำเนินงานด้านความปลอดภัยด้านไอทีขององค์กรและเพิ่มความสามารถในการมองเห็นความเสี่ยงและการปฏิบัติตามกฎระเบียบ เป้าหมายสูงสุดคือการคงไว้ซึ่งการลดความเสี่ยงและเพิ่มความปลอดภัยอย่างต่อเนื่อง

มีหลายปัจจัยที่ทำให้องค์กรต้องย้ายไปสู่รูปแบบที่อิงตามความเสี่ยง สิ่งเหล่านี้รวมถึง แต่ไม่ จำกัด เพียง:

• การออกกฎหมายไซเบอร์ใหม่ ๆ (เช่นพระราชบัญญัติการแบ่งปันข้อมูลและการป้องกันไซเบอร์)
• คำแนะนำการควบคุมดูแลโดยสำนักงานบัญชีกลาง (OCC)

ความปลอดภัยต่อการกู้ภัย?

เป็นที่เชื่อกันโดยทั่วไปว่าการจัดการช่องโหว่จะลดความเสี่ยงของการรั่วไหลของข้อมูล อย่างไรก็ตามหากปราศจากช่องโหว่ในบริบทของความเสี่ยงที่เกี่ยวข้ององค์กรเหล่านี้มักจะวางแนวการแก้ไขทรัพยากรที่ไม่ถูกต้อง บ่อยครั้งที่พวกเขามองข้ามความเสี่ยงที่สำคัญที่สุดในขณะที่เพียงจัดการกับ "ผลไม้แขวนลอยต่ำ"

นี่ไม่เพียงเป็นการสิ้นเปลืองเงิน แต่ยังสร้างช่องทางโอกาสให้แฮ็กเกอร์ใช้ช่องโหว่ที่มีความเสี่ยงสูง เป้าหมายสูงสุดคือการทำให้ผู้โจมตีหน้าต่างสั้นลงต้องใช้ประโยชน์จากข้อบกพร่องของซอฟต์แวร์ ดังนั้นการจัดการช่องโหว่จะต้องได้รับการเสริมด้วยวิธีการรักษาความปลอดภัยแบบองค์รวมที่อิงตามความเสี่ยงซึ่งพิจารณาปัจจัยต่าง ๆ เช่นภัยคุกคามความสามารถในการเข้าถึงได้การปฏิบัติตามข้อกำหนดขององค์กรและผลกระทบทางธุรกิจ หากภัยคุกคามนั้นไม่สามารถเข้าถึงช่องโหว่ได้ความเสี่ยงที่เกี่ยวข้องจะลดลงหรือถูกกำจัดออกไป

เสี่ยงเหมือนความจริงเพียงอย่างเดียว

ท่าทางการปฏิบัติตามกฎระเบียบขององค์กรสามารถมีบทบาทสำคัญในการรักษาความปลอดภัยด้านไอทีโดยระบุการควบคุมการชดเชยที่สามารถนำมาใช้เพื่อป้องกันภัยคุกคามจากการเข้าถึงเป้าหมายของพวกเขา ตามรายงานการสอบสวนการละเมิดข้อมูล Verizon 2013 รายงานการวิเคราะห์ข้อมูลที่ได้จากการสอบสวนการละเมิดที่ Verizon และองค์กรอื่น ๆ ดำเนินการในปีที่ผ่านมา 97% ของเหตุการณ์ด้านความปลอดภัยสามารถหลีกเลี่ยงได้ผ่านการควบคุมที่เรียบง่ายหรือระดับกลาง อย่างไรก็ตามผลกระทบทางธุรกิจเป็นปัจจัยสำคัญในการกำหนดความเสี่ยงที่แท้จริง ตัวอย่างเช่นช่องโหว่ที่คุกคามสินทรัพย์ทางธุรกิจที่สำคัญนั้นมีความเสี่ยงสูงกว่าช่องโหว่ที่เกี่ยวข้องกับเป้าหมายที่มีความสำคัญน้อยกว่า

โดยทั่วไปท่าทางการปฏิบัติตามกฎระเบียบจะไม่เชื่อมโยงกับความสำคัญทางธุรกิจของสินทรัพย์ แต่จะใช้การชดเชยการควบคุมโดยทั่วไปและทดสอบตามนั้น หากไม่มีความเข้าใจอย่างชัดเจนเกี่ยวกับความสำคัญทางธุรกิจที่สินทรัพย์แสดงถึงองค์กรองค์กรไม่สามารถจัดลำดับความสำคัญในการแก้ไขปัญหาได้ วิธีการที่ขับเคลื่อนด้วยความเสี่ยงจะพิจารณาทั้งท่าทางความปลอดภัยและผลกระทบทางธุรกิจเพื่อเพิ่มประสิทธิภาพการดำเนินงานปรับปรุงความถูกต้องในการประเมินลดพื้นผิวการโจมตีและปรับปรุงการตัดสินใจลงทุน

