Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 911
- Points
- 113
Вы, вероятно, знакомы с термином "критические активы".
Это технологические активы в ИТ-инфраструктуре вашей компании, которые необходимы для функционирования вашей организации. Если с этими активами, такими как серверы приложений, базы данных или привилегированные идентификаторы, что-либо случится, последствия для вашей системы безопасности могут быть серьезными.
Но считается ли критическим активом каждый технологический актив?
Более того, считается ли каждый технологический актив важным для бизнеса?
Много ли мы на самом деле знаем о рисках для критически важных активов нашего бизнеса?
Критически важные для бизнеса активы – это технологические активы, лежащие в основе вашего бизнеса в целом, и все мы знаем, что технологии - это лишь один из 3 важнейших столпов, необходимых для успешного ведения бизнеса. Чтобы обеспечить полное управление кибербезопасностью, организации должны учитывать: 1) Технологии, 2) бизнес-процессы и 3) ключевых сотрудников. Когда эти 3 столпа объединяются, организации могут начать понимать свои критически важные для бизнеса активы - или те, которые необходимы для успешного функционирования вашего бизнеса.
Существует просто слишком много проблем, требующих исправления - от CVE до неправильных настроек, чрезмерно разрешительных удостоверений личности и многого другого. В этой ситуации организации не могут ответить на вопрос: "на чем нам следует сосредоточить наши усилия в первую очередь?" Без четкого пути исправления того, что важнее всего в первую очередь, многие организации используют то, что я называю подходом "распылять кибербезопасность и молиться" - не зная, что действительно важно или каково реальное влияние на бизнес. Они пытаются все это исправить, что приводит к напрасной трате времени, усилий и ресурсов. (Если вы хотите узнать больше о явной невозможности исправить все, мы предлагаем прочитать наш недавний отчет, Состояние управления экспозицией в 2024 году – анализ 40 миллионов экспозиций показывает, что управление экспозициями стало более сложным, чем когда-либо.)
К счастью, Gartner недавно опубликовала новую структуру, систему непрерывного управления рисками, или CTEM, которая может помочь нам увидеть, где и как расставить приоритеты в наших усилиях, со следующим заявлением: "CISO должны учитывать следующее: какие ИТ-системы являются наиболее критичными и уязвимыми ... применительно к бизнес-процессам". Подробнее об этом читайте в Стратегической дорожной карте Gartner по управлению рисками на 2024 год, Пита Шоарда) Вот почему важно сосредоточиться на вопросах, влияющих на бизнес. Это помогает организациям стать более эффективными, обеспечивая более рациональное использование ресурсов и усилий.
Еще одно огромное преимущество, которое может оказаться даже более важным, чем предыдущее преимущество? Оно гарантирует, что специалисты по безопасности будут согласованы с вопросами, которые больше всего волнуют высшее руководство вашей компании. Это приводит к улучшению коммуникации и согласованию с вашими бизнес-целями, помогая продемонстрировать, что кибербезопасность - это нечто гораздо большее, чем защита цифрового присутствия организации, и, напротив, является настоящим стимулом для бизнеса. Он гарантирует, что вы охватите и защитите технологические активы, лежащие в основе ваших важнейших бизнес-процессов, и гарантирует постоянное снижение рисков при высокой рентабельности инвестиций, связанных с критически важными для вашего бизнеса активами. Чтобы узнать больше о том, как эффективно сообщать о рисках совету директоров и генеральному директору, ознакомьтесь с нашей электронной книгой " Отчетность о рисках перед советом директоров", здесь.
Определение наиболее важных бизнес-процессов может оказаться сложной задачей, если ваша компания не провела надлежащую оценку бизнес-рисков. Получение таких отчетов от вашей команды по управлению рисками должно быть очень полезным для понимания наиболее важных движущих сил вашего бизнеса и, следовательно, областей с наибольшим риском для начала.
