Favorito extremo otra vez
Desafortunadamente, la clasificación de datos generalmente error en muchos programas de seguridad de la información. El crecimiento y la sazón de la mayoría de los programas de seguridad suelen ser orgánicos y siguen la recuerdo del crecimiento del propio negocio. Este crecimiento orgánico lógicamente da como resultado que los programas menos maduros sigan siendo reactivos durante muchos primaveras, centrándose en la implementación de controles para ayudar a proteger los datos críticos para el negocio contra violaciones.
Por lo tanto, como era de esperar, la clasificación de datos generalmente no se elige primero cuando se reúne un equipo de componentes de programas de seguridad de primer nivel. Los programas desarrollados orgánicamente tienden a apilar sus líneas con controles de gran impacto como VPN, soluciones de respaldo, MFA y EDR, que sin duda son componentes importantes.
Medidas del software
La medición del software de seguridad de una estructura se reduce a tres (3) áreas de enfoque principales:
- Reflexión del software: ¿el software incluye todos los componentes que debería?
- Efectividad organizacional: ¿Con qué operatividad protegen esos componentes los datos críticos para el negocio?
- Aventura empresarial: ¿cuál es la probabilidad de que los datos críticos para el negocio sean vulnerados o no estén disponibles, y cuáles son las ramificaciones financieras si esto sucede?
La relación precedente no afecta al cumplimiento, que es un componente crucial para muchas industrias. En normal, en los círculos de seguridad de la información existe un acuerdo en que la mejor modo de conseguir el cumplimiento es centrarse más en los componentes de seguridad del software y menos en cumplir con marcos específicos. El cumplimiento es el resultado de un sólido software centrado en la seguridad.
La sazón y el peligro se miden comúnmente en la mayoría de las organizaciones que se toman en serio la protección de los datos críticos para el negocio. La operatividad se mide con menos frecuencia tanto en programas de seguridad cultivados orgánicamente como en programas de seguridad mucho maduros. Tengo varias hipótesis sobre por qué esto suele ser así, pero eso puede ser para una publicación de blog diferente.
La operatividad organizacional se puede calcular de muchas maneras. Un ejemplo de medición de la operatividad es el uso de un situación como MITRE ATT&CK.® para asignar las herramientas actuales en la pila de seguridad de una estructura a las fuentes de datos y componentes de ATT&CK que pueden detectar las técnicas de ataque conocidas documentadas en el situación. Dicho esto, el hecho de que una útil que puede detectar ciertas técnicas de ataque esté presente en un entorno no garantiza que esas técnicas de ataque sean detectadas, por lo que es crucial comprender qué tan proporcionadamente se ha implementado y mantenido activamente la útil para calcular mejor su operatividad.
Este tipo de medición de la operatividad ha sido proporcionadamente documentado en los blogs y seminarios web de TrustedSec (consulte Efectividad de la ruta de ataque); sin bloqueo, no es la única medida valiosa de operatividad y nos devuelve a la clasificación de datos.
Aplicaciones de clasificación de datos
La clasificación de datos es a la vez un concepto simple y un aspecto fundamental de la seguridad de la información y la gobierno de riesgos. Es crucial en la identificación de sistemas críticos para el negocio y sus RTO y RPO asociados. A medida que los programas de seguridad desarrollados orgánicamente maduran y se alinean mejor con las deyección y prioridades del negocio, el observación de riesgos que analiza la probabilidad de infracciones y los impactos financieros resultantes se vuelve mucho más importante. Pero el “impacto” puede resultar difícil de calcular sin la aplicación de la clasificación de datos.
El aspecto utilitario de calcular el impacto es comprender mejor las pérdidas financieras esperadas si los sistemas críticos para el negocio fallan o fallan. Este proceso generalmente consiste en observar tanto la clasificación de los datos que maneja cada sistema (PII, CHD, PHI, propiedad intelectual, etc.) como la pérdida organizacional por sistema (por ejemplo, ¿cuántos ingresos pierde la estructura si este sistema deja de estar arreglado?). ).
Si proporcionadamente el primero es generalmente un examen sencillo para una estructura, el mapeo de sistemas críticos para pérdidas financieras puede ser mucho más complicado. Un software formado de gobierno de riesgos es crucial para ayudar a las empresas a tomar las mejores decisiones mediante la comprensión de las ramificaciones de los problemas técnicos, y requiere un mapeo formado de los sistemas críticos, incluidos los propietarios de los sistemas y los ingresos asociados.
Afirmar la parte difícil en voz reincorporación
Los sistemas críticos son construcciones de suspensión nivel que pueden tener muchos activos de soporte. El mapeo de los activos de soporte de cualquier sistema crítico depende de otro componente fundamental de un software de seguridad que generalmente además se pasa por suspensión: los inventarios. Los programas de inventario maduros deben aplicar la clasificación normal de datos y los aspectos críticos del sistema de sus sistemas principales.
Un software formado de clasificación de datos que incluya sistemas críticos y mapeo de activos se puede utilizar de muchas maneras que ayuden a mejorar la efectividad organizacional. Un ejemplo es la gobierno de vulnerabilidades, que puede resultar un desafío, especialmente en las grandes empresas. A los activos que respaldan los sistemas críticos se les puede dar longevo peso al escanear en rebusca de vulnerabilidades, lo que permite a los equipos priorizar mejor los esfuerzos de remediación cuando se descubre la última vulnerabilidad de dificultad crítica en todo un ecosistema y afecta los sistemas críticos de nivel superior.
La respuesta a incidentes es otro ejemplo de un componente de software de seguridad que se progreso a partir de la aplicación de la clasificación de datos. El mismo software formado de clasificación de datos precedente se puede utilizar para priorizar los esfuerzos de recuperación en caso de una infracción a gran escalera, como el ransomware. Los sistemas críticos responsables de gran parte de los ingresos de la estructura deben priorizarse y recuperarse antiguamente que cualquier otro sistema una vez que se haya determinado la causa o causas de la infracción.
De modo similar, los ejercicios prácticos de recuperación delante desastres y planificación de la continuidad del negocio se benefician enormemente de la priorización de los sistemas críticos para el negocio y sus activos de soporte.
Estos son sólo algunos ejemplos de cómo las organizaciones pueden mejorar su operatividad organizacional mediante la aplicación de un software formado de clasificación de datos, un componente muy pasado por suspensión en los programas de seguridad de la información en todas las industrias y verticales.
Rompecabezas
Esperemos que este artículo haya plantado una semilla en las mentes de aquellos que quizás no se hayan tomado en serio la clasificación de datos como un actor hado en un software de seguridad de la información. Pero, ¿a dónde vamos desde aqui? En la Parte 2 de esta exploración, veremos cómo las organizaciones pueden aplicar funcionalmente la clasificación de datos desde una política de suspensión nivel hasta el componente crucial de los dominios vitales del software de seguridad que en realidad es.