 |
| أهم الخرافات حول أمن تكنولوجيا المعلومات |
مرحبًا بكم في عالم الأنظمة الزائدة ومعايير الامتثال والبنية التحتية المتطورة وانتهاك البيانات الدائم. كل عام ، يمثل النشاط الاحتيالي 600 مليار دولار من الخسائر في الولايات المتحدة. في عام 2017 ، فقد أكثر من مليار سجل حساب في خروقات البيانات - أي ما يعادل 15 ٪ من سكان العالم. يقول 72٪ من موظفي الأمن والامتثال أن وظائفهم أصبحت أكثر صعوبة اليوم مقارنة بما كان عليه الحال قبل عامين ، حتى مع كل الأدوات الجديدة التي حصلوا عليها.
في صناعة الأمن ، نبحث باستمرار عن حل لهذه القضايا المتقاربة - كل ذلك مع مواكبة الامتثال للوائح التنظيمية والتجارية. لقد أصبح الكثيرون ساخطين وغير مبالين من الفشل المستمر للاستثمارات التي تهدف إلى منع هذه الأحداث المؤسفة. لا توجد رصاصة فضية ، ولوح العلم الأبيض هو نفس المشكلة.
الحقيقة هي أنه لا أحد يعرف ما يمكن أن يحدث بعد ذلك. وأحد الخطوات الأولى هي التعرف على الحدود الملازمة لمعرفتنا وكليات التنبؤ. من هناك ، يمكننا اعتماد أساليب العقل والأدلة والتدابير الاستباقية للحفاظ على الامتثال في عالم متغير. يعد اكتشاف أسطورة التوافق السلبي خطوة مهمة لتحقيق خفة الحركة الأمنية وتقليل المخاطر والعثور على التهديدات بسرعة فائقة.
دعنا نكشف بعض الخرافات حول أمن تكنولوجيا المعلومات والامتثال لها:
الأسطورة 1: معايير أمان بيانات صناعة الائتمان للدفع (PCI DSS) ضرورية فقط للشركات الكبيرة
من أجل حماية بيانات العملاء الخاصة بك ، فإن هذه الأسطورة خاطئة بشكل لا لبس فيه. بغض النظر عن الحجم ، يجب على المؤسسات تلبية معايير أمان بيانات صناعة بطاقة الدفع (PCI DSS). في الواقع ، تعتبر بيانات الشركات الصغيرة ذات قيمة كبيرة لصوص البيانات وغالبًا ما تكون أسهل في الوصول إليها بسبب نقص الحماية. الفشل في الامتثال ل PCI DSS يمكن أن يؤدي إلى غرامات كبيرة وعقوبات ويمكن أن يفقد الحق في قبول بطاقات الائتمان.
تستخدم البطاقات الائتمانية لأكثر من مشتريات التجزئة البسيطة. يتم استخدامها للتسجيل في الأحداث ، ودفع الفواتير عبر الإنترنت ، وإجراء عمليات أخرى لا حصر لها. تفيد أفضل الممارسات بعدم تخزين هذه البيانات محليًا ، ولكن إذا دعت الممارسة التجارية للمؤسسة إلى تخزين معلومات بطاقة ائتمان العملاء ، عندئذٍ يلزم اتخاذ خطوات إضافية لضمان ضمان سلامة البيانات. يجب أن تثبت المؤسسات أن جميع الشهادات والاعتمادات وبروتوكولات الأمان لأفضل الممارسات يتم اتباعها في هذه الرسالة.
الأسطورة 2: أحتاج إلى جدار حماية ومعرفات / IPS لتكون متوافقة
في الواقع ، تقول بعض لوائح الامتثال أن المؤسسات مطالبة بأداء التحكم في الوصول وأداء المراقبة. يقول البعض بالفعل أن أجهزة التحكم "المحيطة" مثل VPN أو جدار الحماية مطلوبة. يقول البعض بالفعل كلمة "كشف التسلل". ومع ذلك ، هذا لا يعني بالضرورة الذهاب ونشر NIDS أو جدار الحماية في كل مكان.
التحكم في الوصول والمراقبة يمكن القيام به مع العديد من التقنيات الأخرى. لا حرج في استخدام جدار الحماية أو حلول NIDS لتلبية أي متطلبات توافق ، ولكن ماذا عن المصادقة المركزية ، والتحكم في الوصول إلى الشبكة (NAC) ، واكتشاف الشذوذ في الشبكة ، وتحليل السجل ، واستخدام قوائم ACL على أجهزة التوجيه المحيطة وما إلى ذلك؟
الأسطورة 3: الامتثال هو كل شيء عن القواعد والتحكم في الوصول.
