Deja de defender todo



En cambio, intente priorizar con la ayuda de un inventario exhaustivo de activos.

¿Qué defiende su programa de seguridad de la información?

Esta es una pregunta engañosamente difícil para la mayoría. Cuando pregunto esto en organizaciones típicas, la respuesta a menudo es desalentadora. La respuesta estándar es «todo». La palabra todo hace que mi radar de escepticismo empiece a sonar como un contador de Chernobyl Geiger.

La afirmación que se hace aquí es que todos de los sistemas y todos de los datos creados y almacenados por la organización están defendidos. Estas compañías, y el reclamo de «todo», no hacen distinciones entre niveles altos y bajos de protección. Agrupar todos los sistemas y datos en una categoría causa igualdad en todos los ámbitos, lo cual es una receta para la ineficiencia en el mejor de los casos y el desastre en el peor.

Fredrick el Grande dijo: «El que intenta defender todo, no defiende nada». Si nosotros intento para defender todo, esto significa que no estamos priorizando. En este escenario, los mismos controles de seguridad y el mismo esfuerzo para defender un sistema crítico que almacena las joyas de la corona de la organización también se aplicarán en un sistema no crítico. Esto llevaría a la desprotección de un sistema crítico, a la sobreprotección de un sistema no crítico, o potencialmente a ambos.

El concepto de costos de oportunidad es importante aquí ya que todos tenemos recursos limitados. Ningún departamento recibe un cheque en blanco por todas las herramientas, capacitación y personalized experto que uno pueda desear. Es más probable que ocurra lo contrario, donde se pide a los departamentos que hagan más con menos.

En una realidad con recursos limitados, cada dólar gastado en una herramienta también representa un dólar que podría haberse gastado en una diferente. Cada miembro del personal contratado con una habilidad en individual representa a un candidato que recibió una experiencia diferente. Cada hora que pasa investigando una solución es una hora que podría haberse dedicado a otros proyectos.

Los costos de oportunidad son la razón por la cual debe darse prioridad. Sin ella, una organización está adivinando qué proteger y cómo defender mejor los activos. Esta priorización comienza con un inventario de activos.

Coleccionar todo
¿Qué constituye un inventario de activos efectivo para priorizar la seguridad de la información? En una palabra, detalles. «Sin detalles» significa sin valor. Un inventario es una lista de atributos detallados que pueden servir como un recurso autorizado y consolidado. Es la ventanilla única para todo lo que es relevante para la seguridad de la información sobre un activo.

También debe detallarse en el sentido de que debe incluir todo. Sus cada sistema que toca su purple o maneja información confidencial. Es todo lo que está cableado, inalámbrico o incluso capaz de cualquiera de esos. Se trata de impresoras, teléfonos IP, quioscos, carpas y dispositivos de World-wide-web de las cosas. Son hipervisores de metal desnudo como ESXi. Son cortafuegos, enrutadores, puntos de acceso inalámbrico y conmutadores. Sus todo.

Entender todo
Una vez que se inventarian todos los activos y se recopila información sobre ellos, comenzamos a comprender el panorama typical. La mayoría de los detalles de los activos en un inventario juegan un papel de apoyo en la clasificación de criticidad del sistema. Esta clasificación se deriva de atributos, como el propósito del sistema, el tipo de datos que genera y almacena, la comunidad de usuarios y la función comercial que admite. A partir de este atributo de criticidad, los controles de seguridad para protegerlo pueden determinarse para alinear los riesgos con la tolerancia al riesgo del negocio.

Integración
Ahora volvemos al inventario de activos para conciliar esos controles determinados y proporcionar garantías de que están en su lugar y funcionando como se esperaba. La confianza en el funcionamiento de un programa de seguridad no puede existir sin un inventario completo de activos.

Las diversas herramientas en el entorno generalmente se ajustan para determinar qué es trabajando. La gestión de activos, por otro lado, se utiliza para determinar qué es no trabajando. La garantía es una función importante de la seguridad de la información. Pasar los supuestos de que algo debería estar trabajando como se anuncia a un lugar de confianza objetiva que es trabajando.

Un inventario de activos de calidad permite que ocurra un proceso de reconciliación. La comparación de la lista de sistemas registrados de cada herramienta con un inventario autorizado y todo incluido proporciona una lista clara y objetiva de discrepancias. En ese momento, uno puede dejar de lado las suposiciones y saber qué sistemas están siendo protegidos o monitoreados por una herramienta también, lo que es más importante, qué sistemas faltan y, por lo tanto, no están protegidos.

Un regulate descuidado
Es muy raro que vea una organización con un inventario preciso. ¿Por qué este management fundamental es tan a menudo ignorado?

Por un lado, no hay una herramienta para automatizar el proceso. Estamos condicionados a buscar una herramienta para resolver nuestros problemas. Un clavo necesita un martillo y una rueda chirriante necesita aceite. Las herramientas de inventario de activos son básicamente hojas de cálculo reempaquetadas. Ninguno automatiza fácilmente un método para recopilar el tipo de información necesaria para comprender la postura de seguridad de un activo y garantizar que cada uno tenga los controles que debería tener.

También es un regulate indirecto. Si bien los cortafuegos y las herramientas antimalware pueden mostrar directamente lo malo de lo que lo protegen, la administración de activos es un handle que proporciona la garantía de que sus otros controles realmente funcionan como se esperaba. Sin embargo, no es solo un command «auxiliar», sino más bien un management essential sobre el cual construir todo el programa.

La gestión de activos no es attractive. No da como resultado gráficos bonitos ni relleno de calidad para las diapositivas de PowerPoint. Todo lo contrario: resalta los vacíos en un programa de seguridad. La gestión de activos presenta información que puede ser difícil de tragar. Sin embargo, también lo ayudará a alcanzar el próximo nivel de madurez en su programa de seguridad.

Contenido relacionado:

Kevin Kurzawa tiene experiencia en una variedad de entornos, cada uno con sus propios impulsores comerciales únicos. Sus experiencias en TI y seguridad de la información han variado desde contratistas del Departamento de Defensa grandes y pequeños (incluidos Lockheed y Harris) hasta los tradicionales … Ver biografía completa

Más suggestions





Enlace a la noticia authentic