Ένα νέο σύνορο για τους CISO στην ελαχιστοποίηση της έκθεσης στον επιχειρηματικό κίνδυνο

Η ομάδα ασφαλείας έχει συχνά θεωρηθεί ως το τμήμα του «όχι». Είναι κάπως κατανοητό γιατί έχει αναδυθεί αυτή η φήμη – κάθε αλλαγή ασφαλείας μπορεί να φαίνεται ότι επιβραδύνει την παραγωγικότητα. Θα έπρεπε όμως να είναι πραγματικά έτσι;

Το παρακάτω σενάριο έχει γίνει πραγματικότητα για οργανισμούς σε όλο τον κόσμο.

Ομάδα Ανάπτυξης: «Θέλουμε να εισέλθουμε σε μια νέα αγορά».

Ομάδα δικτύων : “Τέλεια, θα επεκτείνουμε το αποτύπωμά μας στον τομέα του ΙΤ.”

Ομάδα ασφαλείας: «Στην πραγματικότητα, όχι. Αυτός είναι ένας κίνδυνος που δεν μπορούμε να αντέξουμε αυτήν τη στιγμή».

Όλοι ξέρουμε τι θα γίνει μετά. Η ομάδα Ανάπτυξης αναλαμβάνει να προχωρήσει μια νέα εγκατάσταση Υπηρεσιών Web της Amazon (AWS) στη νέα περιοχή και να προχωρήσει με την ευκαιρία ανάπτυξης χωρίς την υποστήριξη από την ομάδα ασφαλείας. Τους επόμενους δύο μήνες, η ευκαιρία μεγαλώνει και εξελίσσεται σε ένα σιλό με ελάχιστη (αν υπάρχει) επιδιόρθωση, διαχείριση πολιτικής ή άλλη τακτική συντήρηση. Τελικά, συμβαίνει ένα από τα δύο πράγματα: το μη ασφαλές περιβάλλον διακυβεύεται ή ένας έλεγχος αποκαλύπτει την πρωτοβουλία του IT και εξαπολύει μια μεγάλη αντίδραση από την ομάδα ασφαλείας.

Είναι σαφές ότι η ασφάλεια δεν είναι – και δεν θα είναι ποτέ – χωρίς τριβές για τους χρήστες. Κάθε νέα πολιτική έχει σκοπό να παρέμβει σε κάποια διαδικασία ή αλληλεπίδραση που ενδέχεται να μπορούν να εκμεταλλευτούν κακόβουλοι παράγοντες. Το ακούσιο αποτέλεσμα είναι ότι οι χρήστες ή οι διαχειριστές μπορεί να βρουν λύσεις ή να αγνοήσουν εσκεμμένα τις πολιτικές ασφαλείας για να διατηρήσουν την παραγωγικότητα. Σε αυτή την περίπτωση δεν κερδίζει κανείς.

Οι CISO σήμερα αναδιαμορφώνουν τον τρόπο με τον οποίο η ασφάλεια ενσωματώνεται στην επιχείρηση, καθιστώντας την μέρος μιας βιώσιμης ανάπτυξης. Η συνεχής τους πρόκληση είναι να καθοδηγούν τους οργανισμούς προς καινοτόμες λύσεις χωρίς να τίθεται σε κίνδυνο η ασφάλεια ή να επηρεάζεται η παραγωγικότητα.

Προσαρμοσμένη ασφάλεια: Έξυπνη ασφάλεια για πιο έξυπνες επιχειρήσεις – Η πίεση για καινοτομία στο σημερινό ανταγωνιστικό επιχειρηματικό περιβάλλον δεν χρειάζεται να αυξάνει τον κίνδυνο. Τα προσαρμοστικά μοντέλα ασφαλείας προσφέρουν μια μέση λύση. Αντί να εφαρμόζει αυστηρές, ενιαίες πολιτικές για όλους, η προσαρμοσμένη ασφάλεια παραμετροποιεί τους ελέγχους με βάση το περιβάλλον — εστιάζοντας στον χρήστη, την εφαρμογή, την τοποθεσία ή τα εν λόγω δεδομένα. Αγκαλιάζοντας την προσαρμοσμένη ασφάλεια, οι ομάδες αποκτούν την ευελιξία να ανταποκρίνονται δυναμικά σε εκτιμήσεις κινδύνου σε πραγματικό χρόνο, εφαρμόζοντας πολιτικές επιλεκτικά σε συγκεκριμένη κίνηση—είτε κατά εφαρμογή, χρήστη, τοποθεσία ή άλλα κριτήρια.

