Kuinka paljon turvaa riittää?

Turvallisuusammattilaisilla on mielenkiintoinen työ. He hallitsevat olemassa olevia turvatarkastuksia ja etsivät ikuisesti puutteita organisaationsa puolustuksessa. Tunnistetut aukot johtavat usein siihen, että analyytikot juoksevat suositun tietoturvatoimittajan puoleen toista sovellusta, laitetta tai palvelua varten. Mutta onko tämä taloudellisesti vai puolustavasti paras lähestymistapa? Luultavasti ei.

Haaste Monet organisaatiot lähestyvät turvallisuutta kuten Whack-a-Molen pelaajat. (Katso kuva A, 360digest.com.) Asettamalla perusturvallisuussäätimet paikalleen, he odottavat seuraavaa esiin tulevaa uhkaa ja räpyttävät sen virtuaalisella vasavalla. Prosessi jatkuu ilman loppua ja ilman todellista suojelustrategiaa. Kertaluonteinen lähestymistapa voi suojella organisaatiota, mutta siihen liittyvät kustannukset ovat todennäköisesti paljon suuremmat kuin tarpeelliset. Lisäksi uusien liiketoimintaratkaisujen integrointi yksinkertaisesti kasvattaa reikien lukumäärää, joista moolit saattavat pudota pienet karvaiset päänsä.

Kuvio A

Erilaisten turvavalvonnan hallinta, joka toteutetaan vastauksena uusiin uhkiin tai lainsäädännöllisiin vaatimuksiin, vaatii suuren määrän pehmeitä dollareita. Nämä usein tarpeettomat ja ”yhtenäiset” komponentit voivat todella luoda reikiä organisaation puolustukseen, mikä vaikeuttaa tietovarojen suojaamista ja uusien liiketoimintaratkaisujen käyttöönottoa.

Tällä tavalla turvallisuusammatti aloitti toimikautensa. Yrityksen johtajat väsyttävät kuitenkin sitä, mitä he näkevät nikkeliä vähentävänä ja IT-budjettia pienentävänä. Joten on mennyt aika, jolloin meidän on hallittava tietoturvatavoitteita turvallisuusarkkitehtuurin avulla. Arkkitehtuurin on tuettava muita yrityksen liiketoimintakehyksiä, jotka on tarkoitettu saavuttamaan liiketoiminnan tavoitteet. Rakentamalla kaikki ratkaisut näihin arkkitehtuureihin, olemme vakuuttuneita siitä, että "riittävän turvallinen" ympäristö on riittävän joustava uusien tai olemassa olevien liiketoimintajärjestelmien turvalliseen sijoittamiseen.

Ratkaisu Kuva B kuvaa joukon yritysarkkitehtuureja, jotka on suunniteltu saavuttamaan odotetut liiketoiminnan tulokset. Ensinnäkin tulokset perustuvat selkeästi ilmaistuun liiketoimintastrategiaan. Tulokset muunnetaan sitten tietoarkkitehtuuriksi, joka itse asiassa määrittelee liiketoiminnan. Verkko- ja järjestelmäarkkitehtuurit on suunniteltu tukemaan prosesseja, jotka luovat, hierovat ja toimittavat johdon ja operatiivisten ryhmien kannalta merkityksellistä tietoa. Suojausyrityksen tehtävänä on jatkuvasti mahdollistaa näihin arkkitehtuureihin rakennettujen komponenttien turvallinen ja saatavissa oleva käyttö.

Kuvio B

Turvallisuuden mahdollistavat tavoitteet eivät sovi hyvin Whack-a-Mole -lähestymistapaan. Tarvitaan hyvin määritelty, dokumentoitu ja hallittavissa oleva turvallisuusarkkitehtuuri. Sitä käyttämällä IT-ryhmät rakentavat järjestelmiä ja verkkosegmenttejä sisäänrakennetulla tietoturvalla. Vaaditaan sitä, mitä Novellin Jay Roxe kutsuu yhtenäiseksi kehykseksi.

