Ложное чувство безопасности: соответствие — это хорошо, но этого недостаточно.

Опубликовано: 2 Апреля, 2023
Ложное чувство безопасности: соответствие — это хорошо, но этого недостаточно.

Если полагаться исключительно на соответствие требованиям для обеспечения необходимой защиты безопасности, это сопряжено с большим риском.

Многие ошибочно полагают, что соответствие требованиям и безопасность — это одно и то же: если вы соблюдаете нормативные стандарты, это должно означать, что ваш бизнес защищен. Однако соблюдение нормативных требований не гарантирует комплексной безопасности вашего бизнеса, систем, клиентов и данных, которые вы обрабатываете.

Соответствие необходимо и важно, но оно только подтверждает, что вы выполнили требования определенного стандарта, что часто соответствует минимально приемлемому уровню безопасности для этого стандарта.

Итак, да, вы, возможно, выполнили свои требования соответствия — и можете заявить, что ваш бизнес соответствует определенному стандарту безопасности — но это не покроет вас во всех случаях безопасности. Это не защитит вас от каждого инцидента взлома или угрозы кибербезопасности. Более того, соблюдение требований не снимает с вас ответственности или последствий нападения на ваш бизнес.

Это наблюдается снова и снова, когда крупные организации, имеющие действующие сертификаты соответствия, все же становятся жертвами кибератак, а их данные взламываются. Они соответствовали множеству стандартов, но это не защищало их!

Важно понимать, что соответствие не означает безопасность. Между ними есть некоторые связи, но соблюдение не обязательно гарантирует максимальную защиту.

Соответствие требованиям и безопасность

В наши дни киберугрозы таятся за каждым углом и существуют в самых разных формах и результатах. Кроме того, они постоянно меняются. В этой сложной экосистеме, в которой мы работаем, чтобы защитить наши организации и людей, наша безопасность должна быть живым и адаптируемым процессом.

Безопасность

Безопасность требует осторожного, настойчивого и тщательного подхода. Должная осмотрительность необходима для защиты конфиденциальности, доступности и целостности бизнес-активов, включая услуги и информацию, которые имеют решающее значение для его функционирования. Это часто решается путем всеохватывающего взгляда на бизнес в целом — рассмотрения всех компонентов, того, как они объединяются, и как они зависят друг от друга или влияют друг на друга. Анализ бизнеса в целом и защита его как такового.

Уникальная, подходящая стратегия безопасности разрабатывается и реализуется с использованием необходимых средств контроля (физических, технических и административных) для достижения поставленных целей безопасности.

Передовой опыт часто используется для предотвращения угроз и снижения потенциального риска и ущерба в результате атаки (часто принимаемой как данность).

Согласие

Соответствие - это другое. Соответствие — это проверка того, насколько ваша программа безопасности соответствует определенным стандартам безопасности, установленным регулирующими органами. Стандарты соответствия разрабатываются регулирующими органами, чтобы обеспечить каждому минимальный уровень безопасности.

Соответствие необходимо и является требованием для организаций, чтобы соответствовать уровню безопасности, необходимому для работы. Это необходимо не только с юридической точки зрения, но и для обеспечения конкурентного преимущества, а также для обеспечения уверенности клиентов в том, как вы работаете.

Таким образом, безопасность и соответствие играют разные роли. Правильно реализованные меры кибербезопасности защищают ваш бизнес и информацию от угроз, управляя тем, как процессы и информация используются, потребляются и предоставляются. Принимая во внимание, что соответствие — это моментальный снимок вашей безопасности, который показывает, как ваша безопасность соответствует набору требований безопасности в данный момент времени.

Почему недостаточно быть послушным

Организация должна быть как совместимой, так и безопасной. Но соответствие не обеспечивает того уровня безопасности, который требуется бизнесу для обеспечения комплексной защиты. Для защиты необходима функциональная активная стратегия безопасности. Расширенная безопасность выходит далеко за рамки набора требований соответствия.

Каждое соответствие обычно является лишь частью всей стратегии безопасности. Например, соответствие GDPR касается компонента безопасности данных. Если GDPR является вашей единственной проверкой соответствия и вы больше ничего не делаете для защиты своей среды, сети и других систем, вы можете быть уязвимы для угроз. Для обеспечения эффективной безопасности необходимо учитывать все факторы.

Требования соответствия не учитывают каждую сложность — уникальные среды, инфраструктуры или процессы для каждого бизнеса. Он не рассматривает различные переменные, существующие в каждом типе бизнеса. Если они не будут устранены за рамками соблюдения требований, это может оставить предприятия уязвимыми для атак, даже если соблюдение требований будет достигнуто.

Стратегия безопасности живет и продолжает реагировать на новые возникающие угрозы и любые изменения в системах, процессах и инфраструктуре с течением времени, в то время как соответствие часто более статично. После получения сертификата бизнес обычно возвращается в нормальное русло до тех пор, пока (периодически, может быть, ежегодно) бизнесу не потребуется еще раз подтвердить свое соответствие.

