Sinopsis de la Parte 1
Esta es la segunda de una serie de dos partes sobre Clasificación de datos. La primera parte habló del hecho de que la mayoría de los programas de seguridad crecen orgánicamente y adyacente con el crecimiento del negocio. Este crecimiento orgánico da como resultado que el software sea reactivo durante muchos abriles y que se prioricen controles sólidos que pueden mover la alfiler, como MFA, VPN y EDR. Lógicamente, los componentes fundamentales como la clasificación de datos generalmente se vuelven a pensar.
Sin retención, fundamental significa fundamental; Un software formado de clasificación de datos es crucial para tener éxito:
- Mandato de vulnerabilidades
- Mandato de amenazas
- Mandato de identidad y acercamiento
- Edificación de seguridad de la información
- Mandato de riesgos
La política es la parte (relativamente) practicable
Los programas tradicionales de clasificación de datos comienzan con la política básica, que generalmente define el tipo de datos que maneja la ordenamiento, sus clasificaciones asociadas y pautas generales sobre cómo se debe manejar cada tipo de datos. Ejemplos simples incluyen:
- Confidencial: datos con acercamiento restringido, de naturaleza sensible, según la falta de saberlo
- Interno: datos restringidos al personal con fines comerciales legítimos
- Notorio: datos sin restricciones de acercamiento o uso
Encima, la mayoría de las políticas de clasificación de datos todavía definen requisitos de manejo de datos, como el secreto de datos confidenciales, así como cronogramas de retención y destrucción de datos. Alternativamente, la política de Clasificación de datos puede vincularse a documentos adicionales, como políticas de secreto de datos o retención y destrucción de datos.
Pero explicar los tipos de datos y los requisitos asociados es sólo una parte de la falta empresarial de clasificación de datos. Necesitamos expandir la Clasificación de datos a la Clasificación del sistema, generalmente otra política vinculada desde la política básica de Clasificación de datos.
En muchos entornos, la clasificación de sistemas críticos imitará la clasificación de datos en el sentido de que los sistemas más críticos almacenan y utilizan los tipos de datos más críticos, como los sistemas de registros médicos electrónicos (EMR) o los sistemas de planificación de bienes empresariales (ERP). Sin retención, puede que este no sea siempre el caso.
Un ejemplo que me viene a la mente por experiencia es el de los fabricantes de piezas cerámicas de plomería; El primer paso de este proceso es posiblemente uno de los más importantes: someter la arena a un proceso de calentamiento y suplemento de instrumentos para producir arena cerámica. La arena no es exactamente un tipo de datos mucho confidencial, pero la incapacidad de ejecutar este primer paso probablemente paralizaría la procreación de ingresos de un fabricante de piezas cerámicas durante algún tiempo.
Un en serie de clasificación de sistemas en anillo es un excelente sitio para comenzar, y las organizaciones deben agrupar sus sistemas fundamentales más críticos, como Active Directory y la infraestructura de red de tecnología operativa (OT) y TI, en la clasificación de sistemas más crítica: Anillo 0. Sistemas de anillo 1. incluiría los sistemas críticos no relacionados con la infraestructura que dependen de los sistemas del Anillo 0, como los sistemas EMR y ERP y los sistemas de control industrial (ICS), especialmente para la infraestructura crítica. Realice los ajustes necesarios cuando se trate de sistemas en la nubarrón y no dependa de los sistemas locales del Anillo 0 mencionados anteriormente. Sistemas menos críticos que utilizan bienes del Anillo 0 o 1 o a los que se les puede asignar criticidad del Anillo 2, etc.
El venidero es un ejemplo de clasificación del sistema anillado; el kilometraje de su ordenamiento puede variar:
Disección de impacto empresarial
El proceso de definición de los sistemas comerciales críticos de una ordenamiento suele ser parte de un BIA en el que los líderes de la mecanismo de negocios (BU) o división y los propietarios de sistemas definen los sistemas críticos de sus grupos en los que se confía más para desempeñar con éxito las responsabilidades organizacionales del género. El primer hábitat de influencia de una BIA es explicar los umbrales de pérdidas de la ordenamiento, un proceso que comienza cuando el liderazgo financiero acuerda la pérdida financiera máxima que la empresa podría absorber sin alterar fundamentalmente la forma en que se lleva a angla el negocio (por ejemplo, reforzar líneas de crédito adicionales, protecciones contra quiebras). , despidos, etc.).
El segundo hábitat de influencia es explicar los rangos de pérdida semicuantitativos apropiados (por defecto), desde la Calificación Severa hasta un sistema de calificación de principio de pérdida de seis niveles. Este conjunto establecido de umbrales de pérdida se puede aplicar luego a múltiples funciones comerciales vinculadas a cada sistema crítico. Por ejemplo, si el equipo de procesamiento de arena mencionado anteriormente utilizado para crear arena cerámica no está habitable durante una semana correcto a una falta de hardware, ¿cuánto probablemente perdería la ordenamiento por retrasos en la producción? ¿Atención al cliente? ¿Flujo de fondos?
