Ngoài quản trị và tuân thủ: tại sao rủi ro bảo mật là vấn đề quan trọng

Ngành công nghiệp nấm và các nhiệm vụ của chính phủ chi phối an ninh CNTT đã dẫn đến một môi trường được kiểm soát chặt chẽ và diễn tập chữa cháy tuân thủ hàng năm. Số lượng các quy định ảnh hưởng đến các tổ chức trung bình có thể dễ dàng vượt quá một chục hoặc nhiều hơn và ngày càng phức tạp hơn. Điều này đang buộc hầu hết các công ty phải giao một lượng tài nguyên không phù hợp cho các nỗ lực quản trị và tuân thủ trong danh sách ưu tiên CNTT dài của họ. Những nỗ lực này có được bảo hành không? Hoặc chỉ đơn giản là một yêu cầu hộp kiểm như một phần của cách tiếp cận theo hướng tuân thủ bảo mật?

Sự thật cay đắng là bạn có thể lên lịch kiểm toán, nhưng bạn không thể lên lịch cho một cuộc tấn công mạng. Gần như mỗi ngày, chúng tôi được nhắc nhở về thực tế này khi vi phạm làm tin tức tiêu đề. Do đó, nhiều tổ chức đã kết luận rằng để có cái nhìn sâu sắc về tư thế rủi ro của họ, họ phải vượt qua các đánh giá tuân thủ đơn giản. Kết quả là, họ đang tính đến các mối đe dọa và lỗ hổng, cũng như tác động kinh doanh. Chỉ có sự kết hợp của ba yếu tố này đảm bảo một cái nhìn toàn diện về rủi ro.

Cạm bẫy của việc tuân thủ

Các tổ chức theo đuổi một hộp kiểm, cách tiếp cận theo hướng tuân thủ để quản lý rủi ro chỉ đạt được bảo mật tại thời điểm. Đó là bởi vì tư thế bảo mật của một công ty rất năng động và thay đổi theo thời gian. Điều này đã được chứng minh hết lần này đến lần khác.

Gần đây, các tổ chức tiến bộ đã bắt đầu theo đuổi cách tiếp cận dựa trên rủi ro, chủ động hơn đối với an ninh. Mục tiêu trong mô hình dựa trên rủi ro là tối đa hóa hiệu quả của các hoạt động bảo mật CNTT của tổ chức và cung cấp khả năng hiển thị về tư thế tuân thủ rủi ro và tuân thủ. Mục tiêu cuối cùng là duy trì sự tuân thủ, giảm thiểu rủi ro và tăng cường bảo mật một cách liên tục.

Một số yếu tố đang khiến các tổ chức chuyển sang mô hình dựa trên rủi ro. Chúng bao gồm, nhưng không giới hạn:

• Luật pháp mạng mới nổi (ví dụ: Đạo luật bảo vệ và chia sẻ thông tin mạng)
• Hướng dẫn giám sát của Văn phòng Tổng giám đốc tiền tệ (OCC)

An ninh để giải cứu?

Người ta thường tin rằng quản lý lỗ hổng sẽ giảm thiểu rủi ro vi phạm dữ liệu. Tuy nhiên, không đặt các lỗ hổng vào bối cảnh rủi ro liên quan đến chúng, các tổ chức thường điều chỉnh sai tài nguyên khắc phục của họ. Thường thì họ bỏ qua những rủi ro nghiêm trọng nhất trong khi chỉ giải quyết "trái cây treo thấp".

Điều này không chỉ lãng phí tiền mà còn tạo ra cơ hội dài hơn cho tin tặc khai thác các lỗ hổng nghiêm trọng. Mục tiêu cuối cùng là rút ngắn những kẻ tấn công cửa sổ phải khai thác lỗ hổng phần mềm. Do đó, quản lý lỗ hổng phải được bổ sung bằng cách tiếp cận toàn diện, dựa trên rủi ro đối với an ninh, xem xét các yếu tố như mối đe dọa, khả năng tiếp cận, tư thế tuân thủ của tổ chức và tác động kinh doanh. Nếu mối đe dọa không thể đạt đến lỗ hổng, rủi ro liên quan sẽ giảm hoặc loại bỏ.