Конечно, эти стандарты могут меняться со временем, но они не всегда поддерживаются или обновляются со скоростью, соответствующей изменениям, происходящим в нашей среде и кибербезопасности ежедневно. Угрозы, технологии и меры защиты постоянно меняются. Таким образом, соответствие никогда не может адекватно учитывать все аспекты безопасности.

Слишком часто, когда организации знают, что их системы были проверены на соответствие требованиям, они успокаиваются. Это оставляет их открытыми для угроз, которые они могли бы предвидеть и защитить от них, если бы усилия были направлены на комплексную безопасность, а не только на установление галочек для достижения соответствия.

Соответствие может дать ложное чувство безопасности

Изображение 10088
Шаттерсток

Организации должны соответствовать различным отраслевым и нормативным стандартам по множеству причин. Стандарты соответствия, такие как Стандарты безопасности данных индустрии платежных карт (PCI DSS), Закон о переносимости и подотчетности медицинского страхования (HIPAA) и Общий регламент по защите данных (GDPR), и это лишь некоторые из них, имеют свои собственные технические и операционные требования, которым должны соответствовать предприятия. соответствовать стандарту и получить печать одобрения.

Компании в основном стремятся достичь этого, чтобы выполнить юридические обязательства по работе в рамках закона и продемонстрировать уровень работы третьим сторонам. Это не для целей защиты всей среды.

Например, совместимость с PCI означает, что вы работаете в соответствии с универсальными рекомендациями по обработке информации о платежных картах. Для организаций здравоохранения соблюдение требований HIPAA является обязательным, и любой, кто обрабатывает личную информацию граждан ЕС, должен соблюдать GDPR, чтобы обеспечить защиту и конфиденциальность личной информации субъектов данных ЕС. И HIPAA, и GDPR сосредоточены на определенных аспектах безопасности, что означает, что меры безопасности будут сосредоточены на защите данных и конфиденциальности людей. Поскольку каждый стандарт обычно ограничивается определенной областью и рассматривает безопасность конкретной вещи, другие области за пределами этой области могут не охватываться соответствием. Это может сделать организацию уязвимой для угроз и создать пробелы в безопасности, если вы полагаетесь исключительно на соответствие для защиты.

Соответствие не всегда учитывает все изменения в будущем. Он может не учитывать изменения в системах или активах данных или вещи, которые вы не учли во время аудита соответствия, но теперь стали очевидными. Если у вас нет стратегии безопасности для учета этих изменений — вы не в безопасности, даже если вы соответствуете (или были) требованиям.

Для обеспечения эффективной безопасности каждая мера и действие должны постоянно учитываться. Поверхности атак меняются со временем, как и векторы атак и угрозы.

Вам необходимо постоянно управлять рисками и устранять их. Вам необходимо внедрить элементы управления и обучить своих людей, а также сохранить контроль над безопасностью вашей среды, систем, инфраструктуры, данных и людей. Вы должны быть в курсе постоянно меняющихся угроз. Вам необходимо обеспечить видимость и прозрачность — обнаруживать, отслеживать, реагировать и обеспечивать, чтобы ваши меры безопасности (технические, операционные и кадровые) всегда были настолько эффективными, насколько это возможно, чтобы обеспечить максимальную защиту.

Просто поставив галочки для достижения соответствия и имея сертификат, этого недостаточно для вашего бизнеса. Только многоуровневая стратегия безопасности будет.

Не позволяйте соблюдению останавливать все другие действия по обеспечению безопасности

Нам нужно отказаться от того, чтобы делать только то, что необходимо для достижения соответствия, и вместо этого стремиться реализовать стратегию безопасности, в которой соответствие является результатом реальной безопасности, которую мы применяем, и действий.
Важно знать, что стратегия безопасности реализуется для достижения целей безопасности для конкретной организации. Он уникален и специфичен для нужд безопасности этой организации. Это не делается для выполнения требований третьей стороны. Он выдвигается и доставляется из-за необходимости защиты от постоянных угроз для критически важных активов организации. Самое главное, это живой и непрерывный процесс, который постоянно контролируется, адаптируется, совершенствуется и управляется для обеспечения наилучшей защиты.

При таком мышлении и подходе эффективная безопасность достигается на уровне, превышающем минимальный уровень, который обеспечивает соответствие требованиям. При таком подходе — ставя безопасность на первое место — стремясь к безопасности, а не к соответствию (только поставив галочку), соответствие достигается как побочный продукт высокой безопасности! Вы добиваетесь как соответствия, так и защиты.

Важно предполагать, что атаки и нарушения будут происходить, даже если вы соблюдаете требования. Просто оглянитесь вокруг, это происходит все время. Да, имейте соответствие для проверки, но не позволяйте соответствию останавливать все другие действия по обеспечению безопасности. Никогда не переставайте фокусироваться на реальной безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023