Изменения в британской схеме CyberEssentials подвергают риску бизнес
7 февраля 2023 г.NCSC CyberEssentials (CE) — это схема, поддерживаемая правительством Великобритании, которая направлена на то, чтобы вытащить компании из бедности в сфере безопасности.
Те, кто предпочитает соблюдать схему, получают защиту от наиболее распространенных кибератак. Это то, что вы можете прочитать на этикетке банки, однако внутри банки есть гораздо больше.
Схема имеет два варианта: CE и CE+.
CE — это самооценка, выполняемая путем заполнения онлайн-анкеты, которая затем рассматривается IASME. При достаточном качестве и ясности ответов компании вручается сертификат. Если компания изначально не прошла оценку, ей будет предоставлено несколько дней на исправление и повторную отправку без дополнительных затрат.
CE+ отличается от CE тем, что также включает практическую техническую проверку, или, другими словами, представленная информация проверяется независимо с помощью теста на проникновение.
Еще одним плюсом является то, что сертифицированная компания, зарегистрированная в Великобритании с оборотом менее 20 миллионов фунтов стерлингов, также имеет право на страхование киберответственности на сумму до 25 000 фунтов стерлингов, в то время как компании из-за рубежа могут воспользоваться страховыми скидками от брокеров, которые признают сертификацию.
Если вы считаете эту схему препятствием, которое после преодоления также гарантирует компании более высокий уровень доверия для ведения бизнеса и улучшение репутации в этом конкретном году, вы будете правы.
Любой вариант имеет незначительную стоимость приобретения, но бизнес-лидеры должны учитывать и выделять достаточно времени, чтобы завершить оценку, это нетривиально. Они также должны подготовить своих сотрудников к культурным и операционным изменениям, поскольку они потребуются для выполнения сертификационных требований.
Готовы вы или нет, но однажды предприняв авантюру по внедрению идеологии безопасности, компания получит более глубокое понимание предмета и выйдет с улучшенным состоянием безопасности.
Немного критики
1- От тех, кто хочет большего
Некоторые профессионалы в области безопасности хотели бы, чтобы схема эволюционировала, предлагая различные оттенки серого в соответствии с результатами оценки, то есть она должна предлагать более точную классификацию, чем просто штамп «сертифицировано».
Я наблюдал эту критику в социальных сетях и сгруппировал ее сторонников как тех, кто уже стоит по другую сторону барьера и страдает от усталости от должной осмотрительности при оценке безопасности цепочки поставок. Их стремление передать мяч IASME потенциально снизит затраты их компаний и позволит получить единообразные ответы. Интересно, пойдет ли на это IASME.
После дальнейших размышлений я также признал весьма симпатичное существование тех, кто может захотеть отличаться от других сертифицированных предприятий. Будь то потому, что они не срезали углы, чтобы пройти сертификацию, и верили, что это сделали другие, или потому, что знали, что определенные способы достижения X на самом деле обеспечивают НУЛЕВОЕ значение, или даже потому, что они могли знать о компаниях, заявляющих о соответствии, когда это просто не так.
Тем не менее, я, со своей стороны, не одобряю эту предложенную модификацию схемы, поскольку я считаю, что ее следует поддерживать до тех пор, пока количество сертифицированных компаний не станет настолько большим, что сертификация больше не будет служить цели, а не исправит ее бедность. голодная миссия в середине марафона.
Мои рассуждения проистекают из того, что я испытал бедность в области безопасности и смог оценить уровень усилий, необходимых для подъема бизнеса из нее. Таким образом, хотя я понимаю, что повторная сертификация каждый год не будет такой захватывающей и трансформируемой, как в первый раз, я буду хмуриться, если через несколько лет она останется единственным сертификатом безопасности, которым владеет компания…
2- От тех, кому нужно больше
С другой стороны, несмотря на успех этой схемы с 2014 года, она продолжает получать жалобы на недостаточность информации и запросы на уточнение ряда тем. У меня самого были вопросы.
Тем не менее, я считаю, что эта обратная связь неизбежна и ожидаема, учитывая целевую широкую аудиторию схемы, поскольку мало что можно сделать, но надеяться достичь большого уровня резонанса, даже если просто передать короткое сообщение разнообразной аудитории.