Rủi ro là sự thật duy nhất

Tư thế tuân thủ của một tổ chức có thể đóng một vai trò thiết yếu trong bảo mật CNTT bằng cách xác định các kiểm soát bù có thể được sử dụng để ngăn chặn các mối đe dọa tiếp cận mục tiêu của họ. Theo Báo cáo Điều tra Vi phạm Dữ liệu của Verizon năm 2013, phân tích dữ liệu thu được từ các cuộc điều tra vi phạm mà Verizon và các tổ chức khác đã thực hiện trong năm trước, 97% các sự cố bảo mật có thể tránh được thông qua các điều khiển đơn giản hoặc trung gian. Tuy nhiên, tác động kinh doanh là một yếu tố quan trọng trong việc xác định rủi ro thực tế. Ví dụ: các lỗ hổng đe dọa tài sản kinh doanh quan trọng thể hiện rủi ro cao hơn nhiều so với các lỗ hổng có liên quan đến các mục tiêu ít quan trọng hơn.

Tư thế tuân thủ thường không gắn liền với mức độ quan trọng của doanh nghiệp đối với tài sản. Thay vào đó, các điều khiển bù được áp dụng rộng rãi và được kiểm tra tương ứng. Không có sự hiểu biết rõ ràng về mức độ quan trọng của doanh nghiệp mà một tài sản đại diện cho một tổ chức, một tổ chức không thể ưu tiên các nỗ lực khắc phục. Một cách tiếp cận dựa trên rủi ro giải quyết cả tư thế bảo mật và tác động kinh doanh để tăng hiệu quả hoạt động, cải thiện độ chính xác đánh giá, giảm bề mặt tấn công và cải thiện việc ra quyết định đầu tư.

Như đã đề cập trước đó, rủi ro bị ảnh hưởng bởi ba yếu tố chính: tư thế tuân thủ, mối đe dọa và lỗ hổng và tác động kinh doanh. Do đó, điều cần thiết là tổng hợp thông tin tình báo quan trọng về các tư thế rủi ro và tuân thủ với thông tin về mối đe dọa hiện tại, mới và mới nổi để tính toán các tác động đối với hoạt động kinh doanh và ưu tiên các hành động khắc phục.

Ba yếu tố để có cái nhìn toàn diện về rủi ro

Có ba thành phần chính để thực hiện cách tiếp cận dựa trên rủi ro đối với bảo mật:

• Tuân thủ liên tục bao gồm việc đối chiếu tài sản và tự động hóa phân loại dữ liệu, căn chỉnh các kiểm soát kỹ thuật, tự động hóa kiểm tra tuân thủ, triển khai khảo sát đánh giá và tự động hóa hợp nhất dữ liệu. Với việc tuân thủ liên tục, các tổ chức có thể giảm sự chồng chéo bằng cách tận dụng khung kiểm soát chung để tăng độ chính xác trong thu thập dữ liệu và phân tích dữ liệu, đồng thời giảm các nỗ lực thâm dụng lao động, thủ công, lên tới 75%.
• Giám sát liên tục ngụ ý tăng tần suất đánh giá dữ liệu và yêu cầu tự động hóa dữ liệu bảo mật bằng cách tổng hợp và chuẩn hóa dữ liệu từ nhiều nguồn khác nhau như thông tin bảo mật và quản lý sự kiện (SIEM), quản lý tài sản, nguồn cấp dữ liệu đe dọa và quét lỗ hổng. Đổi lại, các tổ chức có thể giảm chi phí bằng cách thống nhất các giải pháp, hợp lý hóa các quy trình, tạo nhận thức tình huống để phơi bày các khai thác và các mối đe dọa kịp thời và thu thập dữ liệu xu hướng lịch sử, có thể hỗ trợ bảo mật dự đoán.
• Biện pháp khắc phục khép kín, dựa trên rủi ro tận dụng các chuyên gia trong lĩnh vực kinh doanh để xác định danh mục rủi ro và chấp nhận rủi ro. Quá trình này đòi hỏi phân loại tài sản để xác định mức độ quan trọng của doanh nghiệp, ghi điểm liên tục để cho phép ưu tiên dựa trên rủi ro và theo dõi và đo lường vòng kín. Bằng cách thiết lập một vòng đánh giá liên tục các tài sản hiện có, con người, quy trình, rủi ro tiềm ẩn và các mối đe dọa có thể, các tổ chức có thể tăng đáng kể hiệu quả hoạt động, đồng thời cải thiện sự hợp tác giữa các hoạt động kinh doanh, bảo mật và CNTT. Điều này cho phép các nỗ lực bảo mật - chẳng hạn như giải quyết theo thời gian, đầu tư vào nhân viên hoạt động bảo mật, mua các công cụ bảo mật bổ sung - được đo lường và thực hiện rõ ràng.

Điểm mấu chốt về rủi ro và tuân thủ

Nhiệm vụ tuân thủ không bao giờ được thiết kế để lái xe buýt bảo mật CNTT. Họ phải đóng vai trò hỗ trợ trong khuôn khổ bảo mật động được thúc đẩy bởi đánh giá rủi ro, giám sát liên tục và khắc phục vòng kín.