首页 > 国产自拍在线播放 >专家的建议和合规性:安全的阴阳
2018
03-28

专家的建议和合规性:安全的阴阳


治理IT安全的行业和政府授权导致高度管制的环境和年度合规性消防演习。但是,合规性并不一定等同于更好的安全性。

几乎每天当违规成为头条新闻的时候,我们都会想起这个事实。那么合规性和风险管理在企业整体安全等式中扮演什么角色呢?

作为安全合规驱动的安全方法的一部分,追求复选框思维的组织只能实现时间点合规性,而不是改善公司的安全状况,而这种状况随时间而动态变化。这一再被证明。

近期,渐进式企业开始采取更主动,更基于风险的安全方法。基于风险的模型的目标是最大限度地提高组织IT安全运营的效率,并提供风险和合规状况的可视性。圣杯将继续保持合规,降低风险,并坚定不移地巩固安全。

许多因素正在导致企业重新考虑安全方面的复选框方法,并转向基于风险的模型。这些包括:

几乎每天都有这样的事实,当违规成为头条新闻时。那么合规性和风险管理在企业整体安全等式中扮演什么角色呢?

通常认为,漏洞管理将最大限度地减少数据泄露的风险。但是,如果不将漏洞置于与其相关风险的背景下,组织可能会错误纠正其补救资源。他们往往忽视了最关键的风险,而只处理“低挂果”。

这不仅浪费金钱,更重要的是,它为黑客利用关键漏洞创造了一个更长的机会窗口。最终目标是缩短窗口攻击者不得不利用软件缺陷。因此,漏洞管理必须辅之以全面的基于风险的安全方法,其中考虑威胁,可达性,组织的合规状态以及业务影响等因素。

如果威胁无法到达此漏洞,则相关风险将降低或消除。

组织的合规性状态可以通过识别可用于防止威胁到达目标的补偿性控制,从而对IT安全发挥至关重要的作用。

根据Verizon 2012年数据泄露调查报告,2011年报告的855起事件中有97%是通过简单或中间控制措施避免的。然而,业务影响是决定实际风险的关键因素。例如,威胁关键业务资产的漏洞比那些与关键性较低的目标相关的漏洞具有更高的风险。

由于合规性状态通常与资产的业务关键性无关,因此不能使组织优先考虑修复工作。处理安全态势/合规性和业务影响的风险驱动方法可以提高运营效率,提高评估准确性,减少攻击面并改善投资决策。

实施基于风险的安全方法有三个主要组件。

持续合规包括资产调整和数据分类自动化,技术控制的一致性,合规性测试的自动化,评估调查的部署以及数据整合的自动化。

通过持续的合规性,组织可以通过利用通用控制框架来减少重叠,从而提高数据收集和数据分析的准确性,并将冗余和手动劳动密集型工作减少高达75%。

持续监控意味着数据评估频率的增加,并要求安全信息和事件管理(SIEM),资产管理,威胁馈送和漏洞扫描器等各种数据汇总和规范化,从而实现安全数据自动化。

反过来,组织可以通过统一解决方案,简化流程,创建来降低成本 态势感知,及时揭露漏洞和威胁,收集历史趋势数据,有助于预测安全。

闭环式,基于风险的补救措施利用业务部门内的主题专家来定义风险目录和风险承受能力。此过程需要资产分类来定义业务关键性,持续评分以实现基于风险的优先级划分,以及闭环跟踪和度量。

通过建立对现有资产,人员,流程,潜在风险和可能威胁的持续审查循环,组织可以显着提高运营效率,同时改善业务,安全和IT运营之间的协作。这使得安全措施能够被测量并有形的实现(例如,解决时间,安全操作人员的投资,购买额外的安全工具)。

合规性授权从未设计用于驱动IT安全总线。他们应该在风险评估,持续监测和闭环修复的动态安全框架内发挥支持作用。

Joe Fantuzzi是集成风险管理供应商Agilance的总裁兼首席执行官。 Torsten George是该公司的首席产品策略师。