Zuhause Sicherheit Jenseits von Governance und Compliance: Worauf es ankommt, ist das Sicherheitsrisiko

Jenseits von Governance und Compliance: Worauf es ankommt, ist das Sicherheitsrisiko

Inhaltsverzeichnis:

Anonim

Die zunehmenden Anforderungen der Industrie und der Regierung, die die IT-Sicherheit regeln, haben zu einer stark regulierten Umgebung und jährlichen Compliance-Brandschutzübungen geführt. Die Anzahl der Vorschriften, die sich auf durchschnittliche Organisationen auswirken, kann leicht ein Dutzend oder mehr überschreiten und mit jedem Tag komplexer werden. Dies zwingt die meisten Unternehmen dazu, zusätzlich zu ihrer langen Liste von IT-Prioritäten übermäßig viele Ressourcen für Governance- und Compliance-Maßnahmen bereitzustellen. Sind diese Bemühungen gerechtfertigt? Oder einfach eine Checkbox-Anforderung als Teil eines Compliance-orientierten Sicherheitsansatzes?


Die bittere Wahrheit ist, dass Sie ein Audit planen können, aber keinen Cyberangriff. Fast jeden Tag werden wir an diese Tatsache erinnert, wenn Verstöße Schlagzeilen machen. Infolgedessen sind viele Organisationen zu dem Schluss gekommen, dass sie über einfache Compliance-Bewertungen hinausgehen müssen, um einen Einblick in ihre Risikosituation zu erhalten. Infolgedessen berücksichtigen sie Bedrohungen und Schwachstellen sowie die Auswirkungen auf das Geschäft. Nur eine Kombination dieser drei Faktoren sichert eine ganzheitliche Betrachtung des Risikos.

Die Falle der Einhaltung

Unternehmen, die einen kästchen- und konformitätsorientierten Ansatz für das Risikomanagement verfolgen, erreichen nur eine zeitgenaue Sicherheit. Das liegt daran, dass die Sicherheitslage eines Unternehmens dynamisch ist und sich im Laufe der Zeit ändert. Dies hat sich immer wieder bewährt.


Vor kurzem haben fortschrittliche Organisationen begonnen, einen proaktiveren, risikobasierten Sicherheitsansatz zu verfolgen. Das Ziel eines risikobasierten Modells besteht darin, die Effizienz der IT-Sicherheitsabläufe eines Unternehmens zu maximieren und Transparenz über die Risiko- und Compliance-Situation zu schaffen. Das ultimative Ziel ist es, die Einhaltung der Vorschriften zu gewährleisten, das Risiko zu verringern und die Sicherheit kontinuierlich zu verbessern.


Eine Reihe von Faktoren führen dazu, dass Unternehmen zu einem risikobasierten Modell wechseln. Dazu gehören unter anderem:

  • Aufkommende Cyber-Gesetze (z. B. Cyber ​​Intelligence Sharing and Protection Act)
  • Aufsichtliche Anleitung durch das Amt des Währungsprüfers (OCC)

Sicherheit zur Rettung?

Es wird allgemein angenommen, dass das Schwachstellenmanagement das Risiko eines Datenverstoßes minimiert. Ohne Schwachstellen in den mit ihnen verbundenen Risikokontext einzubeziehen, richten Unternehmen ihre Korrekturressourcen häufig falsch aus. Oft übersehen sie die kritischsten Risiken, während sie sich nur mit "niedrig hängenden Früchten" befassen.


Dies ist nicht nur eine Geldverschwendung, sondern bietet Hackern auch ein längeres Zeitfenster, um kritische Schwachstellen auszunutzen. Das ultimative Ziel ist es, die Fenster zu verkürzen, die Angreifer haben, um einen Softwarefehler auszunutzen. Daher muss das Schwachstellenmanagement durch einen ganzheitlichen, risikobasierten Sicherheitsansatz ergänzt werden, der Faktoren wie Bedrohungen, Erreichbarkeit, Compliance-Haltung des Unternehmens und geschäftliche Auswirkungen berücksichtigt. Wenn die Bedrohung die Sicherheitsanfälligkeit nicht erreicht, wird das damit verbundene Risiko entweder verringert oder beseitigt.

Risiko als einzige Wahrheit

Die Compliance-Haltung einer Organisation kann eine wesentliche Rolle für die IT-Sicherheit spielen, indem sie Ausgleichskontrollen identifiziert, mit denen verhindert werden kann, dass Bedrohungen ihr Ziel erreichen. Laut dem Verizon Data Breach Investigations Report 2013, einer Analyse der Daten, die Verizon und andere Organisationen im vergangenen Jahr aus Untersuchungen zu Verstößen gewonnen haben, konnten 97 Prozent der Sicherheitsvorfälle durch einfache oder Zwischenkontrollen vermieden werden. Die Auswirkungen auf das Geschäft sind jedoch ein entscheidender Faktor für die Bestimmung des tatsächlichen Risikos. Beispielsweise stellen Schwachstellen, die kritische Unternehmensressourcen bedrohen, ein weitaus höheres Risiko dar als solche, die mit weniger kritischen Zielen verbunden sind.


