组织非常清楚我们的超连接世界中固有的安适危害。然而,许多人错误地将注意力集中在合规上,而不是确保他们的安适计谋是有效和高效的。跟着威胁形势不停成长,这种以合规为导向的复选框心态正在使许多组织面临潜在的灾难性下降(或违规)。
合规并不能保证公司有一个全面的安适计谋,因为这些最终是两个根柢差此外学科。合规的方针是满足外部施加的静态要求,这凡是不包孕良好的安适状况。简而言之,合规性是一种呈报成果,以牺牲安适性为价钱对其进行优先排序可能会使组织面临越来越多的威胁。
尽管如此,许多公司都将合规性作为安适采购决策背后的驱动因素。这种要领经常导致不丰裕的工具包素质上是战术性的,而不是整体安适计谋的一部分。这可能会给组织带来大量的点解决方案,这有两个原因是有问题的。其一,在这种分手的环境中产生违规非常容易,而且,这些解决方案往往会孕育产生特别的低效率和用度。
许多审核员和合规框架要求WAF掩护网站,但公司凡是会尽力做到获得查对符号所需的最低限度。这凡是会导致WAF仅用于监控模式或仅限于阻止特定打击。考虑到Web应用措施仍然是主要的打击媒介,只是放入切合最低合规标准的内容并不能真正抵制这种打击媒介。
这些效率低下的原因不只在于难以打点各类百般的单点解决方案,还因为这些工具凡是缺乏跟上动态威胁环境所需的自动化。它也可能更昂贵,因为决策不是战略性的,需要更多的人员和时间来配置,打点和维护各类工具包。
出于这些原因和其他原因,让合规性确定安适投资是短视的。合规性应该是强有力的安适打算的副产品,而不是其根本。必需按照组织的奇特威胁环境做出采购决策,确保所有最终产品都能量身定制,以满足公司的特定需求。
安适带领层可以通过教育他们必需采纳哪些法子来防止当今的高级网络威胁,从而使高级打点层不只仅存眷合规性。
为了使组织从合规性思维模式改变,它要求CISO必需证明专注于合规性的解决方案如何能够袒露组织的差别部分。通过将冲突从技术问题转移到概述业务影响的问题,安适带领者可以辅佐敦促撑持主动安适打算的决策,从而降低危害。
这种改变的关键部分是界说组织的安适优先级。每个企业都是并世无双的,并且会有一系列差此外缝隙和危害偏好。组织应识别针对其特定行业的最常受打击的组件,其组合中最易受打击的技术以及如何提高潜在威胁向量的可行性。在金融处事范围,如果公司专注于PCI合规性,那么他们可以进行文件完整性监控。但是,从安适角度来看,文件勾当监控是首选,因为它允许您识别过多的权限危害。通过为安适做正确的工作,您可以满足合规性方针或显示您已实施赔偿控制。
一旦确定了优先级,就应该成立一个商业案例,概述问题和各自的解决方案。从业务影响和供给ROI数据方面对此进行解释将有助于确保利益相关方的撑持。这是一个耗时但必不成少的法式,可确保明智地投入预算。
另一个关键要素是概述合规驱动要领如何影响业务绩效。例如,合规性可能需要DLP工具,但它们会严重影响用户系统,需要大量技术撑持,并且很少供给实际的安适价值。
高级打点层和董事会必需将安适性视为关键业务危害。将其视为纯粹的合规行为会导致效率低下并烧毁资源,但更严重的是,它也会使组织面临危害。应该从新开始成立有效的安适打算,并按照组织的具体需求。这种要领将使未来的合规性审计变得越发容易,从久远来看可以节省资金并掩护业务。公司需要全面了解安适性和要领,这是整个企业的存眷点,而不只仅是CISO的责任。只有这样,组织才华做好应对不停变革的威胁形势的筹备。