Além da governança e conformidade: por que o risco de segurança é o que importa

A indústria de cogumelos e os mandatos governamentais que governam a segurança de TI levaram a um ambiente altamente regulamentado e a exercícios anuais de conformidade. O número de regulamentações que afetam as organizações comuns pode facilmente exceder uma dúzia ou mais e se tornar mais complexo a cada dia. Isso está forçando a maioria das empresas a atribuir uma quantidade excessiva de recursos aos esforços de governança e conformidade no topo de sua longa lista de prioridades de TI. Esses esforços são justificados? Ou simplesmente um requisito de caixa de seleção como parte de uma abordagem de segurança orientada à conformidade?

A verdade amarga é que você pode agendar uma auditoria, mas não pode agendar um ataque cibernético. Quase todos os dias, somos lembrados desse fato quando as violações são manchetes. Como resultado, muitas organizações concluíram que, para obter informações sobre sua postura de risco, elas devem ir além das simples avaliações de conformidade. Como resultado, eles estão levando em consideração ameaças e vulnerabilidades, além do impacto nos negócios. Somente uma combinação desses três fatores garante uma visão holística do risco.

A armadilha da conformidade

As organizações que adotam uma abordagem de gerenciamento de riscos orientada por conformidade e de caixa de seleção apenas alcançam segurança pontual. Isso ocorre porque a postura de segurança de uma empresa é dinâmica e muda com o tempo. Isso foi provado uma e outra vez.

Recentemente, as organizações progressistas começaram a buscar uma abordagem mais proativa e baseada em riscos à segurança. O objetivo de um modelo baseado em risco é maximizar a eficiência das operações de segurança de TI de uma organização e fornecer visibilidade da postura de risco e conformidade. O objetivo final é manter a conformidade, reduzir os riscos e fortalecer a segurança continuamente.

Vários fatores estão fazendo com que as organizações migrem para um modelo baseado em risco. Isso inclui, mas não se limita a:

• Legislação cibernética emergente (por exemplo, Lei de Compartilhamento e Proteção da Inteligência Cibernética)
• Orientação de supervisão pelo Gabinete do Controlador da Moeda (OCC)

Segurança para o resgate?

Geralmente, acredita-se que o gerenciamento de vulnerabilidades minimize o risco de violação de dados. No entanto, sem colocar as vulnerabilidades no contexto do risco associado a elas, as organizações geralmente desalinham seus recursos de correção. Freqüentemente, eles ignoram os riscos mais críticos enquanto tratam apenas de "frutas baixas".

Isso não é apenas um desperdício de dinheiro, mas também cria uma janela de oportunidade mais longa para os hackers explorarem vulnerabilidades críticas. O objetivo final é reduzir as janelas que os invasores precisam para explorar uma falha de software. Portanto, o gerenciamento de vulnerabilidades deve ser complementado por uma abordagem holística e baseada em riscos à segurança, que considera fatores como ameaças, acessibilidade, postura de conformidade da organização e impacto nos negócios. Se a ameaça não puder alcançar a vulnerabilidade, o risco associado é reduzido ou eliminado.

Risco como a única verdade

A postura de conformidade de uma organização pode desempenhar um papel essencial na segurança de TI, identificando controles compensadores que podem ser usados ​​para impedir que as ameaças atinjam seu objetivo. De acordo com o Relatório de investigações de violação de dados da Verizon de 2013, uma análise dos dados obtidos em investigações de violação que a Verizon e outras organizações realizaram durante o ano anterior, 97% dos incidentes de segurança foram evitados por meio de controles simples ou intermediários. No entanto, o impacto nos negócios é um fator crítico na determinação do risco real. Por exemplo, vulnerabilidades que ameaçam ativos críticos de negócios representam um risco muito maior do que aquelas associadas a destinos menos críticos.

A postura de conformidade normalmente não está ligada à criticidade comercial dos ativos. Em vez disso, os controles de compensação são aplicados genericamente e testados de acordo. Sem um entendimento claro da criticidade comercial que um ativo representa para uma organização, ela não pode priorizar os esforços de correção. Uma abordagem orientada a riscos aborda a postura de segurança e o impacto nos negócios para aumentar a eficiência operacional, melhorar a precisão da avaliação, reduzir as superfícies de ataque e melhorar a tomada de decisões de investimento.

Como mencionado anteriormente, o risco é influenciado por três fatores principais: postura de conformidade, ameaças e vulnerabilidades e impacto nos negócios. Como resultado, é essencial agregar inteligência crítica sobre posturas de risco e conformidade com informações de ameaças atuais, novas e emergentes para calcular impactos nas operações de negócios e priorizar ações de correção.

Três elementos para uma visão holística do risco

Existem três componentes principais para implementar uma abordagem de segurança baseada em risco:

• A conformidade contínua inclui a reconciliação de ativos e a automação da classificação de dados, alinhamento de controles técnicos, automação de testes de conformidade, implantação de pesquisas de avaliação e automação da consolidação de dados. Com a conformidade contínua, as organizações podem reduzir a sobreposição, aproveitando uma estrutura de controle comum para aumentar a precisão na coleta e análise de dados e reduzir em até 75% os esforços redundantes e manuais, intensivos em mão-de-obra.
• O monitoramento contínuo implica uma maior frequência de avaliações de dados e requer automação de dados de segurança, agregando e normalizando dados de várias fontes, como informações de segurança e gerenciamento de eventos (SIEM), gerenciamento de ativos, feeds de ameaças e scanners de vulnerabilidades. Por sua vez, as organizações podem reduzir custos unificando soluções, simplificando processos, criando consciência situacional para expor explorações e ameaças em tempo hábil e coletando dados históricos de tendências, que podem ajudar na segurança preditiva.
• A correção baseada em risco e em circuito fechado utiliza especialistas no assunto dentro das unidades de negócios para definir um catálogo e tolerância a riscos. Esse processo envolve a classificação de ativos para definir a criticidade dos negócios, a pontuação contínua para permitir a priorização baseada em riscos e o rastreamento e medição em circuito fechado. Ao estabelecer um ciclo contínuo de revisão dos ativos, pessoas, processos, riscos potenciais e possíveis ameaças existentes, as organizações podem aumentar drasticamente a eficiência operacional, melhorando a colaboração entre negócios, segurança e operações de TI. Isso permite que os esforços de segurança - como tempo de resolução, investimento na equipe de operações de segurança, compras de ferramentas de segurança adicionais - sejam medidos e tangíveis.

Conclusão sobre risco e conformidade

Os mandatos de conformidade nunca foram projetados para conduzir o barramento de segurança de TI. Eles devem desempenhar um papel de suporte dentro de uma estrutura de segurança dinâmica, orientada pela avaliação de riscos, monitoramento contínuo e correção de loop fechado.