Допустим, вы давно или никогда не проводили оценку рисков. А) это неплохая идея, и Б) другой вариант, который всегда является хорошим началом, - использовать подход "следуй за деньгами":
Обратите внимание, что ваши файловые хранилища, содержащие наиболее конфиденциальные данные, следует рассматривать как критически важные для бизнеса активы. После того, как вы учтете все эти конкретные активы, вы сможете начать по-настоящему понимать, что больше всего влияет на прибыль вашего бизнеса.
Если вы используете такое решение, как XM Cyber, вы автоматически получите отчет о ваших технологических активах как для вашей текущей, так и для облачной среды. В противном случае это может быть достигнуто с помощью инструментов управления активами CMDB, решений ITSM, вашего SIEM-решения или, надеюсь, это задокументировано где-нибудь в старых добрых электронных таблицах Excel.
Кроме того, еще один важный вклад внесут ключевые заинтересованные стороны компании. По словам Gartner, "Для успеха крайне важно выстраивать рамки, соответствующие приоритетам высшего руководства". Поэтому очень важно знать, что уровень C и Правление рассматривают как P1 - "Игра окончена", что такое P2 - Высокая отдача и что они считают P3 - Низкая отдача.
Обычно вы можете начать со сбора соответствующих выходных данных либо из вашего решения по управлению уязвимостями, либо даже из недавних результатов перьевых тестов. Это может послужить ценной информацией о рисках в вашей ИТ-инфраструктуре и позволит сформировать еще один список мероприятий по устранению недостатков, которые вам сейчас необходимо расставить по приоритетам, что по-прежнему может потребовать огромных усилий.
Если вы используете такое решение, как XM Cyber, вам пригодится платформа Scenario.
В каждом сценарии выполняется непрерывное моделирование атак на выделенный набор критически важных для бизнеса активов. Если, например, важным бизнес-процессом является "Обработка платежей", используя сценарий, вы сможете ответить на следующий бизнес-вопрос: "Может ли злоумышленник потенциально скомпрометировать бизнес-процесс обработки платежей?". При выполнении каждого сценария рассчитывается оценка риска с указанием путей атак на все критически важные для бизнеса активы. Кроме того, вы получите список рекомендуемых действий по устранению с наивысшей рентабельностью ваших усилий.
Используя описанную выше методологию, вы можете отказаться от распыления усилий, которые снижают эффективность вашей программы безопасности, и начать по–настоящему заниматься тем, что наиболее важно для вашего бизнеса - не только с точки зрения технологий, но и с точки зрения влияния на отношения с основным бизнесом.
Сосредоточившись на критически важных для бизнеса активах, ваша команда станет значительно более эффективной - и, что еще лучше, это даст понять вашему руководящему составу и Совету директоров, что то, что для них важнее всего, также является вашим главным приоритетом. Эта синергия позволит улучшить коммуникацию и расставить приоритеты, что является залогом успешного функционирования вашего бизнеса.
Примечание: Эта статья была профессионально написана Яроном Мазором, главным консультантом по работе с клиентами в XM Cyber.
Это технологические активы в ИТ-инфраструктуре вашей компании, которые необходимы для функционирования вашей организации. Если с этими активами, такими как серверы приложений, базы данных или привилегированные идентификаторы, что-либо случится, последствия для вашей системы безопасности могут быть серьезными.
Но считается ли критическим активом каждый технологический актив?
Более того, считается ли каждый технологический актив важным для бизнеса?
Много ли мы на самом деле знаем о рисках для критически важных активов нашего бизнеса?
Критически важные для бизнеса активы – это технологические активы, лежащие в основе вашего бизнеса в целом, и все мы знаем, что технологии - это лишь один из 3 важнейших столпов, необходимых для успешного ведения бизнеса. Чтобы обеспечить полное управление кибербезопасностью, организации должны учитывать: 1) Технологии, 2) бизнес-процессы и 3) ключевых сотрудников. Когда эти 3 столпа объединяются, организации могут начать понимать свои критически важные для бизнеса активы - или те, которые необходимы для успешного функционирования вашего бизнеса.
