面对网络攻击的繁殖和威胁的快速发展,网络安全审核不再仅限于检查监管框。监管压力仍然很大,但是现在不足以评估信息系统的真正鲁棒性。范式的变化至关重要: 从合规逻辑转到操作证据的逻辑。
经常陈述性合规
传统上,网络审核包括验证规范或监管框架所需的措施的存在:ISO 27001,NIS2,GDPR,DORA等。这些审核在很大程度上基于文档,声明的过程和对团队的访谈。系统已验证 关于他证明他遵循标准的能力,不是其对攻击的有效抵抗。
但是,许多组织可以在剩下的同时获得认证 在技术上脆弱。这些故障并不总是在没有规则的情况下,而是在没有有效控制,实时监控或检测和响应能力的情况下。显然:我们可以在暴露时保持一致。
采取基于证明的方法
证据的逻辑是 通过测试,模拟,指标,活动报纸评估安全系统的现实,不仅是通过纪录片审核。这是前提:
-
- 的 红色队伍练习 和 定期入侵测试 ;
- 系统开发 日志 绘制行为并检测弱信号;
- 的 配置技术期刊 (防火墙,VPN,MFA,网络细分);
- 能力 产生量化的指标 在检测速度,反应潜伏期或校正时间。
总而言之,我们不再问“您是否制定了事件响应计划?” “但是”您能证明该计划实际上在模拟事件中起作用吗? »»»
保险公司,投资者和合作伙伴的要求越来越多
这种变化不仅是由RSSI或监管机构驱动的。这 网络保险公司面对索赔的爆炸,现在要求 有形的弹性证据 :在不到24小时内检测,集中式期刊,特权分离…订阅问卷变得更加技术性,更少的声明性。
同样, 投资者和审计委员会 在筹款或IPO之前,需要更高级的IT审核。最后,在工业价值链中,主要校长通过证据对分包商施加可验证的安全水平。
对公司组织的影响
获得证据逻辑需要 安全功能的重组。这意味着:
- 数据管理,带有性能的安全仪表板;
- IT团队的技能提高到网络现场技能;
- 工具的概括 Siem,Edr,Soar 以及它们整合到持续的监督过程中;
- 实施 危机锻炼程序 和独立的外部技术审核。
这也是一个更好地使安全与业务目标保持一致的机会:证明即使在发生重大事件的情况下,IS也能够支持活动。
结论
网络审核不再能够在法规遵守情况下停止。他必须满足新要求: 带来鲁棒性,响应能力和弹性的具体证据。 在网络攻击标准化的情况下, 这是技术证据,而不是声明的程序。