Για παράδειγμα, φανταστείτε ότι η ομάδα πωλήσεών σας πρέπει να έχει πρόσβαση σε ευαίσθητα δεδομένα πελατών ενώ ταξιδεύετε. Με την προσαρμοσμένη ασφάλεια, δεν χρειάζεται να τα κλειδώσουμε εντελώς εάν συνδέονται από άλλη χώρα. Μπορούμε να επιτρέπουμε στην ομάδα ασφαλείας να πει «ναι» χωρίς να θυσιάζει την ασφάλεια.

3 τρόποι για να φέρετε την προσαρμοσμένη ασφάλεια στον οργανισμό σας

1. Να γνωρίζετε το Attack Surface εντός κι εκτός οργανισμού–  Η προσαρμοσμένη ασφάλεια ξεκινά με την επίγνωση του περιβάλλοντος πληροφορικής. Αν και είναι σημαντικό οι ομάδες ασφαλείας να κατανοούν την επιφάνεια επίθεσης του οργανισμού, οι ομάδες ασφαλείας πρέπει επίσης να γνωρίζουν το πλαίσιο στο οποίο λειτουργούν μεμονωμένα στοιχεία για την επίτευξη των επιχειρηματικών στόχων. Για παράδειγμα, πώς μια διακοπή λειτουργίας του συστήματος CRM του οργανισμού θα επηρεάσει τις πωλήσεις; Ή ποια είναι η συνέπεια καθυστέρησης των emails για μια ή δύο ώρες; Αυτή η επίγνωση επιτρέπει στις ομάδες ασφαλείας να εξισορροπούν καλύτερα τη χρηστικότητα και την ασφάλεια δίνοντας προτεραιότητα στον κίνδυνο. Μια ευπάθεια σε μια μη κρίσιμη εφαρμογή μπορεί να μην αξίζει το ρίσκο να διατηρείται, εάν δεν έχει μεγάλο αντίκτυπο στη συνέχεια της επιχείρησης.

2. Αυτοματοποιήστε τη συμμόρφωση και το Governance  Οι ομάδες ασφαλείας μπορούν να κάνουν τη συμμόρφωση λιγότερο επιβαρυντική, ακολουθώντας μια προσέγγιση βασισμένη στον πραγματικό κίνδυνο αντί σε μια λίστα με σημεία ελέγχου. Επιτρέποντας στον μηχανισμό διαχείρισης και ανάπτυξης πολιτικών, να μάθει την κανονική συμπεριφορά των χρηστών, μειώνει την πίεση στην ομάδα ασφαλείας, επιτρέποντάς της να εστιάσει σε ό,τι έχει σημασία, καθώς ελαχιστοποιεί κάθε πιθανή διακοπή του χρήστη.

3. Προληπτική θωράκιση για μείωση του κινδύνου Ο αυτοματισμός μπορεί επίσης να χρησιμοποιηθεί για τον προληπτικό εντοπισμό και την αποκατάσταση τρωτών σημείων στην υποδομή πληροφορικής του οργανισμού. Αυτή η προληπτική προσέγγιση μειώνει την εκτεθειμένη επιφάνεια, αποτρέπει την εμφάνιση επιθέσεων, εμποδίζει την εξάπλωσή τους και αποφεύγεται οποιαδήποτε διακοπή στις επιχειρηματικές λειτουργίες. Αυτή η προσέγγιση μειώνει την πιθανότητα ενός συμβάντος ασφαλείας, διορθώνοντας αυτόματα τα σημεία χαμηλού ρίσκου ώστε οι αναλυτές να μπορούν να επικεντρωθούν στα γεγονότα υψηλότερης προτεραιότητας.

Από το «Όχι» στο «Γνωρίζω»

Η εφαρμογή αυστηρών ελέγχων ασφαλείας δεν χρειάζεται να αποβαίνει εις βάρος της παραγωγικότητας. Αγκαλιάζοντας την προσαρμοσμένη ασφάλεια, οι CISO και οι ομάδες τους μπορούν να δημιουργήσουν ένα ασφαλέστερο, πιο ευέλικτο περιβάλλον όπου η ασφάλεια επιτρέπει την ανάπτυξη των επιχειρήσεων, ενώ εμποδίζει την εισχώρηση εισβολέων στον οργανισμό. Με τη σωστή στρατηγική ασφάλειας, αντιμετωπίζετε επιτυχώς την πρόκληση να μετατρέψετε την ασφάλεια σε στρατηγικό συνεργάτη που κατανοεί την επιχείρηση, προσαρμόζεται στις ανάγκες της και διατηρεί τα συστήματα ασφαλή χωρίς να επιβραδύνει τους χρήστες. Αυτό είναι μια συνθήκη ισορροπίας που όλοι επιθυμούν.

Μάθετε πως μπορούν να σας βοηθήσουν οι λύσεις της Bitdefender να εναρμονίσετε τις εργασίες σας με τους κανονισμούς ασφαλείας.

Πακέτα πλατφόρμας GravityZone