RSA KONFERANSI 2023 – San Francisco – Arkasındaki koalisyon Veri Güvenliği Olgunluk Modeli işletmelerin verileri sızıntılardan korumasını kolaylaştırmayı amaçlayan çerçevenin ikinci bir yinelemesini yayınladı.
Geçen yaz Cyberhaven tarafından oluşturulan koalisyon, JupiterOne’da CISO’dan Sounil Yu tarafından yönetiliyor ve Boston Scientific, Caterpillar Financial, Fleet, Flexport, Motorola Mobility, Twilio, VillageMD ve diğerleri.
başlıklı RSA Konferansı 2023’teki bir panel sırasında Kapsamlı Siber Yetenekler Çerçevesi: Siber Güvenlik İçin Bir Teknoloji Ağacıkoalisyon üyeleri yeni nesil veri güvenliği için bir vizyon ortaya koydu.
“Kuruluşlar, verilerini dış tehditlere, içeriden gelen tehditlere veya basit hatalara maruz bırakmadan modern işbirliğinin ve dijital dönüşümün gücünden yararlanmak istiyorsa, cihazlar, uygulamalar ve bulut varlıkları genelinde her türlü veriyi koruma yeteneği çok önemlidir. – amaçlı kullanıcılar,” koalisyon bir açıklamada söyledi.
DSMM, NIST Siber Güvenlik Çerçevesi ve Siber Savunma Matrisi ile uyumludur ve veri merkezli bir görünüm sağlamak için beş temel işlevi tanımlar:
- Tanımla ve Sınıflandır: Veri güvenliği programının kapsadığı tüm verileri bulun ve sınıflandırın.
- Korumak: Nasıl erişildiğini, kullanıldığını ve saklandığını kontrol ederek hassas verilerin açığa çıkmasını en aza indirin.
- Tespit etmek: “Koru” işlevi tarafından durdurulmayan verilerle ilgili güvenlik olaylarını veya politika ihlallerini belirlemek için veri riskini toplayın ve analiz edin.
- Yanıtlamak: Potansiyel bir olayın tespit edilmesi üzerine alınacak acil, kısa vadeli eylemleri belirleyin.
- Kurtar ve İyileştir: Yalnızca normal işlemleri geri yüklemek için değil (özellikle verilerle ilgili oldukları için), aynı zamanda daha güçlü bir şekilde yeniden oluşturmak için gereken eylemleri belirleyin.
Bu hafta yayınlanan ikinci yinelemesinde olgunluk modeli, hangi sunucu altyapısının kullanıldığı, bulutta ne kadar olduğu, gizlilik düzenlemeleri, çalışanların ve diğerlerinin verileri nasıl kullandığı gibi daha ayrıntılı bağlamı hesaba katmak için bu sütunların her birini hassaslaştırıyor. ve uygulamaların, API’lerin ve insan olmayan uç noktaların bunu nasıl kullandığı ve daha fazlası – bir kuruluşun veri ayak izinin daha eksiksiz bir resmini elde etmek için.
Veri ve Dijital Dönüşüm Problemi
Panelist ve Motorola Mobility’nin CISO’su Richard Rushing, Dark Reading’e anlatıyor
dijital dönüşüm çağında, bir kuruluş içinde herhangi bir noktada üretilen tüm verilerin etrafında silahlanmanın, korumaya silodan bakılarak gerçekleştirilemeyeceği göz önüne alındığında, yeni bir çerçeve yaklaşımına ihtiyaç duyuldu. Verileri cihazlar, uygulamalar veya ağ bağlamında görmeye ilişkin eski konseptin, bir kuruluş içinde nereye giderse gitsin, verilerin kendisine odaklanmak için değiştirilmesi gerekiyordu.
“Güvenliğin neyi mümkün kıldığını düşünürseniz, bu, verilerin kullanımı ve bunlara her yerden erişimdir” diyor. “İşle ilgili daha iyi kararlar almak veya müşterileriniz adına daha iyi kararlar almak için ağdaki verileri kullanmak üzere ağa bağlanmak gerekir. Ancak veriler farklı yerlerde bulunur, bazen hareketsizdir ve bazen de aktarım halindedir. “
Sorunun – kelimenin tam anlamıyla – büyüdüğünü ve ayrıca koruma mimarisinin yeniden düşünülmesini gerektirdiğini ekliyor.
“Veriler logaritmik bir eğri üzerinde; gelecek yıl sahip olduğum her veri miktarı için, muhtemelen bu yıl sahip olduğum veri miktarından 2,5 kat daha fazla” diyor. “Daha iyi bir terim olmadığı için veri istifçileriyiz; hiç kimse web sitelerine, forumlara ve diğer her şeye kaydolan insanların bilgilerinden kurtulmak istemiyor, bu nedenle muazzam bir veri yayılımına sahibiz. güvenlik kör noktaları.”
Zorluğa ek olarak, bazı verilerin elbette diğer bilgilerden daha hassas olduğu gerçeğidir; ve bazı bilgilerin korunmasına hiç gerek olmadığına dikkat çekiyor Rushing. Ayrıca, veri yaşlandıkça uygun güvenlik düzeylerinin tanımlanması açısından bir dinamizm vardır.
Amacını açıklamak için bir ürün lansmanı kullanıyor. “Bir ürünün piyasaya sürülmesiyle, kimsenin bundan haberi olmadığı, her şeyin ambargolu olduğu ve sizin bu önemli fikri mülkiyeti koruduğunuz bir durumla başlıyoruz” diye açıklıyor. “Ve bir bakıyorsun, halkın tüketimi için piyasaya çıkıyor. Ve birdenbire artık çok gizli değil, aslında tüm dünyanın bunu bilmesini istiyorsun.”
Rushing, çerçevenin bu kaosun bir kısmını evcilleştirmeyi amaçladığını ve hem büyük işletmelere hem de küçük ve orta ölçekli işletmelere benzer şekilde uyarlanabileceğini söylüyor. Kuruluşların, riske dayalı karar önceliklendirme, işbirliği, sürekli eğitim, satıcılar ve üçüncü taraflar için risk yönetimi, uyumluluk, şeffaf olma ve olay müdahalesi ve verilerin nasıl kurtarılacağı dahil olmak üzere bir dizi uygulama alanına da odaklanmasına olanak tanır.
“Herkese uyan tek beden demek istemiyorum ama herkese uyan tek bedene çok yakın,” diye açıklıyor. “Kontroller ortama bağlı olarak farklı olacak, ancak yaklaşımın buna uyum sağlayacak kadar esnek olması amaçlanıyor.”
Çerçevenin, koalisyonun zaman içinde iyileştirmeyi ve geliştirmeyi planladığı yaşayan bir mimari olduğunu söylüyor. Ancak, şeyleri veri merkezli bir şekilde düşünmeye geçiş yapma zamanı şimdi başlamalıdır.
“Başlamazsanız, bunu düşünmeyin, önümüzdeki 6, 12, 18 ay içinde bir şekilde darbe alacaksınız” diye uyarıyor. “İnternet daha güvenli bir mahalle haline gelmiyor ve veriler, hem iş dünyasını hem de saldırganları yönlendirecek yeni petrol.”