ما وراء الحوكمة والامتثال: ما أهمية المخاطرة الأمنية؟

لقد أدت اختصاصات صناعة الفطر والحكومة التي تحكم أمن تكنولوجيا المعلومات إلى بيئة منظمة إلى حد كبير وتدريبات مكافحة الحرائق السنوية. يمكن أن يتجاوز عدد اللوائح التي تؤثر على المنظمات المتوسطة بسهولة أكثر من عشرة أو أكثر ، ويزداد تعقيدًا يوميًا. هذا يجبر معظم الشركات على تخصيص كمية هائلة من الموارد لجهود الحوكمة والامتثال على رأس قائمة طويلة من أولويات تكنولوجيا المعلومات. هل هذه الجهود مبررة؟ أو مجرد متطلبات خانة الاختيار كجزء من نهج يحركها الامتثال للأمن؟

الحقيقة المرة هي أنه يمكنك جدولة عملية تدقيق ، لكن لا يمكنك تحديد موعد لجولة إلكترونية. كل يوم تقريبًا ، يتم تذكيرنا بهذه الحقيقة عندما تصدر الخروقات أخبارًا بارزة. ونتيجة لذلك ، خلصت العديد من المنظمات إلى أنه لاكتساب نظرة ثاقبة على موقفها من المخاطر ، يجب أن تتجاوز تقييمات الامتثال البسيطة. ونتيجة لذلك ، يأخذون في الاعتبار التهديدات ونقاط الضعف ، وكذلك تأثير الأعمال. مزيج من هذه العوامل الثلاثة فقط يضمن نظرة شاملة للمخاطر.

انهيار الامتثال

المؤسسات التي تتبع نهجًا معتمدًا على الامتثال لإدارة المخاطر لا تحقق سوى الأمن في الوقت المحدد. ذلك لأن الموقف الأمني ​​للشركة ديناميكي ويتغير بمرور الوقت. وقد ثبت هذا مرارا وتكرارا.

في الآونة الأخيرة ، بدأت المنظمات التقدمية في اتباع نهج أكثر استباقية وقائم على المخاطر تجاه الأمن. الهدف في نموذج قائم على المخاطر هو زيادة كفاءة عمليات أمن تكنولوجيا المعلومات الخاصة بالمؤسسة وتوفير الرؤية في وضع المخاطرة والامتثال. الهدف النهائي هو البقاء في الامتثال ، والحد من المخاطر وتشديد الأمن على أساس مستمر.

هناك عدد من العوامل التي تجعل المنظمات تنتقل إلى نموذج قائم على المخاطر. وتشمل هذه ، على سبيل المثال لا الحصر:

• التشريعات الإلكترونية الناشئة (على سبيل المثال ، قانون مشاركة وحماية الاستخبارات الإلكترونية)
• التوجيه الإشرافي من مكتب مراقب العملة (OCC)

الأمن للإنقاذ؟

من الشائع أن إدارة الثغرات الأمنية تقلل من خطر خرق البيانات. ومع ذلك ، وبدون وضع الثغرات الأمنية في سياق المخاطر المرتبطة بها ، غالبًا ما تقوم المنظمات بتصحيح موارد العلاج الخاصة بها. غالبًا ما يتجاهلون المخاطر الأكثر خطورة في حين يتناولون فقط "الفاكهة المعلقة".

هذا ليس مجرد مضيعة للمال ، ولكنه أيضًا يخلق نافذة أطول من الفرص للمتسللين لاستغلال نقاط الضعف الحرجة. الهدف النهائي هو تقصير نافذة المهاجمين لاستغلال عيوب البرمجيات. لذلك ، يجب أن تستكمل إدارة الثغرات الأمنية بنهج شمولي قائم على المخاطر للأمن ، والذي يأخذ في الاعتبار عوامل مثل التهديدات ، وسهولة الوصول ، وموقف امتثال المنظمة ، وتأثير العمل. إذا تعذر على التهديد الوصول إلى الثغرة الأمنية ، فإن الخطر المرتبط بذلك إما يتم تقليله أو القضاء عليه.

