Inteligência de dados generativa

Cíber segurança

Conformidade mínima viável: com o que você deve se preocupar e por quê

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 0

No espaço de segurança de TI, temos que nos preocupar com tudo. Qualquer problema, por menor que seja, pode tornar-se um veículo para a execução remota de código ou, pelo menos, um ponto de chegada para os agentes da ameaça viverem da terra e usarem as suas próprias ferramentas contra nós. Não é surpresa que a equipe de segurança de TI enfrente esgotamento e estresse. De acordo com pesquisa do Enterprise Strategy Group e ISSA, cerca de metade dos profissionais de segurança de TI pensam que deixarão o seu emprego atual nos próximos 12 meses.

As equipes de segurança são profissionalmente responsáveis ​​— e agora, para os diretores de segurança da informação (CISOs), pessoalmente responsável — para a segurança das suas organizações. No entanto, em outras áreas de TI e tecnologia, existe uma mentalidade completamente diferente. Do mantra de Mark Zuckerberg “mova-se rapidamente e quebre as coisas”até Eric Ries' Startup magra e o modelo de produto mínimo viável (MVP), o pensamento nessas áreas é avançar rapidamente, mas também entregar apenas o suficiente para que a organização possa avançar e melhorar.

Agora, as equipes de segurança de TI não podem adotar esse modelo. Existem muitos regulamentos a serem considerados. Mas o que podemos aprender com um exercício mental sobre conformidade mínima viável (MVC) e como podemos usar essas informações para nos ajudar em nossa abordagem?

O que o MVC envolveria?

MVC envolve cobrir o que é necessário para ser efetivamente seguro. Para conseguir isso, você deve entender o que está em vigor e o que é fundamental para manter a segurança, e quais regras ou regulamentos você deve demonstrar que está em conformidade.

Para gerenciamento de ativos, o ideal é que você conheça todos os ativos que instalou. Sem esse nível de supervisão, como você pode se considerar seguro? Para uma abordagem MVC, você precisaria de 100% de insights sobre o que você tem?

Na realidade, projetos de gerenciamento de ativos, como bancos de dados de gerenciamento de configuração (CMDBs), visam fornecer visibilidade total dos ativos de TI, mas nunca são 100% precisos. No passado, a precisão dos ativos oscilava em torno da marca de 70% a 80%, e mesmo as melhores implantações atuais não conseguem alcançar visibilidade total e mantê-la lá. Então, deveríamos gastar nosso orçamento de MVC nessa área? Sim, mas não exatamente da maneira que tradicionalmente pensamos.

Um vice-CISO me disse que entende o ideal de cobertura total, mas que isso não era possível; em vez disso, ele se preocupa com a visibilidade total e contínua da infraestrutura crítica da organização — cerca de 2.5% do total de ativos — enquanto as outras cargas de trabalho são monitoradas com a maior frequência possível. Assim, embora a visibilidade ainda seja um elemento necessário para os programas de segurança de TI, o esforço deve ser direcionado primeiro para a proteção dos ativos de maior risco. No entanto, esta é uma meta de curto prazo, já que você está a apenas uma divulgação de vulnerabilidade de um ativo de baixo risco se tornar um ativo de alto risco. Ao passar por esse processo, não confunda conformidade com segurança – elas não são a mesma coisa. Uma empresa compatível pode não ser segura.

Planejamento Regulatório

Como parte do MVC, temos que pensar nos regulamentos e em como cumpri-los. O desafio para as equipes de segurança é como pensar no futuro em torno dessas regras. A abordagem típica é introduzir a legislação, ver onde ela se aplica às nossas aplicações e, em seguida, fazer alterações nos sistemas conforme necessário. No entanto, esta pode ser uma abordagem pára-arranca que envolve mudanças – e, portanto, despesas – sempre que é introduzida uma nova regulamentação ou ocorre uma mudança significativa.

Como podemos tornar esse processo mais fácil para nossas equipes? Em vez de analisar cada regulamento separadamente, podemos olhar para o que é comum aos regulamentos aplicáveis ​​e depois utilizar isso para reduzir a quantidade de trabalho necessária no cumprimento de todos eles? Em vez de submeter a equipe a enormes exercícios para colocar os sistemas em conformidade, o que podemos retirar do escopo ou usar como serviço para fornecer a infraestrutura de maneira segura? Da mesma forma, podemos usar práticas recomendadas comuns, como controles de nuvem, para remover conjuntos inteiros de problemas, em vez de analisar cada problema individualmente?

No centro desta abordagem, temos de reduzir as despesas gerais em torno da segurança e concentrar-nos naquilo que representa os maiores riscos para os nossos negócios. Em vez de pensar em tecnologias específicas, podemos examinar estes problemas como questões de processos e de pessoas, porque as regulamentações irão sempre evoluir e mudar à medida que o mercado avança. Adotar essa mentalidade facilita o planejamento da segurança, porque ele não fica preso em alguns dos detalhes que podem atormentar nossas equipes quando os processos são criados para analisar CVEs e dados de ameaças, em vez de analisar termos práticos de risco em torno do que realmente é um problema.

A ideia de fazer o mínimo necessário para satisfazer as exigências do mercado ou aprovar um conjunto de regras pode ser apelativa à primeira vista. Mas a mentalidade do MVP não consiste apenas em chegar a um nível específico e depois se estabelecer nele. Em vez disso, trata-se de chegar a esse padrão mínimo e depois iterar o mais rápido possível para melhorar ainda mais a situação. Para as equipes de segurança, essa mentalidade de melhoria contínua e busca por maneiras de reduzir riscos pode ser uma alternativa útil ao modelo tradicional de segurança de TI. Ao concentrar-se nas melhorias que teriam maior impacto de risco no menor período de tempo, você pode aumentar sua eficácia e reduzir o risco em geral.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.