Cobalt, Lazarus, MageCart, Evil, Revil – các tổ chức tội phạm mạng phát triển nhanh đến mức khó theo dõi. Cho đến khi… họ xâm nhập vào hệ thống của bạn. Nhưng bạn biết điều gì thậm chí còn áp đảo hơn tội phạm mạng tràn lan?
Xây dựng khung bảo mật cho tổ chức của bạn.
CIS, NIST, PCI DSS, HIPAA, HITrust và danh sách vẫn tiếp tục. Ngay cả khi bạn có đủ nguồn lực để thực hiện mọi tiêu chuẩn ngành có liên quan và kiểm soát đến mức tối thiểu, bạn vẫn không thể giữ cho công ty của mình không bị cuốn vào SolarWinds tiếp theo. Bởi vì tính bảo mật của sách giáo khoa và sự tuân thủ của hộp kiểm sẽ không cắt giảm nó. Bạn phải có chiến lược (đặc biệt là khi nhân lực có hạn!). Và nghiêng người.
Tìm hiểu các dây ngay bây giờ.
3 Mẹo chuyên nghiệp để xây dựng Khung bảo mật tinh gọn của bạn
Không có khuôn khổ sẵn có, bạn có thể đang điều hướng vũ trụ rủi ro mạng với thiết bị bịt mắt – hoặc bị chôn vùi sâu trong các kết quả xác thực giả đến mức bạn không thể phát hiện ra một cuộc tấn công phức tạp cho đến khi nó đang tiến triển theo chiều ngang.
Nhưng tại sao phải xây dựng khung bảo mật của bạn từ đầu, khi bạn có thể đánh cắp một trang (hoặc 3!) Từ những người chuyên nghiệp khác trong không gian? Nhận các mẹo nhanh từ hướng dẫn miễn phí của họ cho các nhóm bảo mật CNTT được khởi động bên dưới.
Mẹo chuyên nghiệp 1: Tùy chỉnh các tiêu chuẩn ngành theo nhu cầu của bạn
Bước đầu tiên của bạn để xây dựng khung bảo mật tinh gọn của bạn? Đừng phát minh lại bánh xe!
Tùy chỉnh các khuôn khổ và tiêu chuẩn ngành theo nhu cầu riêng của tổ chức của bạn. Ví dụ: đặt nền tảng của bạn với Trung tâm An ninh Internet, CIS, ‘Kiểm soát An ninh Quan trọng hoặc Viện Tiêu chuẩn và Công nghệ Quốc gia, NIST's, Khuôn khổ An ninh Mạng.
Tiếp theo, bắt đầu đặt các viên gạch bảo mật của bạn với các tiêu chuẩn dành riêng cho ngành: Ngành thẻ thanh toán, PCI's, Tiêu chuẩn bảo mật dữ liệu (DSS) nếu bạn chấp nhận thanh toán cho hàng hóa hoặc dịch vụ bằng thẻ tín dụng; hoặc Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế (HIPAA) nếu bạn đang chăm sóc sức khỏe; và như thế.
Mẹo chuyên nghiệp 2: Thoải mái với rủi ro
Kiểm soát. Bạn biết bạn cần chúng, nhưng một số biện pháp kiểm soát có giá trị hơn đối với tư thế bảo mật của bạn hơn những kiểm soát khác. Tại sao? Bởi vì một số đơn giản là không đáng để chi phí.
Ví dụ: lưu trữ dữ liệu cá nhân của công ty bạn trên đám mây là rất rủi ro. Giải pháp thay thế là gì? Nhà ở tại chỗ? Điều đó tốn kém và đi kèm với những rủi ro riêng. Vì vậy, bạn chọn chấp nhận rủi ro khi sử dụng đám mây, phải không?
Bạn sẽ muốn cân nhắc giá trị của việc thực hiện các biện pháp kiểm soát khác nhau trên bốn lĩnh vực quản lý rủi ro chính của mình: mối đe dọa; công nghệ và hội nhập; Giá cả; và các nhà cung cấp bên thứ ba.
Mẹo 3: Nắm bắt các xu hướng và công nghệ mới nổi
Rất có thể bạn đã chuyển sang đám mây giống như hầu hết các công ty mở rộng quy mô vì nó tiết kiệm chi phí. Vì vậy, đừng giới hạn bản thân trong các khuôn khổ và tiêu chuẩn ngành chỉ được thiết kế cho các công ty lưu trữ toàn bộ kho công nghệ của họ tại chỗ.
Sử dụng Ma trận kiểm soát đám mây và Mô hình trách nhiệm chung của Liên minh bảo mật đám mây. Nhảy vào nhóm Zero-Trust. Tích hợp ngăn xếp công nghệ của bạn với XDR. Thuê ngoài giám sát mối đe dọa và phản ứng với MSP, MSSP hoặc MDR. Chuyển một số rủi ro của bạn cho nhà cung cấp bảo hiểm đám mây.
Điểm mấu chốt
Bạn có quá đủ các tùy chọn để xây dựng một khuôn khổ bảo mật chặt chẽ rủi ro. Bí quyết là chọn và lựa chọn một cách khôn ngoan.
Nếu bạn thấy 3 mẹo này hữu ích – hãy tải xuống hướng dẫn miễn phí của Cynet, “Cách xây dựng khung bảo mật nếu bạn là nhóm bảo mật CNTT không có tài nguyên” để biết thêm.
.