خطر كما الحقيقة الوحيدة

يمكن أن يلعب موقف الامتثال للمؤسسة دورًا أساسيًا في أمان تكنولوجيا المعلومات من خلال تحديد ضوابط التعويض التي يمكن استخدامها لمنع التهديدات من الوصول إلى هدفها. وفقًا لتقرير تحقيقات خرق بيانات Verizon 2013 ، وهو تحليل للبيانات التي تم الحصول عليها من تحقيقات الخرق التي أجرتها Verizon وغيرها من المؤسسات خلال العام السابق ، فقد تم تجنب 97 بالمائة من الحوادث الأمنية من خلال ضوابط بسيطة أو متوسطة. ومع ذلك ، فإن تأثير العمل هو عامل حاسم في تحديد المخاطر الفعلية. على سبيل المثال ، تمثل الثغرات الأمنية التي تهدد أصول الأعمال الحيوية مخاطرة أعلى بكثير من تلك المرتبطة بالأهداف الأقل أهمية.

عادةً ما لا يرتبط وضع الالتزام بأهمية الأصول التجارية. بدلاً من ذلك ، يتم تطبيق عناصر التحكم التعويضية بشكل عام واختبارها وفقًا لذلك. بدون فهم واضح لأهمية الأعمال التي تمثلها إحدى الأصول للمؤسسة ، لا يمكن للمؤسسة تحديد أولويات جهود العلاج. يعالج النهج القائم على المخاطر كلاً من الموقف الأمني ​​وتأثير العمل من أجل زيادة الكفاءة التشغيلية وتحسين دقة التقييم وتقليل أسطح الهجمات وتحسين عملية اتخاذ القرارات الاستثمارية.

كما ذكرنا سابقًا ، تتأثر المخاطر بثلاثة عوامل رئيسية: موقف الالتزام والتهديدات ونقاط الضعف وتأثير العمل. نتيجة لذلك ، من الضروري تجميع المعلومات النقدية المهمة حول مواقف المخاطرة والامتثال بمعلومات التهديد الحالية والجديدة والناشئة لحساب التأثيرات على العمليات التجارية وتحديد أولويات إجراءات العلاج.

ثلاثة عناصر إلى نظرة شمولية للخطر

هناك ثلاثة عناصر رئيسية لتنفيذ نهج قائم على المخاطر للأمن:

• ويشمل الامتثال المستمر التوفيق بين الأصول وأتمتة تصنيف البيانات ، ومواءمة الضوابط التقنية ، وأتمتة اختبار الامتثال ، ونشر استطلاعات التقييم ، وأتمتة دمج البيانات. مع الامتثال المستمر ، يمكن للمؤسسات تقليل التداخل من خلال الاستفادة من إطار تحكم مشترك لزيادة الدقة في جمع البيانات وتحليل البيانات ، وتقليل الجهود الزائدة عن الحاجة ، وكذلك اليدوية ، كثيفة العمالة بنسبة تصل إلى 75 في المئة.
• تتضمن المراقبة المستمرة زيادة وتيرة عمليات تقييم البيانات وتتطلب أتمتة البيانات الأمنية من خلال تجميع وتطبيع البيانات من مجموعة متنوعة من المصادر مثل معلومات الأمان وإدارة الأحداث (SIEM) وإدارة الأصول وموجز التهديدات وماسحات الضعف. في المقابل ، يمكن للمؤسسات تقليل التكاليف عن طريق توحيد الحلول ، وتبسيط العمليات ، وخلق الوعي الظرفي لكشف المآثر والتهديدات في الوقت المناسب ، وجمع بيانات الاتجاه التاريخية ، والتي يمكن أن تساعد في الأمن التنبئي.
• تعمل الحلول المغلقة والمبنية على المخاطر على زيادة فعالية الخبراء في وحدات الأعمال لتحديد كتالوج المخاطر وتحمل المخاطر. تستلزم هذه العملية تصنيف الأصول لتحديد درجة الأهمية التجارية ، والتسجيل المستمر لتمكين تحديد الأولويات على أساس المخاطر ، وتتبع الحلقة المغلقة والقياس. من خلال إنشاء حلقة مراجعة مستمرة للأصول الحالية والأفراد والعمليات والمخاطر المحتملة والتهديدات المحتملة ، يمكن للمؤسسات زيادة الكفاءة التشغيلية بشكل كبير ، مع تحسين التعاون بين الأعمال والأمن وعمليات تكنولوجيا المعلومات. وهذا يتيح للجهود الأمنية - مثل وقت الحل ، والاستثمار في موظفي العمليات الأمنية ، وشراء أدوات أمنية إضافية - أن يتم قياسها وجعلها ملموسة.

خلاصة القول بشأن المخاطر والامتثال

لم يتم تصميم صلاحيات الالتزام مطلقًا لقيادة ناقل أمان تكنولوجيا المعلومات. يجب أن يلعبوا دورًا داعمًا في إطار أمان ديناميكي مدفوعًا بتقييم المخاطر والرصد المستمر وعلاج الحلقة المغلقة.