در فضای امنیت فناوری اطلاعات، ما باید به همه چیز اهمیت دهیم. هر مسئلهای، مهم نیست که چقدر کوچک باشد، میتواند وسیلهای برای اجرای کد از راه دور یا حداقل، نقطه فرود عوامل تهدید برای زندگی خارج از زمین و تبدیل ابزارهای خودمان علیه ما باشد. تعجب آور نیست که کارکنان امنیت فناوری اطلاعات با فرسودگی و استرس مواجه می شوند. مطابق با تحقیق توسط Enterprise Strategy Group و ISSA، حدود نیمی از متخصصان امنیت فناوری اطلاعات فکر می کنند که شغل فعلی خود را در 12 ماه آینده ترک خواهند کرد.
تیم های امنیتی به طور حرفه ای مسئول هستند - و اکنون، برای افسران ارشد امنیت اطلاعات (CISO) شخصا مسئول - برای امنیت سازمان های خود. با این حال، در سایر حوزههای فناوری اطلاعات و فناوری، طرز فکر کاملاً متفاوتی وجود دارد. از شعار مارک زاکربرگ در مورد "سریع حرکت کنید و همه چیز را بشکنید"از طریق اریک ریس" راه اندازی ناب و مدل حداقل محصول قابل دوام (MVP)، فکر در این زمینه ها حرکت سریع و همچنین ارائه به اندازه کافی است تا سازمان بتواند به جلو حرکت کند و بهبود یابد.
اکنون، تیمهای امنیتی فناوری اطلاعات نمیتوانند این مدل را بپذیرند. مقررات بسیار زیادی وجود دارد که نمی توان در نظر گرفت. اما چه چیزی می توانیم از یک تمرین ذهنی در مورد حداقل انطباق قابل دوام (MVC) یاد بگیریم، و چگونه می توانیم از این اطلاعات برای کمک به رویکردمان استفاده کنیم؟
MVC چه چیزی را شامل می شود؟
MVC شامل پوشاندن چیزهایی است که برای ایمن بودن موثر لازم است. برای رسیدن به این هدف، باید بدانید که چه چیزی در اختیار دارید و چه چیزی برای حفظ امنیت ضروری است، و چه قوانین یا مقرراتی را باید برای نشان دادن اینکه با آنها مطابقت دارید، درک کنید.
برای مدیریت دارایی، در حالت ایده آل باید همه دارایی هایی را که نصب کرده اید بشناسید. بدون آن سطح نظارت، چگونه می توانید خود را ایمن بنامید؟ برای یک رویکرد MVC، آیا به بینش 100٪ در مورد آنچه دارید نیاز دارید؟
در واقع، پروژههای مدیریت دارایی مانند پایگاههای داده مدیریت پیکربندی (CMDB) با هدف ارائه هستند دید کامل به دارایی های فناوری اطلاعات، اما هرگز 100٪ دقیق نیستند. در گذشته، دقت دارایی حدود 70% تا 80% بود و حتی بهترین استقرارهای امروزی قادر به مشاهده کامل و حفظ آن نیستند. بنابراین، آیا باید بودجه MVC خود را در این زمینه صرف کنیم؟ بله، اما نه آن طور که ما ممکن است به طور سنتی فکر کنیم.
یکی از معاونین CISO به من گفت که ایدهآل پوشش کامل را درک میکند، اما این امکان پذیر نیست. در عوض، او به دید کامل و مداوم زیرساخت های حیاتی سازمان - حدود 2.5٪ از کل دارایی ها - اهمیت می دهد، در حالی که بارهای کاری دیگر تا آنجا که ممکن بود ردیابی می شدند. بنابراین، در حالی که دید هنوز یک عنصر ضروری برای برنامههای امنیت فناوری اطلاعات است، تلاش باید در ابتدا برای محافظت از داراییهای با بالاترین خطر انجام شود. با این حال، این یک هدف کوتاه مدت است، زیرا شما تنها یک افشای آسیبپذیری را از تبدیل شدن یک دارایی کمریسک به دارایی پرخطر فاصله دارید. در حین انجام این فرآیند، رعایت امنیت را با هم مخلوط نکنید - آنها یکسان نیستند. یک کسب و کار سازگار ممکن است ایمن نباشد.
برنامه ریزی مقررات
به عنوان بخشی از MVC، ما باید به قوانین و نحوه رعایت آنها فکر کنیم. چالش تیم های امنیتی این است که چگونه از قبل درباره این قوانین فکر کنند. رویکرد معمولی این است که قانون را وارد کنیم، سپس ببینیم کجا در برنامه های ما اعمال می شود، و سپس در صورت نیاز تغییراتی در سیستم ها ایجاد کنیم. با این حال، این می تواند یک رویکرد بسیار توقف شروع باشد که هر بار که مقررات جدیدی وارد می شود یا تغییر قابل توجهی رخ می دهد، شامل تغییر - و در نتیجه هزینه - می شود.
چگونه میتوانیم این فرآیند را برای تیمهایمان آسانتر کنیم؟ آیا به جای نگاه کردن به هر یک از مقررات به طور جداگانه، میتوانیم به آنچه در مقررات قابل اجرا مشترک است نگاه کنیم و سپس از آن برای کاهش میزان کار مورد نیاز با رعایت همه آنها استفاده کنیم؟ بهجای اینکه تیم را در تمرینهای بزرگ برای انطباق با سیستمها قرار دهیم، چه چیزی را میتوانیم از محدوده خارج کنیم یا بهعنوان خدماتی برای ارائه زیرساخت به روشی امن استفاده کنیم؟ به طور مشابه، آیا میتوانیم از بهترین شیوههای رایج مانند کنترلهای ابری برای حذف مجموعهای از مشکلات استفاده کنیم، نه اینکه به هر موضوع به صورت جداگانه نگاه کنیم؟
در قلب این رویکرد، ما باید هزینههای سربار مربوط به امنیت را کاهش دهیم و بر آنچه که بزرگترین خطرات برای کسبوکارمان است تمرکز کنیم. به جای اینکه به فناوریهای خاص فکر کنیم، میتوانیم این مشکلات را بهعنوان فرآیندها و مسائل افراد بررسی کنیم، زیرا مقررات همیشه با ادامه بازار تغییر میکنند و تغییر میکنند. در نظر گرفتن این طرز فکر، برنامه ریزی امنیتی را آسان تر می کند، زیرا در برخی از جزئیاتی که می تواند تیم ما را آزار دهد، زمانی که فرآیندهایی برای بررسی CVE ها و داده های تهدید ساخته شده اند، غرق نمی شود و نه در شرایط ریسک عملی در مورد آنچه واقعاً یک مسئله است.
ایده انجام حداقل های لازم برای برآورده کردن خواسته های بازار یا تصویب مجموعه ای از قوانین ممکن است در ارزش ظاهری جذاب باشد. اما طرز فکر MVP فقط رسیدن به یک سطح خاص و سپس استقرار در آنجا نیست. در عوض، رسیدن به حداقل استاندارد و سپس تکرار هر چه سریعتر برای بهبود بیشتر وضعیت است. برای تیم های امنیتی، این طرز فکر بهبود مستمر و جستجوی راه هایی برای کاهش ریسک می تواند جایگزین مفیدی برای مدل سنتی امنیت فناوری اطلاعات باشد. با تمرکز بر روی بهبودهایی که بیشترین تأثیر ریسک را در کوتاه ترین بازه زمانی خواهند داشت، می توانید اثربخشی خود را افزایش دهید و به طور کلی ریسک را کاهش دهید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why