Una vez que se han definido los umbrales de pérdidas de la ordenamiento, ahora es posible comenzar a modelar interrupciones e infracciones de detención nivel. Por ejemplo, todas las operaciones se detienen durante cuatro semanas para recuperarse de un ataque de ransomware exitoso. ¿A cuánto asciende la pérdida esperada? ¿Qué seguros existen para compensar pérdidas? ¿Qué sistemas se deben priorizar durante la recuperación?
De modo similar, digamos que la instalación A está fuera de servicio durante dos semanas correcto a una falta mecánica. ¿A cuánto asciende la pérdida esperada de esta instalación? ¿Qué sistemas empresariales se ven afectados y cuáles no? ¿Qué sistemas se deben priorizar durante la recuperación?
A medida que trabajamos desde el establecimiento de políticas de datos a través del proceso BIA y la definición de los sistemas críticos para el negocio y los umbrales de pérdida, llegamos al final aspecto del vínculo de clasificación del sistema con la clasificación de datos, o el “cabecilla final” fundamental: el mapeo. activos a sistemas críticos. Como se indicó en la primera parte de esta serie de dos partes, los inventarios son otro componente fundamental de un software de seguridad que generalmente se pasa por detención o está incompleto. Y como dice el remoto refrán, no puedes reforzar activos si no sabes que existen en tu ecosistema.
Por ejemplo, volvamos a nuestro ejemplo de fabricación de arena cerámica. En muchos casos, el descubrimiento inevitable de activos está prohibido en las redes OT, y mucho menos el escaneo de vulnerabilidades reales, correcto a que los sistemas más antiguos pueden resultar fuera de andana. La máquina de arena cerámica de 23 abriles se ejecuta desde un sistema Windows XP, y el equipo de TI probablemente no tiene idea de que este sistema mucho crítico para el negocio se ejecuta desde un sistema eficaz no compatible que no ha sido parcheado.
De modo similar, los activos de soporte del sistema ERP de una gran ordenamiento pueden incluir varias decenas de servidores en las instalaciones y en la nubarrón, algunos en clústeres de VM, poco de hardware físico, muchos de los cuales tienen copias de seguridad de modo diferente y la mayoría de los cuales no han tenido Restauraciones probadas. El conocimiento institucional es excelente, pero sólo llegará hasta cierto punto.
El desafío del inventario
Históricamente, a lo espacioso de los abriles ha habido muchas barreras para conquistar inventarios precisos y confiables, incluidas las divisiones de TI/OT, soluciones de inventario específicas de plataformas (por ejemplo, Windows pero no Linux) e incluso la tecnología que respalda los propios sistemas de inventario. En los últimos abriles se ha gastado una progreso muy marcada en muchas de las barreras tecnológicas, con soluciones de inventario central que se integran con diferentes soluciones específicas de plataforma, así como soluciones como escáneres de vulnerabilidad y plataformas EDR. Algunos vienen con su propio prospección de vulnerabilidades integrado en la plataforma.
Muchas de estas soluciones de inventario más recientes pueden explicar agrupaciones de sistemas críticos e incluso descubrir qué hosts probablemente deberían asignarse como activos de soporte. Se pueden aplicar ponderaciones a grupos de sistemas críticos para delimitar entre el Anillo 0 y otros grupos de sistemas de anillo exógeno, lo que ayuda a priorizar actividades como la corrección de vulnerabilidades, la restauración del sistema a posteriori de un incidente, la simulación de adversarios específicos y las pruebas de BCP y DR de nivel superior.
Encima, la mayoría de las soluciones de inventario modernas se integran con los populares sistemas de irradiación de tickets corporativos, lo que garantiza que existan pistas de auditoría y se realice un seguimiento de la rendición de cuentas. Y varios han comenzado a integrarse con soluciones SOAR populares, fortaleciendo aún más a los equipos de TI y seguridad con valiosas capacidades de automatización.
Por supuesto, las divisiones políticas corporativas son una bestia diferente. Para citar a uno de mis expertos en seguridad de la información favoritos, Marcus Ranum: “No se pueden resolver los problemas sociales con software”.
Pensamientos finales
Gracias por descubrir esta serie de dos partes. Espero que haya proporcionado información valiosa. Históricamente, la clasificación de datos ha sido un actor subestimado en el explicación de programas de seguridad de la información, pero al fin y al angla es fundamental. Ampliar la clasificación de datos para vincularla con la clasificación de sistemas críticos, definida en parte a través de ejercicios BIA, es el venidero paso en nuestro orden de operaciones. Finalmente, mapear los sistemas críticos para el negocio con activos de soporte con soluciones de inventario modernas completa la trifecta fundamental que es crucial para las operaciones del software de seguridad, como la papeleo de vulnerabilidades, la respuesta a incidentes, la simulación de adversarios y las pruebas de DR/BCP.
Si su ordenamiento necesita ayuda en cualquiera de estos esfuerzos, no dude en comunicarse con nuestro increíble equipo de cuentas de TrustedSec.