Di luar tata kelola dan kepatuhan: mengapa risiko keamanan adalah yang terpenting

Industri jamur dan mandat pemerintah yang mengatur keamanan TI telah mengarah ke lingkungan yang sangat teratur dan latihan pemadam kebakaran kepatuhan tahunan. Jumlah peraturan yang memengaruhi rata-rata organisasi dapat dengan mudah melebihi selusin atau lebih, dan tumbuh lebih kompleks dari hari ke hari. Ini memaksa sebagian besar perusahaan untuk menetapkan jumlah sumber daya yang tidak terkendali untuk tata kelola dan upaya kepatuhan di atas daftar prioritas TI mereka yang panjang. Apakah upaya ini dijamin? Atau sekadar persyaratan kotak centang sebagai bagian dari pendekatan keamanan yang digerakkan kepatuhan?

Kebenaran pahit adalah bahwa Anda dapat menjadwalkan audit, tetapi Anda tidak dapat menjadwalkan serangan cyber. Hampir setiap hari, kita diingatkan tentang fakta ini ketika pelanggaran membuat berita utama. Akibatnya, banyak organisasi telah menyimpulkan bahwa untuk mendapatkan wawasan tentang postur risiko mereka, mereka harus melampaui penilaian kepatuhan yang sederhana. Akibatnya, mereka mempertimbangkan ancaman dan kerentanan, serta dampak bisnis, ke dalam akun. Hanya kombinasi dari ketiga faktor ini yang memastikan pandangan risiko yang menyeluruh.

Jebakan Kepatuhan

Organisasi yang mengupayakan pendekatan kotak centang, yang didorong oleh kepatuhan terhadap manajemen risiko hanya mencapai keamanan titik waktu. Itu karena postur keamanan perusahaan dinamis dan berubah seiring waktu. Ini telah terbukti berulang kali.

Baru-baru ini, organisasi progresif mulai mengejar pendekatan keamanan yang lebih proaktif dan berbasis risiko. Tujuan dalam model berbasis risiko adalah untuk memaksimalkan efisiensi operasi keamanan TI organisasi dan memberikan visibilitas ke dalam postur risiko dan kepatuhan. Tujuan utamanya adalah untuk tetap patuh, mengurangi risiko dan memperkuat keamanan secara berkelanjutan.

Sejumlah faktor menyebabkan organisasi untuk pindah ke model berbasis risiko. Ini termasuk, tetapi tidak terbatas pada:

• Undang-undang cyber yang muncul (mis., Cyber ​​Intelligence Sharing dan Protection Act)
• Panduan pengawasan oleh Kantor Pengawas Keuangan Mata Uang (OCC)

Keamanan untuk Penyelamatan?

Secara umum diyakini bahwa manajemen kerentanan akan meminimalkan risiko pelanggaran data. Namun, tanpa menempatkan kerentanan ke dalam konteks risiko yang terkait dengan mereka, organisasi sering kali menyelaraskan sumber daya remediasi mereka. Seringkali mereka mengabaikan risiko paling kritis sementara hanya menangani "buah yang menggantung rendah."

Ini tidak hanya membuang-buang uang, tetapi juga menciptakan jendela peluang yang lebih panjang bagi peretas untuk mengeksploitasi kerentanan kritis. Tujuan utamanya adalah untuk mempersingkat jendela penyerang harus mengeksploitasi kelemahan perangkat lunak. Oleh karena itu, manajemen kerentanan harus dilengkapi dengan pendekatan holistik, berbasis risiko untuk keamanan, yang mempertimbangkan faktor-faktor seperti ancaman, jangkauan, postur kepatuhan organisasi dan dampak bisnis. Jika ancaman tidak dapat mencapai kerentanan, risiko yang terkait dapat dikurangi atau dihilangkan.

