スロットサイト
ライフサイクル管理で木だけでなく森も見る
その言葉を聞いたときセキュリティ ライフサイクル管理、すぐにデバイスの状態の監視に飛びつきますか?それは提供されているサービスですか、それともすべてのセキュリティ ポートフォリオに固有のサービスですか?お手頃ですか?セキュリティの専門家として、ライフサイクル管理にどのように積極的に取り組んでいますか?正確にはどのようなライフサイクルが管理されていますか?
多くの人にとって、ライフサイクル管理は「デバイスは動作しているかどうか」、つまりアドレス指定可能なデバイスに限定された基本的な健全性の監視として狭義に説明されています。その見方では全体像が欠けています。真のライフサイクル管理は、セキュリティ資産をエンドツーエンドで管理するための総合的なフレームワークです。
このフレームワークでは、資産にはデバイスに限定されず、ソリューション、システム、アプリケーション、テクノロジー、人材、ポリシーが含まれます。私たちは、計画から退職まで、さらには退職後に学んだ教訓の文書化に至るまで、各資産のライフサイクル全体を検討しています。最後に、ライフサイクル管理は、リスクを軽減し、コストを削減し、長期的な成果を向上させるために、すべてのセキュリティ プログラムに必要な事前の実践です。
複合施設で明晰さを見つける
デバイスの健全性の監視はライフサイクル管理の重要な要素ですが、セキュリティ全体の全体像が無視されています。たとえば、1 台のビデオ カメラを考えてみましょう。
インストールする前に、そのカメラ モデルがいつサポート終了になるのかを知りたいと思うでしょう。サポート終了が 5 年、サポート終了が 7 年、組織の資金調達サイクルが 2 年である場合、約 3 年以内に交換計画を開始する必要があることがわかります。これは、予算要求、関係者の承認、調達スケジュールをそれに応じて調整することを意味します。
カメラを設置すると、ライフサイクル管理はオンラインであることの確認と録画にとどまりません。多くの場合、環境の変化によりカメラの視界が遮られ、健康に関する警告はトリガーされませんが、静かにセキュリティの有効性が損なわれる可能性があります。プロアクティブなライフサイクル管理には、カメラの配置、視野、画質、元のセキュリティ目標との整合性の定期的な検証が含まれます。これは、ソフトウェアのアップデートとパッチ サイクルを追跡し、予防的なメンテナンスをスケジュールし、定期的にクリーニングすることも意味します。
ライフサイクル管理では、その資産に関係する人やプロセスも考慮されます。オペレーターはリアルタイムの事件や捜査中にカメラに依存しているため、機器の効果的な操作方法を確実に理解するためのトレーニング資料は用意されていますか?インテグレータはデバイスの保守を担当していますが、サービス レベル契約には何が含まれており、何が含まれていないのでしょうか?セキュリティ リーダーと調達チームは、カメラを交換する時期と方法を最終的に決定します。交換の優先順位は一致していますか?
ここで、単一のカメラを、組織内のさらに大規模なカメラ ネットワークの一部として考えてみましょう。組織は、全体的なセキュリティ戦略の一環として、アクセス制御および訪問者管理ソリューションを利用することもあります。追加のソフトウェア プラットフォームやビジネス システムとの統合を含めてシステムが拡張されると、複雑さが倍増します。現在、依存関係、更新サイクル、運用ワークフローを管理しており、それを潜在的に数千のデバイス、複数のチーム、およびポリシーと手順の網にわたって行っています。
効果的なライフサイクル管理は、この潜在的な混乱を取り除き、明確にします。その明快さには価値があります。
積極的に行動することが大切
セキュリティ チームは、インシデントを防ぐのではなくインシデントに対応すると、さらなるリスクが生じることを理解しています。ライフサイクル管理にも同じことが当てはまります。
強力なライフサイクル管理フレームワークが存在しない場合、組織は重要なシステムが寿命に達したときの対応に追われることがよくあります。多くの場合、この反動的なアプローチにより、緊急で費用のかかる修正が必要になります。これは、火災警報システムが機能していない場合に火災監視員を雇うこと、またはサプライ チェーンが不足している場合にサポートされているアクセス コントロール デバイスを調達するために割増料金を支払うことを意味する可能性があります。
リスクは明示的なコストを超えて広がり、セキュリティ、関係者の信頼、組織の評判に影響を与えます。たとえば、悪意のある攻撃者は、カメラやスマート センサーなどの IoT (モノのインターネット) デバイスの脆弱性を頻繁に悪用します。ファームウェアのアップデートを怠ったり、パッチを適時に適用しなかったりすると、安全性と機密情報の両方を侵害するサイバー攻撃への扉が開く可能性があります。たとえそれが容易に定量化できないとしても、その結果生じる従業員と顧客の信頼の喪失は重大です。
