”Doamne, ajută!”. Așa este intitulat un capitol din cartea publicată anul trecut. Acolo este o prezentare a categoriilor de instrumente hardware și software folosite în domeniul securității dar fără a le alinia cu cele 6 funcții ale Cyfun.

După ce se proiectează sau se cumpără 🙂 controalele administrative (=politici și proceduri) mai trebuie demonstrată și maturitatea…tehnică. Că ce s-a scris prin acele documente se mai și întîmplă. Ori asta nu se poate fără…bani pe care trebuie să îi aloce ”managerul executiv în guvernanța securității cibernetice”

Astăzi fac un rezumat, fără pretenții de completitudine, cu tehnologiile de care este nevoie MINIMAL, distribuite pe 5 din cele 6 funcții Cyfun (nu am scris nimic despre Guvernare pentru că acest domeniu este singurul care poate fi gestionat, în opinia mea, doar cu ajutorul ”hîrtiei”). Nu voi include nici referințe despre hardware sau DevSecOps&CI/CD sau SCADA/ICS/OT.

Funcție Cyfun	Tehnologie/Soluții
Identificare (ID) determină activele, sistemele și datele critice, precum și riscurile asociate acestora și conține categoriile: Gestionarea activelor (ID.AM), Evaluarea riscurilor (ID.RA), Îmbunătățire (ID.IM)	Asset management, vulnerability scanners, threat intelligence, pen testing
Protecție (PR) implementează măsuri de salvgardare pentru a preveni sau limita impactul unui potențial incident de securitate și conține categoriile: Gestionarea identității, autentificarea și controlul accesului (PR.AA), Conștientizare și instruire (PR.AT), Securitatea datelor (PR.DS), Securitatea platformei (PR.PS), Reziliența infrastructurii tehnologice (PR.IR);	IAM/PAM, NGFW, XDR/EDR, DLP, email security, WAF, application security
Detectare (DE) definește activitățile necesare pentru identificarea promptă a unui eveniment de securitate cibernetică și conține categoriile: Monitorizare continuă (DE.CM), Analiza evenimentelor adverse (DE.AE);	SIEM, NDR, XDR, threat hunting, deception
Răspuns (RS) stabilește acțiunile care trebuie întreprinse după detectarea unui incident pentru a-i limita impactul și conține categoriile: Gestionarea incidentelor (RS.MA), Analiza incidentelor (RS.AN), Raportarea și comunicarea răspunsului la incidente (RS.CO), Atenuarea incidentelor (RS.MI);	SOAR, digital forensic, incident management, IR playbooks
Recuperare (RC) planifică restaurarea capacităților și serviciilor afectate de un incident cibernetic și conține categoriile: Executarea planului de recuperare în caz de incident (RC.RP) și Comunicarea privind recuperarea în caz de incident (RC.CO).	Backup/DR, BCP platforms

Să presupunem că un scenariu analizat în cadrul evaluării riscurilor a fost ”ransomware”. Fără cel puțin MDR/EDR+backup+MFA, ar putea fi tratat?

Sau alt scenariu este ”furtul/exfiltrarea de date”. Fără DLP sau UEBA+EDR+PAM/IAM, poate fi tratat?

Care poate fi acel scenariu care să fie tratat doar cu…o hîrtie, fără tehnologie?

Un ultim argument pe lîngă cel al ”evaluării riscurilor”. Cînd își vor realiza ”autoevaluarea maturității”, organizațiile vor descoperi că la fiecare funcție apar niște ”măsuri cheie” care au nevoie de un scor minim pentru a fi considerate acceptabile. În cele mai multe cazuri, aceste ”măsuri cheie” sînt de fapt controale tehnice….