Die Compliance-Haltung ist in der Regel nicht an die Geschäftskritikalität von Assets gebunden. Stattdessen werden Ausgleichsregelungen generisch angewendet und entsprechend getestet. Ohne ein klares Verständnis der Geschäftskritikalität, die ein Asset für eine Organisation darstellt, ist eine Organisation nicht in der Lage, Korrekturmaßnahmen zu priorisieren. Ein risikoorientierter Ansatz berücksichtigt sowohl die Sicherheitslage als auch die Auswirkungen auf das Geschäft, um die betriebliche Effizienz zu steigern, die Genauigkeit der Bewertung zu verbessern, Angriffsflächen zu reduzieren und die Investitionsentscheidung zu verbessern.


Wie bereits erwähnt, wird das Risiko von drei Schlüsselfaktoren beeinflusst: Compliance-Haltung, Bedrohungen und Schwachstellen sowie Auswirkungen auf das Geschäft. Daher ist es wichtig, wichtige Informationen zu Risiken und zur Einhaltung von Vorschriften mit aktuellen, neuen und aufkommenden Bedrohungsinformationen zu kombinieren, um die Auswirkungen auf den Geschäftsbetrieb zu berechnen und Korrekturmaßnahmen zu priorisieren.

Drei Elemente für eine ganzheitliche Risikobetrachtung

Die Implementierung eines risikobasierten Sicherheitsansatzes besteht aus drei Hauptkomponenten:

  • Die kontinuierliche Einhaltung umfasst den Abgleich von Assets und die Automatisierung der Datenklassifizierung, die Ausrichtung technischer Kontrollen, die Automatisierung von Compliance-Tests, die Bereitstellung von Bewertungserhebungen und die Automatisierung der Datenkonsolidierung. Durch die kontinuierliche Einhaltung von Richtlinien können Unternehmen Überschneidungen reduzieren, indem sie ein gemeinsames Kontroll-Framework einsetzen, um die Genauigkeit bei der Datenerfassung und -analyse zu erhöhen und redundanten sowie manuellen, arbeitsintensiven Aufwand um bis zu 75 Prozent zu reduzieren.
  • Die kontinuierliche Überwachung erfordert eine erhöhte Häufigkeit von Datenbewertungen und eine Automatisierung der Sicherheitsdaten durch Aggregation und Normalisierung von Daten aus einer Vielzahl von Quellen wie Sicherheitsinformationen und Ereignismanagement (SIEM), Asset Management, Bedrohungs-Feeds und Schwachstellenscanner. Im Gegenzug können Unternehmen Kosten senken, indem sie Lösungen vereinheitlichen, Prozesse rationalisieren, ein Situationsbewusstsein schaffen, um Exploits und Bedrohungen rechtzeitig aufzudecken, und historische Trenddaten sammeln, die zur Vorhersage der Sicherheit beitragen können.
  • Die risikobasierte Sanierung im geschlossenen Regelkreis nutzt Fachexperten in den Geschäftsbereichen, um einen Risikokatalog und eine Risikotoleranz zu definieren. Dieser Prozess umfasst die Klassifizierung von Assets zur Definition der Geschäftskritikalität, die kontinuierliche Bewertung zur Ermöglichung einer risikobasierten Priorisierung sowie die Verfolgung und Messung im geschlossenen Regelkreis. Durch die Einrichtung einer kontinuierlichen Überprüfungsschleife für vorhandene Assets, Personen, Prozesse, potenzielle Risiken und mögliche Bedrohungen können Unternehmen die betriebliche Effizienz erheblich steigern und gleichzeitig die Zusammenarbeit zwischen Geschäft, Sicherheit und IT-Betrieb verbessern. Auf diese Weise können Sicherheitsmaßnahmen wie die Zeit bis zur Lösung, Investitionen in das Sicherheitspersonal und die Anschaffung zusätzlicher Sicherheitstools gemessen und greifbar gemacht werden.

Das Fazit zu Risiko und Compliance

Compliance-Mandate waren niemals darauf ausgelegt, den IT-Sicherheitsbus voranzutreiben. Sie sollten eine unterstützende Rolle in einem dynamischen Sicherheitsrahmen spielen, der auf Risikobewertung, kontinuierlicher Überwachung und Behebung des Problems beruht.
Jenseits von Governance und Compliance: Worauf es ankommt, ist das Sicherheitsrisiko