תאימות מינימלית לביצוע: מה צריך לדאוג ומדוע

בתחום אבטחת ה-IT, עלינו לדאוג להכל. כל נושא, קטן ככל שיהיה, יכול להפוך לכלי לביצוע קוד מרחוק או, לכל הפחות, לנקודת נחיתה של גורמי איום לחיות מהאדמה ולהפנות את הכלים שלנו נגדנו. זה לא מפתיע שצוות אבטחת IT מתמודד עם שחיקה ולחץ. לפי מחקר של Enterprise Strategy Group ו-ISSA, כמחצית ממומחי אבטחת ה-IT חושבים שהם יעזבו את עבודתם הנוכחית ב-12 החודשים הקרובים.

צוותי אבטחה אחראים מקצועית - וכעת, עבור קציני אבטחת מידע ראשיים (CISOs), אחריות אישית - למען אבטחת הארגונים שלהם. אולם בתחומים אחרים של IT וטכנולוגיה, יש הלך רוח שונה לחלוטין. מתוך המנטרה של מארק צוקרברג של "לנוע במהירות ולשבור דבריםועד לאריק ריס הפעלה רזה והמודל של מינימום קיימא (MVP), המחשבה בתחומים אלה היא לנוע במהירות אך גם לספק מספיק כדי שהארגון יוכל להתקדם ולהשתפר.

כעת, צוותי אבטחת IT לא יכולים לאמץ את המודל הזה. יש יותר מדי תקנות שצריך לקחת בחשבון. אבל מה אנחנו יכולים ללמוד מתרגיל מנטלי סביב ציות מינימלי (MVC), וכיצד אנחנו יכולים להשתמש במידע הזה כדי לעזור לנו בגישה שלנו?

מה יכלול MVC?

MVC כרוך בכיסוי מה שצריך כדי להיות מאובטח ביעילות. כדי להשיג זאת, עליך להבין מה יש לך ומה חשוב לשמור על אבטחתך, ואילו כללים או תקנות עליך להוכיח שאתה מציית להם.

לניהול נכסים, באופן אידיאלי אתה צריך לדעת את כל הנכסים שהתקנת. ללא רמה זו של פיקוח, איך אתה יכול לקרוא לעצמך בטוח? עבור גישת MVC, האם תצטרך 100% תובנה לגבי מה שיש לך?

במציאות, פרויקטים של ניהול נכסים כמו מסדי נתונים לניהול תצורה (CMDBs) שואפים לספק נראות מלאה לנכסי IT, אבל הם אף פעם לא מדויקים ב-100%. בעבר, דיוק הנכסים נע סביב ה-70% עד 80%, ואפילו הפריסות הטובות ביותר כיום אינן מסוגלות להשיג נראות מלאה ולהשאיר אותה שם. אז, האם עלינו לבזבז את תקציב ה-MVC שלנו על תחום זה? כן, אבל לא בדיוק כמו שאנחנו עשויים לחשוב באופן מסורתי.

סגן אחד של CISO אמר לי שהוא מבין את האידיאל של סיקור מלא, אבל זה לא היה אפשרי; במקום זאת, הוא דואג לנראות מלאה ורציפה של התשתית הקריטית של הארגון - כ-2.5% מסך הנכסים - בעוד עומסי העבודה האחרים עוקבים בתדירות גבוהה ככל האפשר. לכן, בעוד שנראות היא עדיין מרכיב הכרחי עבור תוכניות אבטחת IT, המאמץ צריך להיכנס קודם להגנה על הנכסים בעלי הסיכון הגבוה ביותר. עם זאת, זוהי מטרה לטווח קצר, מכיוון שאתה נמצא במרחק של גילוי פגיעות בודד מנכס בסיכון נמוך שהופך לנכס בסיכון גבוה. תוך כדי תהליך זה, אל תערבב ציות לאבטחה - זה לא אותו דבר. ייתכן שעסק תואם אינו בטוח.

תכנון רגולציה

כחלק מ-MVC, עלינו לחשוב על תקנות וכיצד לעמוד בהן. האתגר של צוותי האבטחה הוא איך לחשוב קדימה סביב הכללים האלה. הגישה האופיינית היא להכניס את החקיקה, לאחר מכן לראות היכן היא חלה על היישומים שלנו, ולאחר מכן לבצע שינויים במערכות לפי הצורך. עם זאת, זו יכולה להיות גישת סטופ-סטארט מאוד הכרוכה בשינוי - ולפיכך בהוצאות - בכל פעם שנכנסת רגולציה חדשה או מתרחש שינוי משמעותי.

