Γιατί δεν υπάρχει μια ενιαία λύση για την ωριμότητα ασφάλειας

By

Marizas Dimitris

On

Οκτ 31, 2023

Οι οργανισμοί όλων των μεγεθών πρέπει να επιδιώκουν το υψηλότερο επίπεδο ωριμότητας ασφάλειας, αλλά η προσέγγιση πρέπει να ευθυγραμμίζεται με το μοναδικό σύνολο αναγκών ασφαλείας τους.

Με

τι

ς επιχειρήσεις να χειρίζονται περισσότερα δεδομένα από ποτέ, οι εγκληματίες του κυβερνοχώρου διπλασιάζουν τις προσπάθειες να τα χτυπήσουν. Το ανησυχητικό 83% των οργανισμών αντιμετώπισε περισσότερες από μία παραβιάσεις δεδομένων το 2022.

Οι απειλές εξελίσσονται και οι απάτες γίνονται πιο εξελιγμένες, χρησιμοποιώντας μέσα όπως εικονικές πλατφόρμες συναντήσεων για να πείσουν τους υπαλλήλους να μεταφέρουν χρήματα ή δεδομένα. Τώρα είναι η ώρα να προχωρήσουμε τα μέτρα κυβερνοασφάλειας στο επόμενο επίπεδο, αλλά το μέγεθος μιας επιχείρησης θα πρέπει να επηρεάσει την προσέγγισή της.

Το μέγεθος μετράει

Οι μεγαλύτεροι οργανισμοί έχουν μοναδικές και συγκεκριμένες ανάγκες ασφάλειας και συμμόρφωσης. Ως εκ τούτου, η στρατηγική τους στον κυβερνοχώρο πρέπει να ευθυγραμμίζεται με τους μοναδικούς κινδύνους τους. Οι μεγάλες επιχειρήσεις έχουν τα περισσότερα να χάσουν, με επιτυχημένες εισβολές που οδηγούν σε τεράστια κέρδη για τους εγκληματίες του κυβερνοχώρου – και συχνά γίνονται πρωτοσέλιδα στη διαδικασία, εάν εμπλέκεται μια επωνυμία υψηλού προφίλ.

Οι μικρές επιχειρήσεις, από την άλλη πλευρά, είναι απίθανο να έχουν το χρόνο και τους πόρους ή εξειδικευμένες γνώσεις για την ασφάλεια στον κυβερνοχώρο. Το έγκλημα στον κυβερνοχώρο αναμένεται να κοστίσει στον κόσμο 10,5 τρισεκατομμύρια δολάρια έως το 2025, με τις μικρές επιχειρήσεις να απορροφούν

μεγάλο

μέρος του αντίκτυπου. Ενώ οι μικρές επιχειρήσεις μπορεί να πιστεύουν ότι οι εγκληματίες του κυβερνοχώρου δεν θα τις στοχοποιήσουν λόγω του μεγέθους τους, ισχύει ακριβώς το αντίθετο.

Η επικράτηση του λογισμικού ως υπηρεσίας (

SaaS

) στο εγκληματικό υπόγειο καθιστά τη στόχευση χιλιάδων μικρών επιχειρήσεων τόσο εύκολη όσο το πάτημα ενός κουμπιού του ποντικιού. Κανείς

δεν είναι

«πολύ μικρός» για τους σημερινούς κυβερνοεγκληματίες.

Κέβιν Πιρς

Chief Product Officer της VikingCloud.

Αξιολόγηση της ωριμότητας της ασφάλειας

Η ωριμότητα ασφάλειας είναι η θέση ασφαλείας ενός οργανισμού σε σχέση με το περιβάλλον κινδύνου και τις ανοχές του. Το επίπεδο ωριμότητας ενός οργανισμού καθορίζεται από το πόσο αποτελεσματικά εφαρμόζει τους ελέγχους, τις αναφορές και τις διαδικασίες ασφαλείας.

