Во время Конгресса безопасности ISC2 2023 передовые CISO (руководители отделов IT-безопасности) рассказали о наилучших методах для эффективного управления киберрисками. Эндрю Смитон (CISO в Affiniti) и Грег Роджерс (CISO в штате Мэриленд) подготовили ряд рекомендаций для стойкости в условиях усиления нормативных стандартов и угроз.
1. Использование соответствующих фреймворков
Роджерс советует начать с фреймворков кибербезопасности. Однако не все из них необходимы или релевантны для каждой организации. При выборе фреймворков он посоветовал обращать внимание на такие факторы как текущая программа управления рисками, размер компании и ее сектор. Например, ISO27001 часто подходит для организаций на средине своего пути управления рисков. А для тех, кто только его начинает, могут быть более пригодными фреймворки, как вот от NIST.
2. Понимание нормативных и контрактных обязательств
Смитон считает, что в первые 100 дней на новой должности CISO должны узнать все про стандарты и контрактные требования, которым должна соответствовать компания.
“Удивительно, что не все организации придерживаются своих обязательств,” – отметил он, добавив, что CISO должны связаться с руководителем юридического отдела компании, если им отказывают в принятии мер для выполнения определенных требований.
Полное понимание этих обязательств также помогает руководителям службы безопасности прийти к наилучшим способам их воплощения – “найти золотую середину между законом и влиянием на бизнес,” – как выразился Роджерс.
Он утверждает, что если организация имеет надлежащий уровень безопасности, то соответствие требованиям не заставит себя долго ждать.
3. Создание надежной программы управления уязвимостями
Принято считать, что организации должны быстро устранять любые уязвимости с оценкой CVSS “Критически”. Но Роджерс утверждает, что “для этого зачастую недостаточно ресурсов”.
Он отметил, что серьезная уязвимость не обязательно представляет высокий риск для компании. Поэтому команды безопасности должны прийти к своему определению того, что является критическим для организации. Для этого нужно проанализировать некоторые факторы, такие как риск эксплуатации и какие системы попадают под влияние. Это позволяет CISO создать реалистичную программу управления уязвимостями, которая ставит в приоритет наиболее серьезные угрозы.
4. Концентрация на основах
Роджерс и Смитон отмечают, что маркетинг в киберпространстве часто заявляет о высоком мастерстве преступников и угрозах со стороны злонамеренных хакеров, которые имеют поддержку от правительств.
Однако большинство атак довольно просты, например социальная инженерия и взлом паролей. Поэтому они призвали CISO сосредоточиться на основах кибербезопасности, таких как внедрение MFA, политики управления доступом и своевременное использование патчей.
5. Консолидация инструментов безопасности
Смитон считает, что многие организации покупают чрезмерное количество инструментов, упоминая об одном случае, когда компания имела целых 19. Это не дает командам безопасности качественно выполнять свою работу.
Вместо этого CISO должны сосредоточиться на “консолидации и концентрации” своего набора инструментов. Роджерс отметил, что чем меньше инструментов, тем лучше их используют.
6. Эффективная коммуникация о рисках
Эксперты считают, что руководители и остальные сотрудники должны прийти к согласию относительно приемлемого уровня риска, поскольку невозможно защитить все в равной степени. Приоритетные направления необходимо постоянно пересматривать в зависимости от потребностей бизнеса. Этот процесс требует качественной коммуникации. Нужно, чтобы CISO объясняли все понятным для сотрудников языком.