Важность сосредоточения внимания на критически важных для бизнеса активах
Сегодня все знают, что исправить все невозможно.Существует просто слишком много проблем, требующих исправления - от CVE до неправильных настроек, чрезмерно разрешительных удостоверений личности и многого другого. В этой ситуации организации не могут ответить на вопрос: "на чем нам следует сосредоточить наши усилия в первую очередь?" Без четкого пути исправления того, что важнее всего в первую очередь, многие организации используют то, что я называю подходом "распылять кибербезопасность и молиться" - не зная, что действительно важно или каково реальное влияние на бизнес. Они пытаются все это исправить, что приводит к напрасной трате времени, усилий и ресурсов. (Если вы хотите узнать больше о явной невозможности исправить все, мы предлагаем прочитать наш недавний отчет, Состояние управления экспозицией в 2024 году – анализ 40 миллионов экспозиций показывает, что управление экспозициями стало более сложным, чем когда-либо.)
К счастью, Gartner недавно опубликовала новую структуру, систему непрерывного управления рисками, или CTEM, которая может помочь нам увидеть, где и как расставить приоритеты в наших усилиях, со следующим заявлением: "CISO должны учитывать следующее: какие ИТ-системы являются наиболее критичными и уязвимыми ... применительно к бизнес-процессам". Подробнее об этом читайте в Стратегической дорожной карте Gartner по управлению рисками на 2024 год, Пита Шоарда) Вот почему важно сосредоточиться на вопросах, влияющих на бизнес. Это помогает организациям стать более эффективными, обеспечивая более рациональное использование ресурсов и усилий.
Еще одно огромное преимущество, которое может оказаться даже более важным, чем предыдущее преимущество? Оно гарантирует, что специалисты по безопасности будут согласованы с вопросами, которые больше всего волнуют высшее руководство вашей компании. Это приводит к улучшению коммуникации и согласованию с вашими бизнес-целями, помогая продемонстрировать, что кибербезопасность - это нечто гораздо большее, чем защита цифрового присутствия организации, и, напротив, является настоящим стимулом для бизнеса. Он гарантирует, что вы охватите и защитите технологические активы, лежащие в основе ваших важнейших бизнес-процессов, и гарантирует постоянное снижение рисков при высокой рентабельности инвестиций, связанных с критически важными для вашего бизнеса активами. Чтобы узнать больше о том, как эффективно сообщать о рисках совету директоров и генеральному директору, ознакомьтесь с нашей электронной книгой " Отчетность о рисках перед советом директоров", здесь.
Как защитить критически важные активы бизнеса
Когда дело доходит до защиты критически важных активов вашего бизнеса, существует 4 ключевых шага:Шаг 1: Определение бизнес-процессов
Хотя очень приятно говорить о сосредоточении внимания на критически важных для бизнеса активах, как вы на самом деле узнаете, что критически важно для бизнеса, а что нет?Определение наиболее важных бизнес-процессов может оказаться сложной задачей, если ваша компания не провела надлежащую оценку бизнес-рисков. Получение таких отчетов от вашей команды по управлению рисками должно быть очень полезным для понимания наиболее важных движущих сил вашего бизнеса и, следовательно, областей с наибольшим риском для начала.
Допустим, вы давно или никогда не проводили оценку рисков. А) это неплохая идея, и Б) другой вариант, который всегда является хорошим началом, - использовать подход "следуй за деньгами":
- Как компания получает доходы (входящий денежный поток), например: от продажи продуктов, услуг и т.д.
- Как компания тратит деньги (исходящий денежный поток), например: расходы на операционные расходы, маркетинг и т.д.
Шаг 2: Переход от бизнес-процессов к технологическим активам
Теперь, когда у вас есть лучшее представление о наиболее важных бизнес-процессах, вы можете приступить к сопоставлению каждого процесса с базовыми технологическими активами, включая серверы приложений, базы данных, безопасные файловые хранилища, привилегированные удостоверения и т.д. Это будут критически важные активы вашего бизнеса!Обратите внимание, что ваши файловые хранилища, содержащие наиболее конфиденциальные данные, следует рассматривать как критически важные для бизнеса активы. После того, как вы учтете все эти конкретные активы, вы сможете начать по-настоящему понимать, что больше всего влияет на прибыль вашего бизнеса.
