Oltre governance e conformità: perché è importante il rischio per la sicurezza

L'industria dei funghi e i mandati governativi che regolano la sicurezza IT hanno portato a un ambiente altamente regolamentato e alle esercitazioni antincendio annuali sulla conformità. Il numero di regolamenti che riguardano le organizzazioni medie può facilmente superare una dozzina o più e diventare più complesso di giorno in giorno. Ciò sta costringendo la maggior parte delle aziende ad assegnare una quantità eccessiva di risorse agli sforzi di governance e conformità in cima al loro lungo elenco di priorità IT. Questi sforzi sono garantiti? O semplicemente un requisito di casella di controllo come parte di un approccio alla sicurezza basato sulla conformità?

L'amara verità è che è possibile pianificare un audit, ma non è possibile pianificare un attacco informatico. Quasi ogni giorno, ci viene ricordato questo fatto quando le violazioni fanno notizia. Di conseguenza, molte organizzazioni hanno concluso che per ottenere informazioni sulla loro posizione di rischio, devono andare oltre le semplici valutazioni di conformità. Di conseguenza, stanno prendendo in considerazione minacce e vulnerabilità, nonché l'impatto aziendale. Solo una combinazione di questi tre fattori assicura una visione olistica del rischio.

La trappola della conformità

Le organizzazioni che perseguono un approccio check-box, basato sulla conformità, alla gestione del rischio, raggiungono solo la sicurezza temporizzata. Questo perché la posizione di sicurezza di un'azienda è dinamica e cambia nel tempo. Questo è stato dimostrato più volte.

Di recente, le organizzazioni progressiste hanno iniziato a perseguire un approccio alla sicurezza più proattivo e basato sul rischio. L'obiettivo in un modello basato sul rischio è massimizzare l'efficienza delle operazioni di sicurezza IT di un'organizzazione e fornire visibilità sulla posizione di rischio e conformità. L'obiettivo finale è rimanere conformi, ridurre i rischi e rafforzare la sicurezza su base continua.

Numerosi fattori stanno spingendo le organizzazioni a passare a un modello basato sul rischio. Questi includono, ma non sono limitati a:

• Legislazione emergente in materia di cyber (ad esempio, Cyber ​​Intelligence Sharing and Protection Act)
• Orientamento di vigilanza da parte dell'Ufficio del controllore della valuta (OCC)

Sicurezza per il salvataggio?

Si ritiene comunemente che la gestione delle vulnerabilità ridurrà al minimo il rischio di violazione dei dati. Tuttavia, senza collocare le vulnerabilità nel contesto del rischio ad esse associato, le organizzazioni spesso disallineano le proprie risorse di riparazione. Spesso trascurano i rischi più critici mentre affrontano solo "i frutti bassi".

Questo non è solo uno spreco di denaro, ma crea anche una più ampia finestra di opportunità per gli hacker di sfruttare le vulnerabilità critiche. L'obiettivo finale è quello di accorciare gli aggressori di finestre che devono sfruttare un difetto del software. Pertanto, la gestione delle vulnerabilità deve essere integrata da un approccio olistico e basato sul rischio alla sicurezza, che considera fattori quali minacce, raggiungibilità, posizione di conformità dell'organizzazione e impatto sul business. Se la minaccia non può raggiungere la vulnerabilità, il rischio associato viene ridotto o eliminato.

Il rischio come unica verità

La posizione di conformità di un'organizzazione può svolgere un ruolo essenziale nella sicurezza IT identificando i controlli compensativi che possono essere utilizzati per impedire alle minacce di raggiungere il loro obiettivo. Secondo il Verizon Data Breach Investigations Report del 2013, un'analisi dei dati ottenuti dalle indagini sulla violazione che Verizon e altre organizzazioni hanno eseguito durante l'anno precedente, il 97% degli incidenti di sicurezza era evitabile attraverso controlli semplici o intermedi. Tuttavia, l'impatto sul business è un fattore critico nel determinare il rischio effettivo. Ad esempio, le vulnerabilità che minacciano risorse aziendali critiche rappresentano un rischio molto più elevato rispetto a quelle associate a obiettivi meno critici.

La posizione di conformità in genere non è legata alla criticità aziendale delle attività. Invece, i controlli di compensazione vengono applicati genericamente e testati di conseguenza. Senza una chiara comprensione della criticità aziendale che una risorsa rappresenta per un'organizzazione, un'organizzazione non è in grado di stabilire le priorità per gli interventi di riparazione. Un approccio orientato al rischio affronta sia la posizione di sicurezza che l'impatto sul business per aumentare l'efficienza operativa, migliorare l'accuratezza della valutazione, ridurre le superfici di attacco e migliorare il processo decisionale di investimento.

Come accennato in precedenza, il rischio è influenzato da tre fattori chiave: postura di conformità, minacce e vulnerabilità e impatto aziendale. Di conseguenza, è essenziale aggregare l'intelligence critica sulle posizioni di rischio e conformità con le informazioni sulle minacce attuali, nuove ed emergenti per calcolare gli impatti sulle operazioni aziendali e dare priorità alle azioni di riparazione.

Tre elementi per una visione olistica del rischio

Esistono tre componenti principali per l'implementazione di un approccio alla sicurezza basato sul rischio:

• La conformità continua comprende la riconciliazione delle risorse e l'automazione della classificazione dei dati, l'allineamento dei controlli tecnici, l'automazione dei test di conformità, l'implementazione delle indagini di valutazione e l'automazione del consolidamento dei dati. Con la costante conformità, le organizzazioni possono ridurre le sovrapposizioni sfruttando un quadro di controllo comune per aumentare la precisione nella raccolta e nell'analisi dei dati e ridurre gli sforzi ridondanti, oltre che manuali, ad alta intensità di lavoro fino al 75%.
• Il monitoraggio continuo implica una maggiore frequenza delle valutazioni dei dati e richiede l'automazione dei dati di sicurezza aggregando e normalizzando i dati provenienti da una varietà di fonti quali informazioni sulla sicurezza e gestione degli eventi (SIEM), gestione delle risorse, feed delle minacce e scanner delle vulnerabilità. A loro volta, le organizzazioni possono ridurre i costi unificando le soluzioni, razionalizzando i processi, creando consapevolezza situazionale per esporre tempestivamente exploit e minacce e raccogliendo dati storici sulle tendenze, che possono aiutare nella sicurezza predittiva.
• La riparazione a ciclo chiuso e basata sul rischio fa leva sugli esperti in materia all'interno delle unità aziendali per definire un catalogo e la tolleranza del rischio. Questo processo prevede la classificazione delle attività per definire la criticità aziendale, il punteggio continuo per consentire la definizione delle priorità basata sul rischio e il monitoraggio e la misurazione a circuito chiuso. Stabilendo un ciclo continuo di revisione di risorse, persone, processi, rischi potenziali e possibili minacce esistenti, le organizzazioni possono aumentare drasticamente l'efficienza operativa, migliorando al contempo la collaborazione tra business, sicurezza e operazioni IT. Ciò consente di misurare e rendere tangibili le attività di sicurezza, quali tempi di risoluzione, investimenti nel personale delle operazioni di sicurezza, acquisti di strumenti di sicurezza aggiuntivi.

La linea di fondo su rischio e conformità

I mandati di conformità non sono mai stati progettati per guidare il bus di sicurezza IT. Dovrebbero svolgere un ruolo di supporto all'interno di un quadro di sicurezza dinamico che è guidato dalla valutazione dei rischi, dal monitoraggio continuo e dalle misure correttive a circuito chiuso.