Соответствие требованиям безопасности

Смотрите, с кем вы имеете дело

Посещая и участвуя в выставке Infosec Europe, я обнаружил сотни «грибовидных» охранных компаний. Это компании, которые, как мне кажется, работают в сфере безопасности, пока дела идут хорошо. Некоторые из этих компаний хорошо укомплектованы хорошими техническими специалистами и имеют отличное руководство. Некоторые компании этого не делают и просто собирают валюту за консультационные услуги, потому что они находятся в нужном месте в нужное время. Среди знающих людей в индустрии безопасности существует консенсус в отношении того, что в конечном итоге лучшие компании, занимающиеся безопасностью, объединятся в компании типа поставщиков антивирусов, и эта часть рынка безопасности станет товаром.

Это цикл, который будет проходить рынок безопасности, и причина, по которой я упомянул об этом, заключается в том, что вы должны знать о таких вещах при выборе поставщика безопасности для партнерства. Остерегайтесь охранных компаний, у которых мало или вообще нет опыта работы в отрасли. Это усложняет жизнь грибникам, но на конкурентном рынке нет места проблемным организациям.

По своей сути охранные компании должны помогать организациям соблюдать правила… иногда они сами нарушают правила. Кто охраняет охранников? Прогуливаясь по Infosec, я спросил поставщиков, какой продукт для шифрования дисков они используют (причина в том, что это мое текущее внимание). Я был поражен, обнаружив, что даже поставщики, продающие шифрование, не шифровали свои мобильные устройства. То же самое относится и к некоторым консультантам PCI и компаниям, занимающимся сканированием QSV. Что здесь происходит? Виновны ли проповедники в том, что они не следуют собственным советам?

Я обнаружил, что многие организации государственного сектора охотятся за зашифрованными USB-устройствами. В этом году эта тема стала постоянной темой Infosec Europe. С множеством поставщиков, предлагающих так много решений, я уверен, что рынок раздроблен и запутан. Ожидайте, что рынок зашифрованных USB-устройств станет консолидированным и товарным, как и антивирусы.

Серия ISO 27000

Мы все слышали об ISO 17799 и ISO 27001, а также о серии документов серии 27000, которые следуют за ними; это основа наименьших требований для ведения бизнеса, на самом деле это не то, над чем нужно работать. Однако очень немногие западные организации внедрили или даже рассмотрели эти стандарты. В Японии более 2000 компаний были сертифицированы, а это означает, что Япония затмевает любую страну как минимум на 300% больше, чем Великобритания и США вместе взятые.

Управляемый сервис

Читая о плюсах и минусах управляемых услуг безопасности, я обнаружил, что многие организации сопротивлялись этому варианту, поскольку считали, что их среда будет менее безопасной, если они отдадут на аутсорсинг что-то вроде шифрования. На самом деле, хорошо организованная управляемая служба высвободит персонал, снизит нагрузку на персонал и повысит безопасность организации, при этом сразу же обеспечив соответствие требованиям. В некоторых случаях улучшения намного значительнее и приносят больше пользы, чем сама организация, управляющая нишевым продуктом безопасности. Центральное управление становится ключевым в таких обстоятельствах, и вы обнаружите, что управляемая услуга намного более продвинута, чем просто покупка продукта прямо у поставщика.

Так помогают ли все эти вещи соответствия?

Ответ: если правильно реализовано, да. Но хороших людей трудно найти. Я считаю, что из каждых 10 консультантов по безопасности по крайней мере половина являются новичками в отрасли, менее 5 лет; остальные являются специализированными, а двое имеют достаточно обширный опыт, чтобы охватить весь спектр. Это означает, что нужна команда, чтобы сделать вас послушным, или опытный человек. Вот почему соблюдение в той или иной форме помогает. Есть довольно много компаний, занимающихся безопасностью, которые завидуют PCI DSS и подобным стандартам, но я чувствую, что стандарт помогает, поскольку до него не было ничего, что помогало бы организациям сосредоточиться на необходимых условиях.

Большая часть того, что описывается в стандарте, является здравым смыслом, однако, когда здравый смысл ускользает от нас, важно иметь какую-то основу для работы. По этой причине важно использовать глобальный стандарт, такой как ISO 27001.

С чего начать?

Есть много способов начать, но лучше всего записать набор требований, а затем работать над этим. Задокументируйте, куда вы хотите пойти, и отслеживайте изменения по мере продвижения, это не только покажет вашу зрелость как ИТ-специалиста, но также может использоваться как способ измерения производительности вашей команды. Есть много бесплатных инструментов, которые вы можете использовать, чтобы стать более безопасным. Ничто не заменит опытного профессионала, но приложения облегчат его работу.

Уменьшить количество дверей

При планировании хранилища вы увидите в плане, что есть только одна точка входа. Остальная часть помещения изолирована и хорошо защищена толстым металлическим сплавом, чтобы злоумышленникам было труднее проникнуть внутрь. Единая точка входа упрощает и удешевляет защиту от несанкционированного проникновения. Стены из армированного сплава являются сдерживающим фактором, и все мы знаем, что человек может сломать то, что может сделать человек.

Работая с одной из ведущих шифровальных компаний, я задал главному программисту вопрос: почему пользователь не может использовать несколько токенов при аутентификации. Программист сказал два слова, объясняющих концепцию «меньше дверей». Уменьшение площади поверхности атаки, безусловно, лучший подход.

Что говорят аналитики?

В целом технические средства контроля, охватывающие шифрование, защиту приложений, фильтрацию электронной почты, сканирование и мониторинг, все еще находятся в зачаточном состоянии и еще не достигли своего пика в цикле шумихи. Это означает, что многие организации все еще работают над разработкой и внедрением таких решений, и у большинства из них до сих пор нет этих технологий в поле зрения. По оценкам, менее 1% организаций шифруют свои мобильные данные. Это не только пугающая статистика, но я уверен, что вы согласитесь с тем, что не хотели бы использовать провайдера, который не обеспечивает безопасность вашей личной информации.

Такие технологии, как управление устройствами, похоже, попали в список приоритетов, но что компании делают с бумажными документами и телефонами с камерами? Безопасность — это гораздо больше, чем просто контроль и управление программным и аппаратным обеспечением. Образование является частью стратегии защиты.

Обучайте своих людей

Обучение имеет ключевое значение — тратьте меньше времени на установку технических средств управления и больше времени на обучение людей, вы обнаружите, что ваши люди не только начнут менять свое поведение, но и начнут интересоваться тем, что вы делаете, что значительно облегчит вашу задачу. Если у вас есть поддержка со стороны совета директоров, внезапные изменения бюджета и корпоративной культуры становятся менее сложной задачей. Осознание может иметь большое значение. Попробуйте, может быть, это спасет вашу организацию от следующей атаки.

Продолжайте делать старые вещи, они все еще работают

Обновления Windows, обновления приложений, обновления файлов базы данных и поддержание среды в актуальном состоянии помогают, когда речь идет о безопасности. Хотя это хорошо известно, организации по-прежнему терпят неудачу в этой области. Необходимо рассмотреть основные этапы реализации технических средств контроля, таких как шифрование и двухфакторная аутентификация. Я считаю, что организации не справляются с основными задачами, не говоря уже о передовых технологиях, которые требуют значительных навыков, связанных с безопасностью.

Вывод

Независимо от того, сколько мы читаем или обсуждаем вопросы безопасности, главное, что делается в вашей среде. Эта статья будет полезна вам только в том случае, если вы сможете усвоить ее содержание и применить области, имеющие отношение к вашей организации. Я надеюсь, что эта информация была вам полезна.