Trustlinks free webinar: Turning regulation into resilience – Register now
De ani de zile, securitatea cibernetică s-a bazat pe un principiu simplu: identificarea vulnerabilităților și remedierea acestora. Însă acest model pornește de la o premisă care nu mai este garantată. Se bazează pe timp.
Într-un peisaj al amenințărilor bazat pe inteligența artificială, vulnerabilitățile sunt descoperite și exploatate mai repede decât reușesc majoritatea organizațiilor să le remedieze. Conform unui studiu citat de The Hacker News, în 2024 s-a înregistrat o creștere de 61% a numărului de vulnerabilități exploatate pentru care exista deja un patch disponibil de mai mult de 30 de zile, numărul vulnerabilităților exploatate aproape dublându-se față de anul precedent. Organizațiile nu se confruntă doar cu un număr mai mare de vulnerabilități. Tot mai multe dintre acestea sunt transformate în arme înainte ca remedierea să fie disponibilă.
De aceea, măsurile de control compensatorii nu mai reprezintă un concept de nișă. Acestea devin o componentă fundamentală a modului în care organizațiile asigură securitatea.
Mediile IT moderne nu au fost concepute pentru viteză. Acestea includ sisteme vechi, integrări cu soluții terțe și actualizări continue, ceea ce face ca aplicarea patch-urilor să fie un proces complex și îndelungat, chiar și în condiții ideale. Mai întâi trebuie identificată o problemă, apoi trebuie testată o soluție, iar modificările trebuie implementate cu atenție pentru a evita perturbarea operațiunilor. În medii mari sau complexe, acest proces poate dura săptămâni întregi.
Cadrul de securitate cibernetică al NIST a pus de mult timp accentul pe gestionarea riscurilor pe mai multe niveluri tocmai din acest motiv, recunoscând că nicio măsură de control singulară nu este suficientă și că organizațiile trebuie să construiască mai multe niveluri de protecție. Atunci când atacatorii pot trece de la descoperirea unei vulnerabilități la exploatarea activă a acesteia în doar câteva ore, un proces de aplicare a patch-urilor care durează săptămâni întregi pur și simplu nu este suficient.
Măsurile de compensare sunt mecanisme de protecție care reduc riscul atunci când nu se poate aplica imediat o soluție directă. Acestea nu înlocuiesc aplicarea patch-urilor. Ele câștigă timp și limitează expunerea pe durata pregătirii soluției. În practică, acest lucru poate însemna restricționarea accesului la serviciile vulnerabile, segmentarea rețelelor pentru a limita potențialele daune, intensificarea monitorizării și a alertelor în jurul sistemelor expuse riscului sau introducerea unor modificări temporare ale proceselor care reduc probabilitatea de exploatare. Obiectivul este menținerea unui nivel semnificativ de protecție chiar și atunci când sistemul nu a fost încă complet actualizat cu patch-uri.
Cadrele de reglementare precum NIS2 și DORA nu se așteaptă la perfecțiune. Ele se așteaptă la o gestionare structurată și proporțională a riscurilor. Ambele impun organizațiilor să implementeze controale adecvate, să asigure continuitatea operațiunilor și să mențină securitatea chiar și pe măsură ce condițiile se schimbă. Acest lucru include în mod explicit controale pe mai multe niveluri, nu doar bazarea pe aplicarea de patch-uri. O organizație care poate demonstra că a identificat o vulnerabilitate, a evaluat riscul, a implementat controale compensatorii și a urmărit progresul către o remediere completă demonstrează exact genul de guvernanță pe care aceste cadre sunt concepute să o încurajeze.
Problema cu care se confruntă multe organizații nu este lipsa de conștientizare, ci lipsa unei structuri. Fără o imagine clară asupra domeniilor în care sunt necesare controale, fără procese bine definite pentru implementarea rapidă a acestora și fără o documentare adecvată a măsurilor luate, controalele compensatorii rămân mai degrabă o reacție ad-hoc decât o capacitate gestionată. Această discrepanță dintre intenție și execuție reprezintă sursa expunerii la riscurile de nerespectare a reglementărilor.
Pentru ca măsurile de control compensatorii să funcționeze ca parte a unei strategii de securitate mai ample, este necesară o corelare clară între riscuri și măsuri de control, proceduri bine definite privind momentul și modul de activare a acestora, monitorizare și revizuire continuă, precum și documentație care să poată fi prezentată la nevoie. Astfel, o măsură reactivă se transformă într-un sistem structurat de guvernanță, care poate fi demonstrat atât autorităților de reglementare, cât și auditorilor și conducerii.
Dacă organizația dumneavoastră se confruntă cu dificultăți în menținerea vizibilității asupra riscurilor, măsurilor de control și documentației, Trustlinks a fost creat pentru a vă ajuta. Cu Trustlinks, puteți înregistra și urmări riscurile într-un registru centralizat al riscurilor, puteți corela incidentele direct cu riscurile pe care le expun și puteți mapa fiecare risc în mai multe cadre de referință simultan. Atunci când există o măsură de control compensatorie, aceasta este documentată, corelată și poate fi supusă auditului. O singură platformă, supraveghere completă, întotdeauna pregătită pentru audit.
Trustlinks apreciază confidențialitatea dumneavoastră. Vă vom contacta doar în legătură cu soluțiile noastre.
Trustlinks apreciază confidențialitatea dumneavoastră. Vă vom contacta doar în legătură cu soluțiile noastre.
Aveți întrebări despre prețuri, cadre sau despre modul în care Trustlinks se potrivește organizației dumneavoastră? Echipa noastră este aici pentru a vă ajuta să găsiți abordarea potrivită.
→ Sau explorați întrebările noastre frecvente
Aveți nevoie de ajutor în utilizarea platformei sau întâmpinați o problemă? Echipa noastră de asistență este pregătită să vă ajute.