ดังที่ได้กล่าวไว้ก่อนหน้านี้ความเสี่ยงนั้นได้รับอิทธิพลมาจากปัจจัยหลักสามประการ: ท่าการปฏิบัติตามกฎระเบียบภัยคุกคามและความเสี่ยงและผลกระทบทางธุรกิจ ดังนั้นจึงจำเป็นที่จะต้องรวบรวมข่าวกรองที่สำคัญเกี่ยวกับท่าทีความเสี่ยงและการปฏิบัติตามด้วยข้อมูลภัยคุกคามที่เป็นปัจจุบันใหม่และที่เกิดขึ้นใหม่เพื่อคำนวณผลกระทบต่อการดำเนินธุรกิจและจัดลำดับความสำคัญของการดำเนินการแก้ไข

องค์ประกอบสามอย่างเพื่อดูความเสี่ยงแบบองค์รวม

มีองค์ประกอบหลักสามประการในการดำเนินการตามแนวทางความปลอดภัย:

• การปฏิบัติตามอย่างต่อเนื่องรวมถึงการกระทบยอดสินทรัพย์และระบบอัตโนมัติของการจำแนกข้อมูลการจัดตำแหน่งการควบคุมทางเทคนิคการทำให้การทดสอบการปฏิบัติตามกฎระเบียบเป็นไปโดยอัตโนมัติการปรับใช้แบบสำรวจการประเมินและการรวมข้อมูลอัตโนมัติ ด้วยการปฏิบัติตามอย่างต่อเนื่ององค์กรสามารถลดการทับซ้อนโดยใช้ประโยชน์จากกรอบการควบคุมทั่วไปเพื่อเพิ่มความแม่นยำในการเก็บรวบรวมข้อมูลและการวิเคราะห์ข้อมูลและลดความซ้ำซ้อนรวมทั้งความพยายามด้วยตนเองโดยใช้แรงงานมากถึง 75 เปอร์เซ็นต์
• การตรวจสอบอย่างต่อเนื่องบ่งบอกถึงความถี่ที่เพิ่มขึ้นของการประเมินข้อมูลและต้องการการรักษาความปลอดภัยข้อมูลอัตโนมัติโดยการรวบรวมและทำให้ข้อมูลเป็นปกติจากแหล่งต่าง ๆ เช่นข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) การจัดการสินทรัพย์ ในทางกลับกันองค์กรสามารถลดค่าใช้จ่ายได้ด้วยการรวมโซลูชั่นการทำให้เพรียวลมกระบวนการสร้างการรับรู้สถานการณ์เพื่อเปิดเผยช่องโหว่และการคุกคามในเวลาที่เหมาะสมและรวบรวมข้อมูลแนวโน้มทางประวัติศาสตร์ซึ่งสามารถช่วยในการทำนายความปลอดภัย
• การแก้ไขแบบปิดวนตามความเสี่ยงนั้นยกระดับผู้เชี่ยวชาญในสาขาธุรกิจเพื่อกำหนดแค็ตตาล็อกความเสี่ยงและการยอมรับความเสี่ยง กระบวนการนี้มีการจัดประเภทสินทรัพย์เพื่อกำหนดความสำคัญทางธุรกิจการให้คะแนนอย่างต่อเนื่องเพื่อเปิดใช้งานการจัดลำดับความสำคัญตามความเสี่ยงและการติดตามและการวัดวงปิด โดยการสร้างการตรวจสอบอย่างต่อเนื่องของสินทรัพย์ที่มีอยู่คนกระบวนการความเสี่ยงที่อาจเกิดขึ้นและภัยคุกคามที่เป็นไปได้องค์กรสามารถเพิ่มประสิทธิภาพการดำเนินงานได้อย่างมากในขณะที่การปรับปรุงการทำงานร่วมกันระหว่างธุรกิจความปลอดภัยและการดำเนินงานด้านไอที สิ่งนี้ทำให้เกิดความพยายามด้านความปลอดภัยเช่นเวลาในการแก้ไขการลงทุนในเจ้าหน้าที่ปฏิบัติการความปลอดภัยการซื้อเครื่องมือรักษาความปลอดภัยเพิ่มเติม - เพื่อทำการวัดและจับต้องได้

บรรทัดล่างของความเสี่ยงและการปฏิบัติตาม

เอกสารการปฏิบัติตามกฎระเบียบไม่ได้ถูกออกแบบมาเพื่อขับเคลื่อนบัสรักษาความปลอดภัยด้านไอที พวกเขาควรมีบทบาทสนับสนุนในกรอบการรักษาความปลอดภัยแบบไดนามิกที่ขับเคลื่อนโดยการประเมินความเสี่ยงการตรวจสอบอย่างต่อเนื่องและการแก้ไขวงปิด