Під час Конгресу безпеки ISC2 2023 провідні CISO (керівники відділів IT-безпеки) запропонували найкращі методи для ефективного керування кіберризиками. Ендрю Смітон (CISO в Affiniti) і Грег Роджерс (CISO у штаті Меріленд) підготували низку порад для стійкості в умовах посилення нормативних стандартів і зростання загроз.
1. Використання відповідних фреймворків
Роджерс радить почати з фреймворків кібербезпеки. Однак не всі з них необхідні або релевантні для кожної організації. Під час вибору фреймворків він порадив звертати увагу на такі фактори, як поточна програма управління ризиками, розмір компанії та її сектор. Наприклад, ISO27001 часто підходить для організацій, що перебувають на середині свого шляху до управління ризиками. А для тих, хто тільки його починає, можуть бути більш придатними фреймворки, як-от від NIST.
2. Розуміння нормативних і контрактних зобов’язань
Смітон зазначив, що в перші 100 днів на новій посаді CISO повинні довідатися про стандарти та контрактні вимоги, яким повинна відповідати компанія.
“Дивно, що не всі організації дотримуються своїх зобов’язань,” – зауважив він, додавши, що CISO мають зв’язатися з керівником юридичного відділу компанії, якщо їм відмовляють у вжитті заходів для втілення певних вимог.
Повне розуміння цих зобов’язань також допомагає керівникам служби безпеки розробити найкращі способи для їх втілення – “знайти золоту середину між законом і впливом на бізнес,” – як висловився Роджерс.
Він стверджує, що якщо організація має належний рівень безпеки, то відповідність вимогам не змусить себе довго чекати.
3. Створення надійної програми управління вразливостями
Заведено вважати, що організації мають швидко усувати будь-які вразливості з оцінкою CVSS “Критично”. Але Роджерс зазначив, що “для цього часто недостатньо ресурсів”.
Він зауважив, що серйозна вразливість не обов’язково становить високий ризик для компанії. Тому команди безпеки мають розробити своє визначення того, що є критичним для організації. Для цього треба проаналізувати деякі фактори, як-от ризик експлуатації та що за системи потрапляють під вплив. Це дозволяє CISO створити реалістичну програму управління вразливостями, яка ставить у пріоритет найнебезпечніші загрози.
4. Зосередження на основах
Роджерс і Смітон зазначають, що маркетинг у кіберпросторі часто робить заяви про високу майстерність злочинців і наголошує на загрозах з боку зловмисних хакерів, що мають підтримку від урядів.
Однак більшість атак є доволі простими, як-от соціальна інженерія та злом паролів. Тому вони закликали CISO зосередитися на основах кібербезпеки, як-от впровадження MFA, політики керування доступом і вчасне використання патчів.
5. Консолідація інструментів безпеки
Смітон вважає, що багато організацій купує надмірну кількість інструментів, згадуючи про один випадок, коли компанія мала аж 19. Це не дає командам безпеки якісно виконувати свою роботу.
Замість цього CISO мають надати пріоритет “консолідації та концентрації” свого набору інструментів. Роджерс зазначив, що чим менше інструментів, тим краще їх використовують.
6. Ефективна комунікація щодо ризиків
Експерти зауважили, що керівники та решта співробітників мають дійти до згоди щодо прийнятного рівня ризику, оскільки неможливо захистити все в однаковій мірі. Пріоритетні напрямки необхідно постійно переглядати залежно від потреб бізнесу. Цей процес вимагає якісної комунікації. Потрібно, щоб CISO пояснювали все зрозумілою для співробітників мовою.