Тем не менее, эта важная и повторяющаяся критика недвусмысленно подчеркивает, что бедные и заблудшие обращаются за помощью и хотят добиться большего! Но также возникает вопрос, не является ли повышение планки действительно неоптимальным или преждевременным.
3- От тех, кто не согласен
Есть также некоторые специалисты по безопасности, которые оспаривают некоторые особенности схемы. Здесь необходимо соблюдать осторожность и паузу, поскольку все специалисты по безопасности должны легко понять содержание задачи. Таким образом, когда кто-то начинает КРИЧАТЬ с намерением поддерживать практику, выходящую за рамки неэтичного, другие будут сомневаться в настоящей причине, стоящей за этим, даже если она неизменно будет иметь одну и ту же первопричину: финансовые затраты, а не отсутствие знания о рисках.
Я считаю, что это происходит только из-за того, что вес выявленных затрат не был сопряжен с достигнутыми компромиссами. Тем не менее, я признаю, что здесь битвы должны вестись одна за другой с целью обучения, чтобы обеспечить общее состояние просветления, которое будет медленным процессом и лучше достигается с помощью индивидуального моделирования угроз, идентификации рисков и количественной оценки перед любыми действиями. лечение (принятие, перенос, смягчение, избегание).
Хотя до сих пор я не одобрял поставленные задачи, будучи ограниченным своей сферой влияния и видимостью, я также признаю возможность для схемы предложить больше ценности и помочь тем, кто желает подтвердить, в форме перечисления того, какие законы могут быть нарушены, если Y и Z не на месте. Хотя это может быть специфично для Великобритании, информация может оказаться полезной и снизить сопротивление.
Предстоящие изменения, которые могут навредить вашему бизнесу
Я подвергаю сомнению два из предложенных изменений , так как все остальные в данный момент кажутся улучшениями, но я хотел бы остаться свободным, чтобы вернуться к нему снова.
1. Схема больше не будет требовать указания моделей пользовательских устройств
Я могу себе представить, как IASME получает жалобы от предприятий, владеющих большим количеством активов, относительно того, насколько медленным и болезненным является этот процесс. Я был там, но любой, кто жалуется, сразу же вызывает вопросы о том, как компания отслеживает, контролирует и заменяет указанные активы, и является частью правильных действий по улучшению безопасности компании. Таким образом, я бы не стал считать это причиной изменения.
Я склонен полагать, что это изменение в пользу IASME и, возможно, CE+ оценочных компаний, которые могут стремиться снизить уровень своей работы и, таким образом, готовы снизить планку, допускающую более гибкое представление. Это кажется более близким к реальности в том смысле, что время, затраченное теми, в зависимости от размера оцениваемой организации, может привести к тому, что расходы не будут покрыты.
Однако для меня, поскольку разные модели могут иметь разные жизненные циклы поддержки и могут иметь разные связанные операционные системы и микропрограммы, так что это негативное изменение.
Примером может быть сообщение: «мы используем только Mac», когда определенные модели уже не могут поддерживать другие требования безопасности. Это запутывает представленную информацию.
:::предупреждение Пересмотрите IASME!
:::
2- Для этой схемы потребуются только отчеты о прошивке маршрутизатора и брандмауэра
Это меня озадачивает. У компаний есть повторители Wi-Fi, а у тех есть прошивка, у них есть серверы с прошивкой и все остальные устройства… все с прошивкой.
Здесь я бы указал пальцем на виртуализацию и облачных провайдеров, которые не делятся такой информацией. И если я близок, то я бы спросил IASME, не было бы больше смысла иметь отдельные требования для материальных и нематериальных активов.
Незнание того, какая прошивка используется в устройстве, мешает принятию решений относительно уровня безопасности, необходимого активу. Так что это еще одно негативное изменение, ведущее к снижению безопасности.
:::предупреждение Пересмотрите IASME!
:::
<цитата>Меньше контроля — не лучше, меньше — хуже. По крайней мере, в этих двух случаях.
Занижать значение сертификата просто неправильно.
Спасибо, что прочитали. Что вы думаете об этих изменениях? Дайте нам знать в комментариях ниже!
Оригинал