出典:Andriy Popov via Alamy Stock Photo
急速に進化する脅威の状況と、高度に適応可能でますます高度な脅威行為者が存在する環境では、組織のセキュリティ態勢を年に1回だけ監査するチェックボックス準拠評価は場違いです。そのため、セキュリティ専門家および業界専門家は、より継続的なアプローチを採用するコンプライアンスモデルを求めており、このスペースで新たに出現する企業が増え続けています。
業界リーダーとCISOは、ガバナンス、リスク管理、および準拠(GRC)と第三者リスク管理(TPRM)評価の実施方法に対して継続的に欠陥を指摘しており、その欠陥は増大し続けています。組織のリスクレベルを決定するための静的なアンケートを使用した年次評価は停滞しており、攻撃者の行動とは正反対です。脅威行為者は現在脆弱性をより速く見つけて悪用でき、サプライチェーン攻撃を実施するための新しいベクトルを発見できます。
コンプライアンス業界が始まったとき、評価は金融業界のモデルを反映していました。TrustCloudのCEO兼創立者であるSravish Sridharによると、企業が目的と義務を達成しているかどうかを判断するための年次監査です。
「攻撃者は世界中にいて、あらゆる角度からあなたを侵入させようとしていませんでした」とSridharは警告します。
IT変更とIT断片化がより遅く発生した場合、古いモデルは問題ありませんでした。しかし今、ペースはほとんどが処理できるより速く加速していると彼は付け加えます。TrustCloudの2,000の顧客は、製薬およびヘルスケアから政府および製造業まで及びます。
静的なチェックザボックスアプローチでは、ベンダーは自社の第三者プログラムで完全にコンプライアンスに準拠している可能性があり、それでも事業に意味のあるリスクを導入する可能性があると、McKinsey and CompanyのパートナーであるLamont Atkinsは警告します。Atkinsはまた、CISOが質問票駆動型のチェックボックス準拠モデルからより継続的で証拠ベースの保証にはっきりと離れるのを観察しています。
現代的なTPRMプラットフォームは、静的なアンケートに頼るのではなく、ベンダーの脆弱性、設定ミス、および違反信号を継続的に監視するために継続的に出現し、人工知能(AI)を使用してそれらの信号を分析し、リスクを評価します。Omdia研究アナリストのSwee Khan Gohによると、Upguard、BitSight、OneTrustが3つの企業でこのスペースでよく行われています。
「それはリスクの予測因子ではありません」
TrustCloudを立ち上げている間、SridharはCISOからGRCが「政府、リスク、そしてボックスをチェック」であることを聞きました。 彼らは彼に、脆弱性とリスクがどんどん高まる世界に住んでいると、そしてコンプライアンス義務がすべての規制により大きくなっていることを告げました。
彼がCISOに代替案を求めたとき、彼らは、ビジネスのすべての相互依存関係を接続するグラフを持つ継続的な監視エンジンを説明しました。すべてのノードを確認し、それが効果的に機能しているかどうかを検証すると、彼は言います。
「それは私たちにとって『ああ、わかった』という瞬間でした」とSridharはダークリーディングに語ります。したがって、彼はスケールとは複雑さのツールを構築することに開発に焦点を当てて、さまざまなエンタープライズのニーズを満たすために開発を集中させました。
新しい脅威の状況は、過去4年半の間にプラットフォームに取り組んでいる間、TrustCloudに3つの主な課題をもたらしました。まず、彼らはさまざまなエンタープライズのルールと環境に適合できるツールを開発する必要がありました。次に、チームはスケールを解決する必要がありました。企業は、人間と非人間のアイデンティティを含む、圧倒的な数の資産を管理しています。第三に、すべてのCISOには独自のスタイルがあり、Sridharは彼らがすべての複雑なデータを取得してそれを話したい方法で翻訳できるようにしたかったのです。
たとえば、CISOは、そのボードが技術的な専門知識を欠いているか、他のボードと比較してよりリスク重視であるかどうかにかかわらず、CISOがボードおよびリーダーシップに明確に通信するのに役立つ評価のためのツールが必要です。Sridharはそれらのニーズを考慮していました。ボードとリーダーシップのプレゼンテーション中にCISOが感情を引き出すことがいかに重要であるかを知っていました。ボードと予算と業務を監督するリーダーシップ。
彼は、ボードが評価結果が肯定的な方法で「結果に反応」すること、またはおそらく評価結果が問題を発見した場合はより多くの不安を望んでいました。
CISOはまた、彼らが収益、ビジネス加速にどのように貢献しているか、または金融リスクを削減する方法など、より有形なデータを証明する方法も必要とします。Sridharは追加します。
「現在のコンプライアンスプロセスはほとんどの企業で役に立たない」とSridharは言います。「軽いセキュリティアンケート-それはリスクの予測因子ではありません。」
モデルを変更し、マインドセットを変更する
今日の脅威の状況と同じペースで保つことができるモデルを作成するために、Atkinsは、攻撃面、セキュリティ態勢、およびインシデント信号への継続的な可視性を提供するTPRMプラットフォームを活用するよう企業に促しました。 一部の組織はアンケートを合理化するためにAIを使用していますが、証拠収集を自動化し、フレームワーク全体でコントロールをマッピングし、リアルタイムでギャップを特定することにより、アンケートへの依存性を完全に減らすためにそれを活用することもできます。と彼は付け加えます。
彼は、企業が3つの主な質問をするよう勧めました。どのサプライヤーが真に重要な業務を支えていますか?隠された集中リスクはどれですか?そして、主要ベンダーが失敗した場合の運用爆発半径は何ですか?
「それは従来のコンプライアンス駆動型TPRMから根本的に異なるマインドセットです」とAtkinsはダークリーディングに語ります。「利点を得るために、第三者リスク管理と攻撃面管理の間の収束を促し、TPRMを調達またはコンプライアンス機能だけでなく、エンタープライズレジリエンスの構成要素として再構築する必要があります。」
CISOはベンダーがコントロールを持っていると主張しているかどうかを知りたいとは思っていません。彼らは失敗が重要なビジネスプロセスにどのような影響を与えるかを理解したいとOptiv CISO、Rob Gregoryは言います。Gregoryが観察した別の注目すべき転換は、シナリオベースのリスク分析に向かっており、セキュリティリーダーが重要なことを優先順位付けするのに役立ちます。彼は、すべての調査結果を同等に扱うのではなく、付け加えています。
「AI補助分析も、特に技術的リスクを明確なボードレベルのナラティブに翻訳する際に成熟し始めています」とGregoryはダークリーディングに語ります。「継続的な洞察、自動化、およびビジネスコンテキストをサポートできるベンダーは、経験豊富なCISOで最も共鳴しているものです。」
リスクが拡大し、攻撃者がより高度なツーリングを活用するにつれて、スペースは進化し続けることになります。しかし、リスク評価の最も重要な側面は変わります。セキュリティチームと利害関係者の間に信頼を構築すること。そしてそれは消費者にも拡張しています。
「信頼は、あなたが完璧であることを意味しません」とSridharは言います。「信頼とは、あなたは違反を持つであろう。異常が発生します。あなたが悪い日がある日が常にありますが、それはどのように反応するか、そしてあなたがそれをどのように所有し、それをどのように修復するかです。それはあなたが信頼を構築する方法です。」
翻訳元: https://www.darkreading.com/cyber-risk/checkbox-assessments-aren-t-fit-to-measure-to-risk