Если вы используете такое решение, как XM Cyber, вы автоматически получите отчет о ваших технологических активах как для вашей текущей, так и для облачной среды. В противном случае это может быть достигнуто с помощью инструментов управления активами CMDB, решений ITSM, вашего SIEM-решения или, надеюсь, это задокументировано где-нибудь в старых добрых электронных таблицах Excel.
Шаг 3: Расстановка приоритетов
Как уже упоминалось, невозможно исправить все, а это означает, что мы всегда должны расставлять приоритеты во всем, что мы планируем сделать, чтобы обезопасить наш бизнес. Даже если бы у нас на руках был полный список всех наших драгоценностей, нам всегда следует спрашивать: "Какие 3-5 основных бизнес-областей или процессов являются наиболее важными?". Это еще один случай, когда вам следует тесно сотрудничать с командой по управлению рисками и собирать такую информацию.Кроме того, еще один важный вклад внесут ключевые заинтересованные стороны компании. По словам Gartner, "Для успеха крайне важно выстраивать рамки, соответствующие приоритетам высшего руководства". Поэтому очень важно знать, что уровень C и Правление рассматривают как P1 - "Игра окончена", что такое P2 - Высокая отдача и что они считают P3 - Низкая отдача.
Шаг 4: Внедрение мер безопасности
Отлично! На данный момент у вас есть приличные знания о важнейших активах вашей компании, важных для бизнеса, - отличная работа! И теперь пришло время мобилизовать ваши команды безопасности для обеспечения их безопасности. Это включает сбор соответствующих результатов проверки безопасности и разработку мероприятий по исправлению. Но поскольку невозможно исправить все, с чего вам следует начать и вложить большую часть своих усилий?Обычно вы можете начать со сбора соответствующих выходных данных либо из вашего решения по управлению уязвимостями, либо даже из недавних результатов перьевых тестов. Это может послужить ценной информацией о рисках в вашей ИТ-инфраструктуре и позволит сформировать еще один список мероприятий по устранению недостатков, которые вам сейчас необходимо расставить по приоритетам, что по-прежнему может потребовать огромных усилий.
Если вы используете такое решение, как XM Cyber, вам пригодится платформа Scenario.
В каждом сценарии выполняется непрерывное моделирование атак на выделенный набор критически важных для бизнеса активов. Если, например, важным бизнес-процессом является "Обработка платежей", используя сценарий, вы сможете ответить на следующий бизнес-вопрос: "Может ли злоумышленник потенциально скомпрометировать бизнес-процесс обработки платежей?". При выполнении каждого сценария рассчитывается оценка риска с указанием путей атак на все критически важные для бизнеса активы. Кроме того, вы получите список рекомендуемых действий по устранению с наивысшей рентабельностью ваших усилий.
Заключение
Службы безопасности тратят огромное количество времени на вопросы типа "Может ли злоумышленник потенциально скомпрометировать бизнес-процесс обработки платежей?" или "Адекватно ли мы защищаем наши наиболее чувствительные базы данных CRM, файловые хранилища и администраторов пользователей?". Без понимания того, что оказывает наибольшее влияние на ваш бизнес, это часто бесполезная попытка.Используя описанную выше методологию, вы можете отказаться от распыления усилий, которые снижают эффективность вашей программы безопасности, и начать по–настоящему заниматься тем, что наиболее важно для вашего бизнеса - не только с точки зрения технологий, но и с точки зрения влияния на отношения с основным бизнесом.
Сосредоточившись на критически важных для бизнеса активах, ваша команда станет значительно более эффективной - и, что еще лучше, это даст понять вашему руководящему составу и Совету директоров, что то, что для них важнее всего, также является вашим главным приоритетом. Эта синергия позволит улучшить коммуникацию и расставить приоритеты, что является залогом успешного функционирования вашего бизнеса.
Примечание: Эта статья была профессионально написана Яроном Мазором, главным консультантом по работе с клиентами в XM Cyber.
