Au-delà de la gouvernance et de la conformité: pourquoi le risque de sécurité est ce qui compte

L'industrie des champignons et les mandats gouvernementaux qui régissent la sécurité informatique ont conduit à un environnement hautement réglementé et à des exercices d'incendie de conformité annuels. Le nombre de réglementations qui affectent les organisations moyennes peut facilement dépasser une douzaine ou plus et devenir de plus en plus complexe chaque jour. Cela oblige la plupart des entreprises à affecter une quantité démesurée de ressources aux efforts de gouvernance et de conformité en plus de leur longue liste de priorités informatiques. Ces efforts sont-ils justifiés? Ou simplement une case à cocher dans le cadre d'une approche de la sécurité axée sur la conformité?

La triste vérité est que vous pouvez planifier un audit, mais vous ne pouvez pas planifier une cyberattaque. Presque tous les jours, ce fait nous est rappelé lorsque des violations font la une des journaux. En conséquence, de nombreuses organisations ont conclu que pour mieux comprendre leur posture à risque, elles doivent aller au-delà de simples évaluations de conformité. En conséquence, ils prennent en compte les menaces et les vulnérabilités, ainsi que l'impact sur les entreprises. Seule une combinaison de ces trois facteurs assure une vision globale du risque.

Le piège de la conformité

Les organisations qui adoptent une approche à la case à cocher axée sur la conformité pour la gestion des risques n'obtiennent qu'une sécurité ponctuelle. En effet, la posture de sécurité d'une entreprise est dynamique et évolue avec le temps. Cela a été prouvé à maintes reprises.

Récemment, des organisations progressistes ont commencé à adopter une approche de la sécurité plus proactive et fondée sur les risques. L'objectif d'un modèle basé sur le risque est de maximiser l'efficacité des opérations de sécurité informatique d'une organisation et de fournir une visibilité sur le risque et la posture de conformité. L'objectif ultime est de rester en conformité, de réduire les risques et de durcir la sécurité de manière continue.

Un certain nombre de facteurs poussent les organisations à adopter un modèle basé sur les risques. Ceux-ci incluent, mais ne sont pas limités à:

• Cyber ​​législation émergente (p. Ex. Loi sur le partage et la protection du cyber renseignement)
• Conseils de surveillance du Bureau du contrôleur de la monnaie (OCC)

La sécurité à la rescousse?

Il est communément admis que la gestion des vulnérabilités minimisera le risque de violation de données. Cependant, sans placer les vulnérabilités dans le contexte du risque qui leur est associé, les organisations désalignent souvent leurs ressources de correction. Souvent, ils négligent les risques les plus critiques tout en ne s'attaquant qu'aux «fruits qui pendent bas».

Ce n'est pas seulement un gaspillage d'argent, mais cela crée également une plus longue fenêtre d'opportunité pour les pirates d'exploiter les vulnérabilités critiques. Le but ultime est de raccourcir la fenêtre dont disposent les attaquants pour exploiter une faille logicielle. Par conséquent, la gestion des vulnérabilités doit être complétée par une approche holistique et basée sur les risques de la sécurité, qui prend en compte des facteurs tels que les menaces, l'accessibilité, la posture de conformité de l'organisation et l'impact commercial. Si la menace ne peut pas atteindre la vulnérabilité, le risque associé est soit réduit, soit éliminé.

Le risque comme seule vérité

La posture de conformité d'une organisation peut jouer un rôle essentiel dans la sécurité informatique en identifiant les contrôles compensatoires qui peuvent être utilisés pour empêcher les menaces d'atteindre leur cible. Selon le rapport Verizon Data Breach Investigations 2013, une analyse des données obtenues à partir des enquêtes sur les violations que Verizon et d'autres organisations ont effectuées au cours de l'année précédente, 97% des incidents de sécurité ont pu être évités grâce à des contrôles simples ou intermédiaires. Cependant, l'impact sur les entreprises est un facteur critique pour déterminer le risque réel. Par exemple, les vulnérabilités qui menacent les actifs commerciaux critiques représentent un risque beaucoup plus élevé que ceux qui sont associés à des cibles moins critiques.

La posture de conformité n'est généralement pas liée à la criticité commerciale des actifs. Au lieu de cela, les contrôles compensatoires sont appliqués de manière générique et testés en conséquence. Sans une compréhension claire de la criticité commerciale qu'un actif représente pour une organisation, une organisation n'est pas en mesure de hiérarchiser les efforts de correction. Une approche axée sur les risques tient compte à la fois de la posture de sécurité et de l'impact commercial pour augmenter l'efficacité opérationnelle, améliorer la précision de l'évaluation, réduire les surfaces d'attaque et améliorer la prise de décision d'investissement.

Comme mentionné précédemment, le risque est influencé par trois facteurs clés: la posture de conformité, les menaces et les vulnérabilités, et l'impact commercial. Par conséquent, il est essentiel d'agréger les informations critiques sur les postures de risque et de conformité avec les informations sur les menaces actuelles, nouvelles et émergentes pour calculer les impacts sur les opérations commerciales et hiérarchiser les actions de correction.

Trois éléments d'une vision holistique du risque

La mise en œuvre d'une approche de la sécurité basée sur le risque comprend trois éléments principaux:

• La conformité continue comprend le rapprochement des actifs et l'automatisation de la classification des données, l'alignement des contrôles techniques, l'automatisation des tests de conformité, le déploiement des enquêtes d'évaluation et l'automatisation de la consolidation des données. Avec une conformité continue, les organisations peuvent réduire les chevauchements en tirant parti d'un cadre de contrôle commun pour augmenter la précision de la collecte et de l'analyse des données, et réduire les efforts redondants et manuels à main-d'œuvre jusqu'à 75%.
• La surveillance continue implique une fréquence accrue des évaluations de données et nécessite une automatisation des données de sécurité en agrégeant et normalisant les données provenant de diverses sources telles que la gestion des informations et des événements de sécurité (SIEM), la gestion des actifs, les flux de menaces et les scanners de vulnérabilité. À leur tour, les organisations peuvent réduire les coûts en unifiant les solutions, en rationalisant les processus, en créant une conscience de la situation pour exposer les exploits et les menaces en temps opportun et en collectant des données de tendance historiques, ce qui peut aider à la sécurité prédictive.
• L'assainissement en boucle fermée basé sur les risques fait appel à des experts en la matière au sein des unités opérationnelles pour définir un catalogue de risques et une tolérance aux risques. Ce processus implique une classification des actifs pour définir la criticité de l'entreprise, un scoring continu pour permettre une priorisation basée sur les risques et un suivi et une mesure en boucle fermée. En établissant une boucle d'examen continu des actifs, des personnes, des processus, des risques potentiels et des menaces possibles, les organisations peuvent augmenter considérablement l'efficacité opérationnelle, tout en améliorant la collaboration entre les opérations commerciales, de sécurité et informatiques. Cela permet de mesurer et de concrétiser les efforts de sécurité - tels que le délai de résolution, l'investissement dans le personnel des opérations de sécurité, les achats d'outils de sécurité supplémentaires.

Le bilan du risque et de la conformité

Les mandats de conformité n'ont jamais été conçus pour piloter le bus de sécurité informatique. Ils devraient jouer un rôle de soutien au sein d'un cadre de sécurité dynamique qui repose sur l'évaluation des risques, la surveillance continue et la correction en boucle fermée.