Ako poslujete u Sjedinjenim Državama, posebno preko državnih granica, vjerojatno znate koliko je teško pridržavati se zakona o privatnosti podataka američke države. Savezna vlada i vlade mnogih američkih saveznih država zahtijevaju od vas da implementirate “razumne” kontrole cyber sigurnosti u vezi s načinom na koji postupate s obavještenjem o kršenju podataka i privatnosti podataka vaših klijenata. Ali ovi mandati ne govore o tome kako možete ispuniti standard razumnosti u svojim naporima za cyber sigurnost . Tačnije, oni ne identifikuju okvire sa kojima možete uskladiti svoj program implementacije kontrola.
Takva dvosmislenost oko razumnosti u cyber sigurnosti komplikuje vaše napore da kreirate robustan program cyber odbrane. U nedostatku jasnoće o tome kako dalje , mogli biste nehotice udvostručiti napore oko svojih zadataka implementacije dok pokušavate ispuniti zahtjeve različitih zakona američke države o privatnosti podataka. Ovo bi moglo izgubiti vrijeme, novac i resurse – a sve to bez nužnog ispunjenja namjere samih zakona. Dakle možda nećete moći dokazati da vaš program cyber odbrane ispunjava standard razumnosti u slučaju kršenja, izlažući vašu organizaciju tužbama i drugim štetama.
Šta možete učiniti da se snađete u ovoj dvosmislenosti?
U ovom članku ćemo idenfikovati i razgovarati o nekoliko elemenata politike koje možete ugraditi u svoj program cyber sigurnosti koji zadovoljavaju standard razumnosti.
7 koraka vaše kontrolne liste politike razumnosti
Korak 1: Shvatite misiju vaše organizacije, zainteresovane strane i obaveze
Kao dimenzija cyber sigurnosti generalno, razumna cyber sigurnost varira u svojoj implementaciji od preduzeća do preduzeća. Kako će to izgledati za vas će odražavati ono što vašu organizaciju čini jedinstvenom. Ne pokušavajte da implementirate razumnu cyber sigurnost u skladu s tim kako mislite da bi trebala izgledati. Umjesto toga, provedite vrijeme da vam bude jasno o misiji vaše organizacije, o kupovini vaših dionika i vašim ciljevima usklađenosti. Možete koristiti ovu perspektivu da informišete kako ćete ispuniti korake koji slijede.
Korak 2: Razvijte i implementirajte program cyber sigurnosti
Ovaj korak zahtijeva od vas da implementirate nekoliko drugih pratećih elemenata, uključujući sljedeće:
- Uloge i odgovornosti: Ko će u vašoj organizaciji pomoći u upravljanju vašim razumnim programom sajber odbrane? Kako će podržati ovu inicijativu?
- Interne politike i zahtjevi za sprovođenje: Koje politike će podržati vašu implementaciju razumnog programa cyber sigurnosti? Na koga će se primjenjivati te politike? Kako ćete provesti zahtjeve tih politika?
- Redovna obuka o cyber sigurnosti i podizanje svijesti osoblja: Da li koristite jedan opšti program obuke o cyber sigurnosti za sve svoje zaposlenike? Ili primjenjujete nekoliko programa zasnovanih na ulogama? Koliko često provodite obuku sa svojom radnom snagom?
Korak 3: Identifikujte resurse, uključujući fondove, osoblje, angažovane uloge i automatizovane alate
Morate idenfikovati resurse koji će vam pomoći da maksimalno iskoristite svoje vrijeme i trud. Ovo će vam pomoći da održite zamah razvoja vašeg razumnog programa cyber odbrane.
Članstvo u CIS SecureSuite-u može vam pomoći u ovom koraku i u koracima koje treba slijediti, kao što je prikazano u sljedećoj infografici.
CIS SecureSuite vam omogućava pristup CIS Build Kitovima . Dostupni kao objekti grupne politike (GPO) za Windows i bash shell skripte za Linux/Unix, CIS Build Kits vam omogućavaju da brzo implementirate smjernice bezbjedne konfiguracije CIS Benchmarks. Čineći to, CIS Build Kits vam pomažu da automatizujete svoj program za upravljanje bezbjednim konfiguracijama, čime se pojednostavljuju napori za jačanje sistema.
Korak 4: Slijedite okvir ili standard cyber sigurnosti koji je priznat u industriji
Potrebna vam je ruta do koje želite da vodite svoj razumni program cyber odbrane. Možete sami isplanirati ovu rutu, ali biste mogli propustiti važne lekcije koje su druge organizacije naučile u tom procesu .
Zbog toga preporučujemo da slijedite industrijski priznati okvir cyber sigurnosti kao što su CIS kritične sigurnosne kontrole (CIS kontrole) i CIS mjerila. Istražimo svaki od ovih skupova najboljih sigurnosnih praksi u nastavku.
CIS kontrole
CIS kontrole su propisane, prioritetne i pojednostavljene sigurnosne mjere koje možete primijeniti kako biste ojačali svoj položaj cyber sigurnosti. Kontrole se sastoje od 153 pojedinačne radnje, ili CIS zaštitnih mjera, koje se mapiraju na HIPAA, NIST CSF 2.0 i druge okvire i propise.
CIS Benchmarks
CIS Benchmarks sastoje se od sigurnih preporuka koje vam pomažu da uklonite nagađanje o sve oštrijim operativnim sistemima, mobilnim uređajima, platformama usluga u cloud-u i još mnogo toga u 25+ familija proizvoda dobavljača. CIS Benchmarks se vraćaju na kontrole, a nekoliko drugih standarda, uključujući PCI DSS, posebno se pozivaju na Benchmarks kao efikasno sredstvo za jačanje sistema.