Roxen mukaan

Ensimmäinen askel on päästä eroon tilapäisestä, osittaisesta lähestymistavasta säännösten noudattamiseen ja riskienhallintaan. Tämä saavutetaan parhaiten ottamalla aluksi inventaario kaikki organisaation riskienhallintaprosessit ja -ohjeet ja varmistamalla sitten, että ne on määritelty selkeästi ja dokumentoitu. Koska valvontaa ja käytäntöjä voi olla satoja tai tuhansia, organisaation koosta riippuen, tämä voi viedä aikaa ja vaivaa. Mutta se on sen arvoista (ZDNet, 2010).
Tämä vaihe tuottaa luettelon kaikista nykyisistä hallintalaitteista, niiden toiminnasta ja näkymä olemassa olevista aukoista ja irtisanomisista. Suoritimme tämän tehtävän ManorCaressa useita vuosia sitten. Käytimme taulukossa taulukon kaltaista laskentataulukkoa.

Kuvio C

Kerros / Vaadittu ohjaus -sarake edustaa odotuksia uuteen tietoturvastrategiaan, jonka kirjoitimme. Strategia perustui COBIT-, HIPAA- ja ISO / IEC 27002 -näkökohtien yhdistelmään, joka kattaa kaikki tieto- ja järjestelmän suojaustavoitteet. Strategian tarkoituksena oli määritellä ja dokumentoida arkkitehtuuri, joka:

  • Toteutettiin lainsäädännölliset vaatimukset
  • Suojatut työntekijöiden tiedot
  • Suojatut luottamukselliset yritystiedot
  • Varmistetaan kriittisten prosessien saatavuus johdon odotusten mukaisesti
  • Mahdollisti tietojen turvallisen toimittamisen milloin tahansa, missä tahansa
  • Antoimme meidän läpäistä sekä sisäiset että ulkoiset tarkastukset

Seuraavat sarakkeet osoittivat, kuinka jokainen olemassa oleva tietoturvaratkaisu täytti vai ei täyttänyt kutakin valvontavaatimusta. Prosessi kesti noin 60 päivää, mutta tulokset olivat välittömiä.

Matriisin avulla poistimme useita ohjauksia redundanssin takia tai ottamalla käyttöön käyttämättömät toiminnot muissa ohjaimissa. Jatkoimme matriisin käyttöä riskien tunnistamiseen aina, kun havaitaan uusi uhka. Useimmissa tapauksissa havaitsimme, että voimme yksinkertaisesti muuttaa olemassa olevien ohjelmistojen tai laitteistojen kokoonpanoja mukautuaksesi uusiin haasteisiin. (Lisätietoja matriisin käytöstä, katso kohta Käytä suojauksen hallintamatriisia perustellaksesi säätöjä ja vähentääkseen kustannuksia .)

Joten strategian ja hallitun hallintamatriisin yhdistelmä alensi kustannuksia, kertoi kuinka järjestelmät ja verkkokomponentit sopivat aktivointiprosessiin ja mahdollistivat joustavan reagoinnin esiin nouseviin uhkiin. Lopetimme reagoinnin ja aloimme proaktiivisesti rakentaa estävän, havaitsevan, rajoittavan ja reagoivan kehyksen jokaisen tilanteen varalta.

Viimeinen sana

Tunnistimme aiemmin kuin monet turvallisuusjärjestöt, että kykymme nousta punainen lippu ja saada automaattisesti budjettituloja oli heikentymässä. En sano, että lähestymistapanamme oli täydellinen, mutta se loi perustan parantumiselle ajan myötä. Lopputuloksena oli kyky reagoida liiketoiminnan tarpeisiin samalla kun menetelmällisesti ja aktiivisesti puututaan ulkoisen ja sisäisen turvallisuuden haasteisiin kohtuullisin kustannuksin.

© Copyright 2021 | mobilegn.com