الدرس المستفاد من هذه الأسطورة هو ألا تصبح قصر النظر ، مع التركيز فقط على الموقف الأمني (القواعد والتحكم في الوصول). لا يقتصر الالتزام وأمن الشبكة على إنشاء قواعد والتحكم في الوصول لوضع أفضل ، ولكن أيضًا تقييم مستمر في الوقت الفعلي لما يحدث. الاختباء وراء القواعد والسياسات ليس عذرًا للامتثال وإخفاقات الأمان.
يمكن للمؤسسات التغلب على هذا الانحياز من خلال تحليل سجل مباشر وفي الوقت الحقيقي لما يحدث في أي لحظة. يأتي التصديق على الأمان والامتثال من وضع سياسات للتحكم في الوصول عبر الشبكة والتحليل المستمر لنشاط الشبكة الفعلي للتحقق من تدابير الأمان والامتثال.
الأسطورة 4: الامتثال هو ذات الصلة فقط عندما يكون هناك تدقيق.
تستمر الشبكات في التطور ، ويظل هذا هو التحدي الأكثر أهمية لأمن الشبكات والامتثال لها. الغريب في الأمر ، أن تطور الشبكة لا يستعد بأدب بينما يتقيد موظفو الامتثال والأمن.
لا يقتصر الأمر على زيادة طفرات الشبكة ، ولكن المعايير الجديدة للامتثال تتغير في سياق نماذج الشبكات الجديدة هذه. يضيف هذا التحدي المنفصل والمتكامل أبعادًا جديدة إلى ولاية الامتثال المستمرة ، وليس فقط أثناء التدقيق الوشيك.
نعم ، يمكن لأحدث جيل من جدران الحماية وتقنيات التسجيل الاستفادة من تدفق البيانات خارج الشبكة ، ولكن يتم تحقيق الامتثال عندما يكون هناك مجال لتحليل جميع تلك البيانات. فقط من خلال النظر إلى البيانات في الوقت الفعلي ، يستطيع موظفو الامتثال وأمن الشبكات ضبط المخاطر وتقليلها بشكل مناسب.
إن تشديد التحكم في الشبكة والوصول إليها يمنح المدققين ضمانًا بأن المنظمة تتخذ خطوات استباقية لتنظيم حركة مرور الشبكة. ولكن ماذا تخبرنا الشبكة الفعلية؟ دون ممارسة تحليل السجل بانتظام ، لا توجد وسيلة للتحقق من الامتثال قد تحقق. يحدث هذا التحليل المنتظم دون الرجوع إلى موعد المراجعة أو فشلها مؤخرًا.
الأسطورة 5: الرؤية في الوقت الحقيقي أمر مستحيل.
تعد الرؤية في الوقت الفعلي أحد المتطلبات في بيئة الأعمال العالمية الحالية. مع حدوث التغيير التشريعي والتنظيمي بسرعة كبيرة ، تحتاج فرق أمان الشبكات والامتثال إلى الوصول إلى البيانات عبر الشبكة بالكامل.
غالبًا ما تأتي البيانات بتنسيقات وهياكل متعددة. يصبح الإبلاغ عن الامتثال والتصديق بمثابة تمرين في "دمج البيانات" من أجل التحقق من أن نشاط الشبكة يتوافق مع القواعد والسياسات. يجب أن يصبح موظفو الأمن والامتثال علماء بيانات بحكم الواقع للحصول على إجابات من مجموعة البيانات. هذا هو جهد شاق.
عند زرع متطلبات توافق جديدة ، هناك عملية ضمان حيث يتم اختبار المعيار مقابل الوصول الذي تسمح به القاعدة الجديدة أو يرفضها. كيف يمكنك معرفة ما إذا كانت قاعدة أو سياسة معينة سيكون لها التأثير المطلوب (مطابق للامتثال)؟ في معظم المؤسسات ، ليس لديك الموظفين أو الوقت لتقييم نشاط الشبكة في سياق معايير الامتثال. بحلول موعد استيفاء معيار جديد للامتثال ، لم تكن عملية دمج البيانات كاملة ، مما يتركنا دون ثقة أكبر في تحقيق الامتثال. بغض النظر عن مدى سرعة غرز البيانات ، يبدو أن العدد الهائل من المعايير سوف يجعلك تدور العجلات.
بطبيعة الحال ، فإن الجانب الآخر من هذه المعضلة هو أن هذه المعايير حقا تمنع تنازلات البيانات. ولكن على الرغم من أن جزءًا كبيرًا من مواردك مكلف باختبار المعايير وطرحها ، فإن جزءًا آخر من الفريق يطبق المزيد من التباديل في الشبكة. هذا ما يسميه الفيزيائيون نظام ديناميكي.
مدونة منوعات
تعليقات: 0
إرسال تعليق