Kolik zařízení, aktiv a lidí dnes interaguje s firemní IT infrastrukturou:
- Zařízení (stolní počítače, notebooky, mobilní zařízení a zařízení IoT – firemní i osobní).
- Software a aplikace (stále cloudové a z velké části mimo kontrolu organizace).
- Digitální aktiva a dokumenty.
- API a integrace.
- Vnitropodnikový personál, vzdálení/hybridní zaměstnanci, nezávislí pracovníci, dodavatelé a prodejci.
Navíc mnoho z těchto zařízení, aplikací a aktiv může být součástí rozsáhlého stínového IT prostředí, které může být neviditelné pro týmy IT a kybernetické bezpečnosti.
Tento rostoucí ekosystém vytvořil stejně komplexní prostředí IT rizik. Neomezené IT riziko může mít zásadní dopad na podnikové finance, funkčnost, morálku a pověst. Neustálý proud kyberbezpečnostních hrozeb, kterým organizace čelí – ve spojení s velmi reálným dopadem, který s sebou nesou – bolestně objasnil potřebu robustního procesu řízení rizik IT.
V tomto stručném průvodci řízením rizik IT se budeme zabývat:
- Co je řízení rizik IT?
- Pět kroků pro řízení rizik v IT.
- Jaký proces a strategie řízení IT rizik byste měli dodržovat.
- Nejlepší postupy pro řízení rizik IT.
Co je řízení rizik IT?
Podnik se dívá na „riziko“ toho či onoho druhu téměř ve všech aspektech své organizace a operací. Ale když mluvíme o řízení rizik IT, máme na mysli riziko kybernetické bezpečnosti
Jak jsme viděli, s rostoucí integrací složitých IT procesů a nástrojů do každodenního provozu organizace, jejich související rizika narůstají. Vstupte do IT řízení rizik – praxe, která aplikuje principy řízení rizik na IT organizace.
Řízení rizik IT zahrnuje identifikaci, hodnocení a prioritizaci rizik pro kapitál a zisky organizace. Zahrnuje podniknutí kroků k minimalizaci, sledování a kontrole dopadu těchto rizik.
Jednodušeji řečeno, jde o ochranu cenného obchodního majetku, zajištění dodržování pravidel a standardů, udržení pozitivní image, informovaná rozhodnutí a zajištění hladkého provozu a odolnosti – i v náročných situacích.
Řízení rizik není pro organizace nic nového; jde pouze o aplikaci dobře známých procesů a postupů na rostoucí síť IT zapojení. Když organizace sestavují plány řízení rizik IT, bude to často zahrnovat obsazení známých rolí, jako je manažer rizik a analytik nápravy rizik – role, které by měly nejen dobře rozumět obecným postupům řízení rizik, ale měly by mít IT zázemí pro zajištění rizika. řádně posouzeny a napraveny.
Nová krajina kybernetických rizik
Hlavním problémem však je, že rizika, která musí týmy IT a kybernetické bezpečnosti řešit, nezůstávají na místě. Ve skutečnosti je jejich neustále se měnící povaha možná jejich charakteristickým znakem – a největším zdrojem rizika.
Za posledních pět let se povaha řízení rizik IT výrazně vyvinula a rozšířila svůj rozsah a význam, aby čelila výzvám neustále se vyvíjejícího prostředí kybernetických rizik.
Úkol zjednodušit řízení rizik IT je stále složitější, protože hrozby, kterým čelí, v mnoha ohledech neodpovídají tradičním definicím „rizika“.
Definování IT rizika a oborů, které ovlivňuje
Začněme tím, že si položíme základní otázku: S jakými riziky se skutečně potýkáme? Protože už nejsou stejní jako před chvílí.
V jádru by se riziko IT mohlo projevit jako kompromitace datového centra, zranitelnost počítače jednotlivce nebo škodlivý virus. Ale dnešní rozmanitější a plynulé hrozby vyžadují, abychom zvážili řízení zranitelnosti založené na rizicích (RBVM) a prozkoumali způsoby, jak tento proces automatizovat. Kromě toho musíme proaktivně předcházet rizikům přijetím postupů DevSecOps.
Abychom připravili scénu, rozlišujme mezi IT rizikem a bezpečnostním rizikem:
- IT riziko se týká potenciálních negativních výsledků zahrnujících selhání nebo zneužití IT.
- Bezpečnostní riziko se týká někoho nebo něčeho, co představuje potenciální hrozbu pro bezpečnost nebo by mohlo poškodit organizaci.