Υπάρχουν πέντε επίπεδα ωριμότητας ασφάλειας:

Επίπεδο 1: Οι διαδικασίες ασφάλειας πληροφοριών δεν είναι δομημένες, οι πολιτικές δεν είναι τεκμηριωμένες και οι έλεγχοι δεν αυτοματοποιούνται ούτε αναφέρονται στην επιχείρηση. Μπορούν να περιοριστούν σε βασικούς ελέγχους, όπως η σάρωση.
Επίπεδο δεύτερο: Καθιερώνονται διαδικασίες ασφάλειας πληροφοριών και η πολιτική ορίζεται ανεπίσημα, αλλά εφαρμόζεται μόνο εν μέρει.
Επίπεδο τρίτο: Σε αυτό το επίπεδο δίνεται μεγαλύτερη προσοχή στην τεκμηρίωση πολιτικής, την εφαρμογή και την αυτοματοποίηση των ελέγχων, καθώς και μεγαλύτερα επίπεδα αναφοράς.
Επίπεδο τέταρτο: Επιτυγχάνεται μόλις ο οργανισμός ελέγχει τις διαδικασίες ασφάλειας πληροφοριών με ολοκληρωμένες πολιτικές, ευρεία εφαρμογή, υψηλό βαθμό αυτοματοποίησης και επιχειρηματική αναφορά.
Επίπεδο πέντε: Στο υψηλότερο επίπεδο ωριμότητας ασφάλειας, η πολιτική είναι ολοκληρωμένη και εγκρίνεται επίσημα. Έχει επιτευχθεί πλήρης ανάπτυξη και αυτοματοποίηση των ελέγχων και η υποβολή εκθέσεων επιχειρήσεων γίνεται σε όλα τα συστήματα. Οι διαδικασίες ασφάλειας πληροφοριών παρακολουθούνται και βελτιστοποιούνται συνεχώς.

Γενικά, όσο χαμηλότερα είναι τα έσοδα, τόσο μικρότερη είναι η ωριμότητα. Ένας λόγος είναι ότι οι μεγαλύτερες επιχειρήσεις τείνουν να έχουν πιο καθιερωμένες επιχειρηματικές διαδικασίες και οργανωτική δομή από τις μικρότερες αντίστοιχές τους. Ωστόσο, ένα κοινό χαρακτηριστικό των εταιρειών με ώριμα προγράμματα κυβερνοασφάλειας είναι να διασφαλίζουν ότι ολόκληρος ο οργανισμός γνωρίζει τις πρακτικές κυβερνοασφάλειας.

Η δημιουργία μιας κουλτούρας με προτεραιότητα την ασφάλεια και η εφαρμογή βέλτιστων πρακτικών για να διασφαλιστεί ότι οι έλεγχοι ασφάλειας είναι αποτελεσματικοί και συμμορφώνονται με τους κανονισμούς περί απορρήτου δεδομένων είναι τα πρώτα βήματα για την αύξηση του επιπέδου ωριμότητάς σας. Τόσο οι μεγάλες όσο και οι μικρές εταιρείες μπορούν να αναπτύξουν μια ισχυρή κουλτούρα για την ασφάλεια με τη σωστή καθοδήγηση.

Μέρος αυτού καθιστά την ασφάλεια στον κυβερνοχώρο θέμα του διοικητικού συμβουλίου. Η συμμετοχή διευθυντών σε συζητήσεις για την ασφάλεια θα ενθαρρύνει μια προληπτική στάση που μειώνει και ενισχύει την προσέγγιση ασφάλειας ολόκληρου του οργανισμού σας. Για τις μικρότερες εταιρείες, οι ιδιοκτήτες πρέπει να συναινέσουν στη σημασία της ωρίμανσης της στάσης ασφαλείας τους – και για αυτή τη νοοτροπία να αποδυναμώσει την υπόλοιπη εταιρεία.

Ο αυτοματισμός είναι επίσης ένα κρίσιμο μέρος για την επίτευξη υψηλού επιπέδου ωριμότητας ασφάλειας. Η εφαρμογή αυτοματοποιημένων λύσεων σημαίνει υψηλότερη αξιοπιστία, μεγαλύτερη αποτελεσματικότητα και παρέχει καλύτερες αναφορές για ταχύτερο χρόνο απόκρισης. Ωστόσο, η διαδικασία αύξησης των επιπέδων ωριμότητας ξεκινά με την υιοθέτηση ενός πλαισίου κυβερνοασφάλειας που θα βοηθήσει στον εντοπισμό κινδύνων, στην προστασία των περιουσιακών στοιχείων της εταιρείας και στον εντοπισμό, την απόκριση και την ανάκαμψη από μια επίθεση στον κυβερνοχώρο.