כיצד נוכל להקל על התהליך הזה עבור הצוותים שלנו? במקום להסתכל על כל תקנה בנפרד, האם נוכל להסתכל על המשותף לתקנות החלות, ולאחר מכן להשתמש בזה כדי להפחית את כמות העבודה הנדרשת בהתאם לכולן? במקום להעביר את הצוות לתרגילים ענקיים כדי להביא מערכות לתאימות, מה נוכל להוציא מהתחום או להשתמש כשירות כדי לספק את התשתית בצורה מאובטחת במקום זאת? באופן דומה, האם נוכל להשתמש בשיטות מומלצות נפוצות כמו בקרות ענן כדי להסיר קבוצות שלמות של בעיות, במקום להסתכל על כל בעיה בנפרד?

בלב גישה זו, עלינו לצמצם את התקורה סביב האבטחה ולהתרכז במה שמייצג את הסיכונים הגדולים ביותר עבור העסקים שלנו. במקום לחשוב על טכנולוגיות ספציפיות, אנו יכולים לבחון את הבעיות הללו כתהליכים ובעיות אנשים, מכיוון שהתקנות תמיד יתפתחו וישתנו ככל שהשוק ימשיך. נטילת הלך הרוח הזה מקלה על תכנון האבטחה, מכיוון שהוא לא נתקע בחלק מהפרטים שעלולים להטריד את הצוותים שלנו כאשר תהליכים נבנו כדי להסתכל על CVEs ונתוני איומים ולא במונחי סיכון מעשיים סביב מה שבאמת בעייתי.

הרעיון לעשות את המינימום הנדרש כדי לעמוד בדרישות השוק או לעבור מערכת כללים עשוי להיות מושך בערך הנקוב. אבל הלך הרוח של MVP הוא לא רק להגיע לרמה מסוימת ואז להתמקם שם. במקום זאת, מדובר על הגעה לסטנדרט המינימלי הזה ואז לחזור על המהירות האפשרית כדי לשפר את המצב עוד יותר. עבור צוותי אבטחה, חשיבה זו של שיפור מתמיד וחיפוש אחר דרכים להפחתת סיכונים יכולה להיות חלופה שימושית למודל אבטחת ה-IT המסורתי. על ידי התמקדות באילו שיפורים תהיה השפעת הסיכון הגדולה ביותר בפרק הזמן הקצר ביותר, אתה יכול להגביר את האפקטיביות שלך ולהפחית את הסיכון באופן כללי.

הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
מקור: https://www.darkreading.com/cyber-risk/minimum-viable-compliance-what-you-should-care-about-and-why

אינטליגנציה של נתונים גנרטיביים

תאימות מינימלית קיימא: מה צריך לדאוג לך ולמה

מה יכלול MVC?

תכנון רגולציה

אתגרי Coinbase SEC: הקרב על סיווג נכסים דיגיטליים והשפעות האדווה על רגולציית קריפטו

אתגרי Coinbase SEC: A Battle Over Asset דיגיטלי ועתיד הרגולציה של קריפטו

המודיעין האחרון

תקנות כספים וקריפטו מבוזר: עדכון מקיף מ-MYTH Ecosystem Airdrop לשינויי חקיקה גלובליים

תוכנית הנקודות החדשנית של MYTH Ecosystem מתגמלת משתמשים ב-BitPinas כאשר נוף הקריפטו העולמי מתפתח עם חקיקה ומגמות שוק חדשות

מערכת האקולוגית של MYTH מעודדת משתמשים עם תוכנית נקודות עבור $MYTHx Airdrop ככל שנוף הקריפטו העולמי מתפתח עם חקיקה ופיתוחים חדשים בתעשייה

תוכנית הנקודות החדשה של MYTH Ecosystem מתגמלת משתמשים ב-BitPinas בתוך התקדמות הרגולציה העולמית של קריפטו ודינמיקת השוק

תוכנית הנקודות של MYTH Ecosystem מתגמלת משתמשים ב-$MYTHx Airdrop ב-BitPinas בתוך עדכוני רגולטורי קריפטו גלובליים ודינמיקת השוק

היכרות עם תוכנית הנקודות של MYTH Ecosystem: מתגמלת מעורבות משתמש עם $MYTHx Airdrops ב-BitPinas בין עדכוני רגולטורי קריפטו גלובליים ומגמות שוק