Jak prostředí kybernetické bezpečnosti zmutovalo, změnilo to naši koncepci hrozeb a zranitelností: Organizace čelí hrozbám a vystavení se jim je zranitelností. Když jsou tato zranitelnosti zneužita, stávají se rizikem. Řízení rizik IT tedy závisí na správě zranitelnosti IT. Hrozby možná nikdy úplně neodstraníme, ale modulujeme a zmírňujeme je pomocí bdělého řízení zranitelnosti.
Dvě základní disciplíny pro správu zranitelnosti IT jsou správa aktiv IT (ITAM) a správa služeb IT (ITSM) a technologie, které nasazují:
- ITAM zahrnuje sledování a optimalizaci aktiv organizace – fyzických i digitálních – po celou dobu jejich životního cyklu, což zajišťuje efektivní využití a správné zacházení s cennými zdroji.
- Nástroje ITAM poskytují správu konfiguračních položek (CI), jako jsou hardwarová a softwarová aktiva, takže IT může konfigurovat, optimalizovat a sledovat CI během jejich životního cyklu.
- ITSM je praxe navrhování, poskytování, správy a zlepšování IT služeb tak, aby byly splněny potřeby organizace efektivně a efektivně. Jeho nástroje a osvědčené postupy zlepšují schopnost IT sledovat, reagovat a obsluhovat technologické požadavky od koncového uživatele a jakýchkoli dalších interních klientů.
- Nástroje ITSM mohou uživatelům také umožnit „samoobslužnost“ opravou jednoduchých a běžných technických problémů v rámci úsilí o dosažení nulové úrovně podpory.
- Další disciplína figuruje v řízení rizik IT? Řízení expozice, nově vznikající oblast, která proaktivně identifikuje a zmírňuje potenciální zranitelnosti a bezpečnostní rizika dříve, než je lze zneužít.
Jak se tyto nástroje hodí ke zjednodušení řízení IT rizik, zvláště když jsme vysvětlili, jak komplikovanými se IT sítě a kybernetické hrozby staly?
Technologické platformy ITAM a ITSM se správnou funkcionalitou mohou organizaci pomoci sjednotit operace IT v rámci uzavřeného bezpečnostního procesu, kdy existuje automatizovaná, kontinuální a proaktivní detekce, hodnocení a náprava zranitelností.
Klíčové slovo je samozřejmě „automatizované“. Lidský zásah není nutný, pokud lze opravit zranitelnosti nebo opravit problémy dříve, než ovlivní uživatele, zabrání se dopadům na zabezpečení nebo dokonce nutnosti kontaktovat helpdesk.
Přesun zátěže zabezpečení doleva
Nástroje používané IT, zejména ITAM a ITSM, proto mohou pomoci zabezpečení „posunout se doleva“ využitím ITAM a automatizace ITSM. Umožňují více bezpečnostních akcí s nižší pracností a náklady, které se rozvíjejí v proaktivní nápravu rizik.
Jaké jsou některé způsoby, jakými lze ITAM a ITSM automatizace využít k usnadnění života bezpečnostních týmů?
Zlepšení samoobslužných možností pro koncové uživatele
Automatizujte třídění bezpečnostních požadavků a otázek, takže požadavky na nižší úrovni budou směrovány k pracovníkům nižší úrovně, aby se starší analytici uvolnili od phishingové identifikace nebo podobných úkolů. Implementujte formuláře žádostí o přístup k souborům nebo výjimky ze zásad v rámci bezpečnostní wiki, což umožňuje samoobslužnou uživatelskou podporu na nulové úrovni.
Sjednotit řešení bezpečnostních incidentů
Změňte použití softwaru IT pro vydávání lístků a front pro stanovení priorit (napájené z formulářů požadavků) pro lepší stanovení priorit, sledování a kontextualizaci.
Změňte využití automatizace IT na pozadí pro případy použití v oblasti zabezpečení
Stejné proaktivní automatizace IT v rámci ITAM a ITSM, které jsou spouštěny na základě specifických nastavení, lze klonovat a vylepšit tak, aby řešily širokou škálu bezpečnostních účelů, jako je zabezpečení koncových bodů a detekce škodlivé aktivity.
Nastavte spouštěče automatizace
Bezpečnostní týmy mohou využívat aktuální CI a vytvářet vlastní proměnné specifické pro zabezpečení sledované v databázi správy konfigurace ITAM (CMDB) jako spouštěče a součásti automatizovaných vzorců.
Automatizujte vynucování zabezpečení
Stejné funkce IT, které pro uživatele prosazují obecné počítačové zásady, mohou hlásit a vynucovat bezpečnostní protokoly. Mohou například posílat upozornění na možná porušení zásad nebo vnitřní hrozby, jakmile jsou detekováni.
