Combatere, securitate și conformitate


FireMon a efectuat un studiu la Infosec Europe anul acesta și se pare că a descoperit faptul că profesioniștii din domeniul securității reușesc să fie suprasolicitați, dar și folosiți în mod insuficient. Articolul este intitulat “Obosit de lupta împotriva incidentelor, în locul unei munci reale cu privire la securitate?”. Totuși, se poate spune că securitatea “reală” și combaterea incidentelor nu sunt două chestiuni total separate.

Există cazuri în care un proiect poate fi întrerupt de o combatere a incidentelor. Câteodată, poate fi vorba de o problemă critică precum un focar de viruși sau o defecțiune majoră a sistemelor sau de ceva urgent cum ar fi deplasarea unei persoane foarte importante la o imprimantă aflată pe coridor, deoarece cea din birou afișa un mesaj legat de o eroare, sau chiar de o schimbare programată de biroul de asistență tehnică.

Chiar și în cazul organizațiilor relativ mici, cu departamente IT direct proporționale, unde procesele formale de management al proiectelor, în linie cu politici și strategii globale predefinite și externalizarea unor funcții majore sunt la ordinea zilei, pot fi întâlnite frecvent acțiuni majore de combatere a incidentelor legate de securitate.

Ați putea fi surprinși de daunele pe care le pot cauza e-mailurile ce conțin viermi sau chiar hoax într-o organizație.

În timp ce virușii au înregistrat o scădere la nivel de impact, codurile malware au avut o creștere dramatică începând cu anii 1990. Mai mult decât atât, acestea rămân o armă preferată pentru mulți infractori – așa cum se poate observa din boom-ul actual de infectare cu ransomware – chiar dacă tehnologiile de malware și anti-malware au avut parte de diversificare și o sporire în sofisticare. În timp ce o strategie multistratificată va reduce impactul unei conflagrații de malware, mult prea multe site-uri sunt încă afectate de malware – inclusiv ransomware – pentru a putea spune că pregatirea și combaterea activă nu reprezintă o “muncă legată de securitate cu adevărat semnificativă”.

La urma urmei, a devenit, de asemenea, din ce în ce mai comun ca angajații să își folosească propriile dispozitive pentru muncă, atât la birou, cât și de la distanță, iar dispozitivele personale sunt mai dificil de supravegheat și de protejat.

În timp ce articolul realizat de FireMon atribuie o parte din vină pentru această “stare frustrantă și periculoasă de securitate a afacerilor” complexității rețelei. Articolul susține, de asemenea, că necesitatea “urmării” unor reglementări solicită un timp care ar putea fi alocat unei munci “semnificative” – un cost de oportunitate ascuns, cu alte cuvinte – prin adăugarea de tehnologii despre care respondenții la sondaj consideră că nu au nici un beneficiu în afară de respectarea reglementărilor de conformitate. Chiar se precizează faptul că respondenții “compromit postura de securitate, în scopul de a întruni cerințele de afaceri”. Iar dacă profesioniștii din domeniul securității într-adevăr înșală operațiunile de audit, nu este de mirare faptul că această situație este privită de către SC Magazine drept o dilemă legată de etică.

O respectare a reglementării și o securitate bine implementată nu sunt același lucru. Nu înseamnă doar că unele standarde sunt mai eficiente în promovarea securității decât altele.

În timp ce standardul include informații de nivel înalt cu privire la controalele de securitate, acesta are mai mult de-a face cu implementarea unui proces pentru alegerea și definirea controalelor de securitate decât cu punerea în aplicare.

Rolurile esențiale ale unui audit nu trebuie să seteze controale de securitate în mod direct, ci să ajute organizația:

  • Să își îndeplinească obligațiile contractuale
  • Pentru a se conforma cu reglementările
  • Să obțină o acreditare

Ține de organizație să decidă cum să interpreteze standardul în scopul de a stabili și îndeplini obiectivele aplicabile în funcție de situație, iar acest lucru nu este doar o problemă de securitate, ci și de afaceri. Auditul ține de stabilirea conformității și nu reprezintă o consultanță în securitate. Acest lucru nu înseamnă că un auditor nu trebuie să aibă cunoștințe de securitate detaliate: fără acestea nu poate fi stabilită conformitatea. Dar abilitățile necesare efectuării unui audit de succes – chiar și a unui audit intern – nu sunt identice cu cele utile pentru a pune în aplicare cea mai bună securitate posibilă.

Există șanse ca una dintre problemele legate de standarde și reguli cu care se pot întâlni în cazurile de audit profesioniștii din domeniul securității să fie o neînțelegere pe mai multe niveluri:

  • Neînțelegerea relației dintre mediul de afaceri și securitate. O afacere nesigură se găsește într-o stare proastă, dar o organizație cu un nivel ridicat de securitate nu este neapărat într-o stare bună pentru a-și desfășura activitatea. Securitatea reprezintă un proces critic în afaceri, dar nu este singurul proces din domeniul afacerilor.
  • Profesioniștii buni din domeniul securității și auditorii buni de securitate au abilități identice: dacă o organizație are oameni care nu simt că pot îndeplini ambele roluri în mod confortabil, ceva este în neregulă. Nu este neapărat ca aceștia să fie persoane calificate, ci modul în care acționează este important. Dar, acest lucru nu înseamnă că nu contează conformitatea.

Nu există standarde perfecte. Dar, în general, acestea există pentru un anumit motiv. O organizație care își propune să se conformeze pentru că așa trebuie, dar nu înțelege motivele pentru care este necesară conformitatea, nu este pe drumul cel bun. Iar dacă această lipsă de înțelegere se reflectă în activitatea echipei de securitate, ceva greșit se întâmplă.

 

DAVID HARLEY

CORESPONDENT INDEPENDENT

oana July 19, 2016

Lasa un comentariu