Risiko sebagai Satu-Satunya Kebenaran

Postur kepatuhan organisasi dapat memainkan peran penting dalam keamanan TI dengan mengidentifikasi kontrol kompensasi yang dapat digunakan untuk mencegah ancaman mencapai target mereka. Menurut Laporan Investigasi Pelanggaran Data Verizon 2013, analisis data yang diperoleh dari investigasi pelanggaran yang dilakukan Verizon dan organisasi lain selama tahun sebelumnya, 97 persen insiden keamanan dapat dihindari melalui kontrol sederhana atau menengah. Namun, dampak bisnis merupakan faktor penting dalam menentukan risiko aktual. Misalnya, kerentanan yang mengancam aset bisnis kritis mewakili risiko yang jauh lebih tinggi daripada risiko yang dikaitkan dengan target yang kurang kritis.

Postur kepatuhan biasanya tidak terkait dengan kekritisan bisnis aset. Sebagai gantinya, kontrol kompensasi diterapkan secara umum dan diuji sesuai. Tanpa pemahaman yang jelas tentang kekritisan bisnis yang diwakili oleh suatu aset bagi suatu organisasi, organisasi tidak akan dapat memprioritaskan upaya perbaikan. Pendekatan yang digerakkan oleh risiko mengatasi postur keamanan dan dampak bisnis untuk meningkatkan efisiensi operasional, meningkatkan akurasi penilaian, mengurangi permukaan serangan dan meningkatkan pengambilan keputusan investasi.

Seperti disebutkan sebelumnya, risiko dipengaruhi oleh tiga faktor utama: postur kepatuhan, ancaman dan kerentanan, dan dampak bisnis. Sebagai hasilnya, penting untuk mengumpulkan intelijen kritis tentang postur risiko dan kepatuhan dengan informasi ancaman saat ini, baru, dan yang muncul untuk menghitung dampak pada operasi bisnis dan memprioritaskan tindakan perbaikan.

Tiga Elemen ke Pandangan Holistik tentang Risiko

Ada tiga komponen utama untuk menerapkan pendekatan berbasis risiko untuk keamanan:

• Kepatuhan berkelanjutan mencakup rekonsiliasi aset dan otomatisasi klasifikasi data, penyelarasan kontrol teknis, otomatisasi pengujian kepatuhan, penyebaran survei penilaian, dan otomatisasi konsolidasi data. Dengan kepatuhan terus-menerus, organisasi dapat mengurangi tumpang tindih dengan memanfaatkan kerangka kerja kontrol bersama untuk meningkatkan akurasi dalam pengumpulan data dan analisis data, dan mengurangi upaya yang boros, manual, padat karya hingga 75 persen.
• Pemantauan berkelanjutan menyiratkan peningkatan frekuensi penilaian data dan membutuhkan otomatisasi data keamanan dengan menggabungkan dan menormalkan data dari berbagai sumber seperti informasi keamanan dan manajemen kejadian (SIEM), manajemen aset, umpan ancaman, dan pemindai kerentanan. Pada gilirannya, organisasi dapat mengurangi biaya dengan menyatukan solusi, merampingkan proses, menciptakan kesadaran situasional untuk mengekspos eksploitasi dan ancaman secara tepat waktu, dan mengumpulkan data tren historis, yang dapat membantu dalam keamanan prediktif.
• Remediasi loop-tertutup, berbasis risiko memanfaatkan ahli-ahli pokok permasalahan dalam unit-unit bisnis untuk mendefinisikan katalog risiko dan toleransi risiko. Proses ini memerlukan klasifikasi aset untuk menentukan kekritisan bisnis, penilaian terus menerus untuk memungkinkan penentuan prioritas berbasis risiko, dan pelacakan dan pengukuran loop tertutup. Dengan membuat loop peninjauan yang berkelanjutan dari aset yang ada, orang, proses, risiko potensial dan kemungkinan ancaman, organisasi dapat secara dramatis meningkatkan efisiensi operasional, sambil meningkatkan kolaborasi antara operasi bisnis, keamanan, dan TI. Ini memungkinkan upaya keamanan - seperti resolusi waktu, investasi personil operasi keamanan, pembelian alat keamanan tambahan - untuk diukur dan dibuat nyata.

Intinya tentang Risiko dan Kepatuhan

Mandat kepatuhan tidak pernah dirancang untuk mendorong bus keamanan TI. Mereka harus memainkan peran pendukung dalam kerangka kerja keamanan dinamis yang didorong oleh penilaian risiko, pemantauan berkelanjutan dan remediasi loop tertutup.