BT varlık yönetimi (ITAM) ve bunun iyi siber güvenlik uygulaması ve risk yönetimi ile ilişkisi, bir kuruluşun kredi alma yeteneğini belirlemede hayati bir unsur haline geliyor ve uygun bir ITAM stratejisine sahip olmayanlar, kredi derecelendirmelerine göre derecelendirmelerini olumsuz etkileyebilir. ajansı Standard & Poor’s (S&P) Küresel Derecelendirmeleri.
raporunda, Siber risk içgörüleri: BT varlık yönetimi, siber güvenliğin merkezinde yer alırajans, yaşam döngüleri boyunca donanım, bağlı cihazlar, yazılım ve ağları izleme ve yönetme uygulaması olarak tanımlanan ITAM’in artık bir kuruluşun güvenlik açıklarını proaktif bir şekilde yönetme, siber olaylara ve saldırılara yanıt verme ve finansal riskleri en aza indirme becerisi için nasıl hayati önem taşıdığını araştırıyor. darbe.
2017’de kredi kuruluşu Equifax’ta 149 milyon İngiliz, Amerikalı ve Kanadalıya ait kişisel verilerin ihlal edilmesini, ITAM’ın veya bunların eksikliğinin belirleyici bir faktör olduğu bir olayın başlıca örneği olarak gösteriyor.
ABD Federal Ticaret Komisyonu’nun (FTC’nin) Equifax’a karşı yaptığı ve sonuçta multi-milyon dolarlık bir para cezasına yol açan şikayeti, halka açık BT varlıklarının “doğru bir envanterinin” sürdürülememesinden ve sonuçta bir Apache’ye yama uygulanamamasından bahsediyordu. Çinli bir gelişmiş kalıcı tehdit (APT) aktörünün sistemlerine erişmek için kullanabildiği Struts güvenlik açığı.
S&P kredi analisti Paul Alvarez şunları söyledi: “ITAM, etkili siber güvenliğin temelidir. Bir kuruluşta bulunmaması, kusurlu siber risk yönetiminin bir göstergesi olabilir ve bir kuruluşun kredibilitesine ilişkin görüşümüze ağırlık verebilir.”
Alvarez, “ITAM, kritik güvenlik açıklarına sahip varlıkların belirlenmesi, güvenliği ihlal edilmiş ekipman veya sistemlerin aranması ve yaşam döngüsü yönetimi dahil olmak üzere, zaman açısından kritik siber güvenliğin uygulanması için özellikle önemlidir” dedi.
S&P, etkisiz veya eksik ITAM’nin kuruluşların uygun siber risk yönetimi yürütme becerisinde boşluklara ve kör noktalara yol açabileceği, bunun da artan güvenlik açığı, uyumluluk sorunları, verimsizlikler ve yetersiz olay müdahalesine yol açabileceği konusunda uyardı.
Bu boşlukların daha çok ITAM’a ayrılmış kaynak veya dikkat eksikliğini yansıttığını söyledi, ancak aynı zamanda birçok BT ve güvenlik ekibinin farklı ITAM sistemlerinin ısmarlama ihtiyaçlarını karşılamakta zorlandığını da kabul etti. karmaşıklık, boyut ve çalışma alanı.
S&P, ITAM’ın işlevini layıkıyla yerine getirebilmesi için minimum işlevleri yerine getirmesi ve sürekli desteğe tabi olması gerektiğini söyledi.
Korunması gereken varlıklar uygun şekilde korunmalı ve etkin bir şekilde izlenmelidir ve ideal olarak ağ adresleri de dahil olmak üzere çok çeşitli bilgileri kapsayacak olan bu gözetim derecesini sürdürmek için yürürlükte olan süreçler olmalıdır; masaüstü veya dizüstü bilgisayar veya sunucu gibi donanım türü; hem işletim sistemleri hem de uygulamalar dahil olmak üzere yazılım; mülkiyet detayları; yapılandırma ayarları; ve varlığın kuruluş için ne kadar kritik olduğu.
S&P, ITAM’ın sorumluluğunun geleneksel olarak BT ekibine düştüğünü, ancak en etkili uygulayıcıların bu silodan çıkıp mülkiyeti ve yönetimi farklı aşamalarda paylaştığını ekledi. Rapora göre, bir örnek olarak, güvenlik ekibi genellikle, BT ekibinin defterlerinde tam olarak hangi varlıklara sahip olduğunun doğru bir envanterini çıkarmasına yardımcı olabilecek verilere sahip olacak ve bu da herkese yardımcı olacaktır.
“Görüşümüze göre,” rapor şu sonuca varıyor: “ITAM, sistemin etkili olması için yetki sağlayan ve net roller ve sorumluluklar atayan açık bir politika tarafından yönlendirilmelidir.”