Korak 5: Izmjerite usklađenost s okvirom i ublažite nalaze kako biste osigurali vašu stalnu usklađenost sa njegovim programom
Članstvo u CIS SecureSuite-u dolazi sa pogodnostima, alatima i resursima dizajniranim da vam pomognu da kontinuirano procjenjujete svoju implementaciju kontrola i mjerila. Ovi alati uključuju CIS CSAT Pro i CIS-CAT Pro.
CIS CSAT Pro
Uz CIS CSAT Pro , možete pratiti i odrediti prioritete u implementaciji CIS kontrola koristeći pojednostavljeni metod bodovanja. Možete istovremeno pratiti višestruke procjene u odnosu na Kontrole, a svim tim procjenama možete pristupiti koristeći konsolidovanu početnu stranicu. CIS CSAT Pro vam takođe omogućava da dodijelite različite uloge članovima vašeg tima tako da možete orkestrirati zadatke implementacije u cijeloj organizaciji.
Snimak ekrana CIS CSAT Pro koji prikazuje demo organizaciju, uključujući dostupne korisnike i njihove uloge.
CIS-CAT Pro
Sa CIS-CAT Pro Assessorom, možete pokrenuti automatska skeniranja postavki vašeg sistema u odnosu na bezbjedne preporuke CIS Benchmarks. Procjenitelj će vratiti izvještaj koji ukazuje na ocjenu usklađenosti vašeg sistema s odgovarajućim CIS Benchmarkom. Ovaj izvještaj će takođe mapirati rezultate vaših sistema u CIS kontrole, čime će vam pomoći da pozicionirate rezultate očvršćavanja vašeg sistema u širem kontekstu vašeg programa cyber sigurnosti.
Snimak ekrana CIS-CAT Pro izvještaja o procjeni, sa ukupnim rezultatom usklađenosti zaokruženim crvenom bojom.
Dodatno, CIS-CAT Pro uključuje komponentu Dashboard koju možete koristiti za grafički prikaz utjecaja vaših napora na očvršćavanju tokom nedavnog vremenskog perioda. Ovu komponentu možete koristiti za komuniciranje napretka svojih rezultata s rukovodstvom i planiranje vaših sljedećih zadataka učvršćivanja.
CIS WorkBench
Članovi CIS SecureSuite-a mogu preuzeti CIS CSAT Pro, CIS-CAT Pro i druge članske resurse na CIS WorkBench-u . Ova centralizirana platforma omogućava članovima da, između ostalog, pristupe gore navedenim alatima. Takođe im pomaže da prilagode preporuke CIS referentne vrijednosti prema svojim jedinstvenim potrebama i izvezu revidirani dokument za vlastitu upotrebu. Konačno, unutar same platforme, članovi se mogu povezati s drugim organizacijama i učiti od njih u područjima za diskusiju samo za članove.
Korak 6: Provedite periodične procjene rizika u skladu s metodologijom definisanom u vašem programu cyber sigurnosti i ublažite nalaze
Da biste maksimalno iskoristili ove procjene rizika, morate koristiti kvantitativnu analizu rizika . Ova metodologija pruža numeričke podatke koje vi i vaše zainteresirane strane možete koristiti za objektivnije donošenje odluka o određivanju prioriteta rizika. Jednostavno nije uvijek lako samostalno izvršiti procjene koristeći kvantitativne analize rizika.
Naša CIS metoda procjene rizika (RAM) može pomoći. Dostupan besplatno izvan CIS SecureSuite članstva, CIS RAM pomaže svim organizacijama, uključujući članove CIS SecureSuite-a, da se usklade sa standardom razumnosti procjenjujući svoje pozicioniranje cyber sigurnosti u odnosu na kontrole.
Kao što je objašnjeno u vodiču za definisanje razumne cyber sigurnosti , mnoge države su koristile CIS RAM za definisanje razumnih mjera zaštite cyber sigurnosti u tužbama za povredu podataka. Možete uzeti proaktivan pristup ovom metodom da biste ocijenili mjere koje ste poduzeli u odbrani od kršenja.
Korak 7: Provedite periodične nezavisne procjene vašeg programa cyber sigurnosti i ublažite nalaze
Kao posljednji korak, morate unijeti stručnost vanjskih strana u svoj pristup kako biste kontinuirano poboljšavali svoj razumni program cyber odbrane. To možete učiniti radeći s pouzdanim organizacijama na izvođenju testova penetracije, procjene ranjivosti i/ili drugih angažmana. Ove vrste usluga koriste namjerno testiranje kako bi otkrile nedostatke u vašem programu koje ste možda propustili.
Učinite prvi korak u izgradnji razumnog programa cyber odbrane
Otključavanje vaše razumne cyber zaštite uz CIS SecureSuite
Gore navedeni koraci pomoći će vam da uskladite svoj program cyber sigurnosti sa standardom razumnosti. Da biste maksimalno iskoristili ove elemente, morate dokumentovati korake koje poduzimate za rješavanje, implementaciju i održavanje svakog od ovih elemenata, kao i obavljanje tih aktivnosti na periodičnoj osnovi. CIS SecureSuite vam može pomoći da pojednostavite ovaj proces, pružajući vam prednosti, alate i resurse koji su vam potrebni da održite razuman program cyber odbrane u budućnosti.
Izvor:Help Net Security