5 klíčů pro zefektivnění řízení rizik IT
Zjednodušení a optimalizace řízení rizik IT nezahrnuje pouze IT. Tým kybernetické bezpečnosti ve vaší organizaci má zjevně osobní zájem na všech opatřeních přijatých ke zlepšení účinnosti a efektivity procesů a nástrojů, které zavádíte. To je důvod, proč se mnoho klíčových kroků při zlepšování řízení rizik IT točí kolem komunikace a spolupráce mezi IT, zabezpečením a dalšími zainteresovanými stranami.
1. Bezpečnostní týmy by měly vysvětlit své plány a požadavky
Vyhněte se nařízením a poskytněte zúčastněným stranám organizace vysvětlení o strategii a výhodách vašich plánů zabezpečení, změn a požadavků. Před zahájením jakéhokoli bezpečnostního plánu by měl CISO sdílet bezpečnostní strategii a plán její implementace, protože IT oddělení mohou být rychle frustrovaná nevysvětlenými požadavky na zabezpečení.
Kvůli časovým omezením a omezením šířky pásma mohou být požadavky na zabezpečení vydány bez vysvětlení, proč je změna požadována. To může IT ztížit implementaci požadavků. Je důležité, aby bezpečnostní týmy zvážily, jak mohou IT oddělení implementovat jejich požadavky.
2. Buďte si vědomi zátěže IT
Bezpečnostní týmy by si před podáním požadavku měly vždy pamatovat pracovní vytížení IT týmu; IT se může zabývat větším projektem nebo nemá dostatek zaměstnanců, aby tento úkol zvládli. Je nutné hledat nástroje a systémy, které vašemu IT týmu usnadní implementaci bezpečnostních politik, požadavků a oprav.
Kombinace správy zranitelnosti na základě rizik (RBVM) a ITSM pomáhá snižovat zátěž IT tím, že „automaticky“ upřednostňuje důležité úkoly a ignoruje ty nesprávně nastavené.
Zvažte toto: V každém okamžiku je pomocí společného systému hodnocení zranitelností identifikováno zhruba čtvrt milionu zranitelností a jsou kategorizovány jako vysoké, střední nebo nízké riziko. Z nich je asi 38 000 ozbrojených – přičemž asi 11 000, tedy 4 %, jsou považovány za nebezpečné. Optikou RBVM zjišťujeme, že většina „kritických“ rizik označených CVSS není ve skutečnosti kritická – protože můžeme proniknout až k nejnebezpečnějším 4 % vysokých a středních zranitelností. Tato reklasifikace zranitelností podle standardu CVSS dramaticky přesměrovává pozornost ke skutečně kritickým zranitelnostem, na které se IT tým musí zaměřit.
3. Přijměte spolupráci
Oddělení spolupracující na zefektivnění řízení rizik IT musí spolupracovat, aby bylo dosaženo vzájemně prospěšných výsledků. Koneckonců, každý z nich má své vlastní priority: IT chce, aby operace probíhaly hladce, zatímco zabezpečení chce řešit problémy co nejdříve.
Díky partnerství a flexibilitě při vytváření protokolů a procesů řízení IT rizik mohou oba zvítězit. Jedním ze způsobů, jak vytvořit tuto flexibilitu, je vytvoření vzájemně akceptovaných smluv o úrovni služeb (SLA).
4. Stanovte si sdílené cíle
Zabezpečení a IT mají společný základ: Oba chtějí udržet organizaci, uživatele a procesy v hladkém chodu. Je tedy životně důležité, aby vedení IT a zabezpečení odpovídalo cílům a nastavilo klíčové ukazatele výkonu (KPI), řídicí panely a další metriky, aby je bylo možné sledovat a posilovat.
Je také důležité, aby organizace rozuměla důsledkům stanovení strategických cílů, aby byly všechny dopady na produkt, proces a lidi známy dříve, než jsou tyto cíle uzamčeny.
5. Podejte pomocnou ruku
Sdílení administrativních zdrojů, technických znalostí a nástrojů mezi bezpečnostními a IT týmy může snížit náklady a posílit spolupráci. Pokud si například Security vypůjčí IT nástroje, zásady a procesy pro své případy použití, mělo by nabídnout něco na oplátku.
Sdílené nástroje, řídicí panely a sestavy vytvářejí kontext, v němž oba týmy mohou vzájemně porozumět světům ostatních, budovat empatii a důvěru.
Vzhledem k současným hrozbám pro podnikové digitální sítě je tento druh spolupráce kritický.
Zdroj: Ivanti