Κατανόηση πλαισίων ασφαλείας

Το μοντέλο ωριμότητας ικανότητας κυβερνοασφάλειας του Υπουργείου Ενέργειας των ΗΠΑ (C2M2) είναι ένα από τα κορυφαία πλαίσια ελέγχου ασφαλείας που βοηθά τους οργανισμούς να μετρούν τις διαδικασίες ασφάλειας πληροφοριών και να προσδιορίζουν πώς να τις βελτιώσουν.

Το μοντέλο ωριμότητας για την ασφάλεια στον κυβερνοχώρο (CIS) είναι ένα άλλο ολοκληρωμένο μοντέλο πολιτικής, ελέγχων, αυτοματισμού και αναφοράς που παρέχει στους οργανισμούς τη σιγουριά ότι διαχειρίζονται αποτελεσματικά την ασφάλεια στον κυβερνοχώρο και προστατεύονται από ένα πλήρες φάσμα απειλών. Αυτό το πλαίσιο, που αναπτύχθηκε αρχικά από το Υπουργείο Άμυνας των ΗΠΑ, παρέχει έναν οδηγό για την αξιολόγηση της ωριμότητας ασφαλείας ενός οργανισμού σύμφωνα με την αποτελεσματικότητά του στην εκπλήρωση ορισμένων ελέγχων.

Ωστόσο, όλα τα πλαίσια τείνουν να βασίζονται σε πρότυπα NIST (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας), τα οποία βοηθούν τις ομοσπονδιακές υπηρεσίες να συμμορφώνονται με τον Federal Information Security Management Act (FISMA) και άλλους κανονισμούς.

Το Πλαίσιο Κυβερνοασφάλειας NIST είναι ένα από τα πιο υιοθετημένα πρότυπα NIST. είναι ένα εθελοντικό πλαίσιο για επιχειρήσεις όλων των μεγεθών και σε όλους τους τομείς, που δημιουργήθηκε μέσω της συν

εργασία

ς μεταξύ της κυβέρνησης των ΗΠΑ και οργανισμών για την προώθηση της προστασίας των υποδομών ζωτικής σημασίας.

Βρίσκοντας τον κατάλληλο συνεργάτη

Καθώς το εγκληματικό τοπίο αλλάζει, οργανώσεις όλων των μεγεθών αναζητούν βοήθεια. Είναι σημαντικό για όλες τις επιχειρήσεις να είναι σαφείς σχετικά με τα σύνολα δεξιοτήτων που χρειάζονται για να μπορούν να επιλέξουν και να συνεργαστούν με τον κατάλληλο προμηθευτή ασφάλειας. Οι καλύτεροι συνεργάτες θα υποστηρίξουν και θα καθοδηγήσουν τον οργανισμό σε οποιοδήποτε στάδιο της διαδρομής ασφάλειας και συμμόρφωσης. Ενώ μεγάλο μέρος της συνεργασίας θα καθοδηγείται από ειδικευμένους ανθρώπους, είναι επίσης ζωτικής σημασίας για τον συνεργάτη να έχει μια πλατφόρμα που να συνδυάζει την ασφάλεια και τη συμμόρφωση.

Είναι αδύνατο να αγνοήσουμε την παγκόσμια αύξηση των απειλών για την ασφάλεια. Σήμερα, το θέμα δεν είναι αν μια οργάνωση θα δέχεται επίθεση αλλά πότε και πόσο συχνά. Σε συνδυασμό με ολοένα και πιο περίπλοκες εντολές συμμόρφωσης, οι οργανισμοί όλων των μεγεθών θα πρέπει να δώσουν προτεραιότητα στην αξιολόγηση και την αύξηση του επιπέδου ωριμότητας ασφαλείας τους – πριν να είναι πολύ αργά.

Βρείτε το καλύτερο λογισμικό διαχείρισης ταυτότητας.

VIA:

TechRadar.com/

Παρόμοια άρθρα