また、コストのかかる障害が事前に予測されるのではなく事後的に発見された場合、セキュリティ チームは経営幹部からの信頼を失うリスクもあります。逆に、ライフサイクル管理は、資金調達とセキュリティの優先順位付けのビジネス ケースを提供します。資産のライフサイクル、サポート期間、依存関係を追跡することで、セキュリティ チームは予算要求と交換サイクルの正当な理由を文書化して提示できます。これにより、突然の資金調達ではなく、データに裏付けられた計画的なセキュリティ投資が可能になります。
財団としての計画
効果的なライフサイクル管理計画を立てるのに高価なソフトウェアは必要ありません。それは意図的に行うことから始まります。これは、セキュリティ インフラストラクチャ内で明確な所有権を割り当てることを意味します。繰り返しますが、これには単にヘルスチェックを実行する人ではなく、文書化、コミュニケーション、関係者の調整を担当する中心人物としての役割を果たす人が含まれます。この考え方は、ライフサイクル管理を明確な所有権を持つ独自のプログラムとして扱うというものです。
そこから、計画は可視化から始まります。組織は、セキュリティ資産の明確な目録を作成し、時間の経過とともにそれぞれの資産がどのように劣化するかを理解する必要があります。各資産 (デバイス、人、ポリシー) には、メンテナンス要件、パッチ スケジュール、サポート期間、依存関係、ドキュメント、トレーニング タイムラインなど、独自のライフ サイクルがあります。ドアの接点は何十年もそのままの状態で稼働する可能性がありますが、ソフトウェア プラットフォームは継続的なアップデートが必要です。それらを同じように扱うと、盲点が確実に生じます。
文書化はおそらくライフサイクル管理計画の最も重要な要素です。組織の知識を 1 人の手 (または頭) に任せることは、ライフサイクル管理が回避するように設計されているまさにリスクを生み出します。これは、サードパーティまたは社内ソフトウェア、ビジネス インテリジェンス ダッシュボード、または単純なスプレッドシートを使用して実現できます。いずれにせよ、タイムラインの追跡は不可欠です。また、ドキュメントは、月ごと、四半期ごと、またはそれ以降など、各資産に基づいたエンゲージメントのリズムを生み出します。
ライフサイクル管理の管理方法
フレームワークが整備されていれば、ライフサイクル管理の管理はおそらくプロセスの中で最も簡単な部分ですが、それはそれが継続的なプログラムのように扱われる場合に限ります。
ベスト プラクティスは、計画中に確立されたタイムラインに基づいて、コア システム全体にわたる主要ベンダーとの定期的なサポートを確立することです。これらのレビューは、製品寿命やデバイスの健全性に限定されるものではなく、運用上の摩擦も表面化する必要があります。あなたの側で懸念事項を提起し、彼らの側でパイプラインに何が起こるか尋ねてください。この双方向の対話により関係が深まり、その結果、現在の問題に対処し、スケジュールを調整し、影響を予測し、将来の実装を計画するのに役立ちます。
社内では、日々の管理は責任と認識に帰着します。誰かが注意を払う責任があります。つまり、レポートを継続的に確認し、今後のマイルストーンを追跡し、文書化されたニーズが確実に対処されていることを確認する必要があります。より成熟したソフトウェア プログラムでは、関連するアクション アイテムのアラートを自動化できます。成熟度の低いプログラムであっても、定期的な手動レビューが継続的に行われている限り、効果を発揮する可能性があります。
組織にプログラムを定期的に管理する能力がない場合は、第三者に所有権を委ねる価値があるかもしれません。 環境によっては、セキュリティ チームがセキュリティ以外の関係者と関わったり、一貫した参加を促進したりするのに苦労する場合があります。外部リソースは、プログラムを前進させ続けるために必要な運用上の監視と客観的な影響力の両方を提供できます。潜在的なサードパーティ パートナーを評価するときは、レポート作成とペースのニーズに喜んで応え、上流および下流の関係者とコミュニケーションした経験のあるパートナーを探してください。
質問ではなく答えるセキュリティの構築
セキュリティのライフサイクル管理に関しては、多くの誤解があります。たとえば、セキュリティはハードウェア中心のチェックボックスである、包括的なプログラムの起動は複雑で費用がかかる、または問題が発生した場合にのみ重要であるなどです。一般に、セキュリティに対するこのアプローチは失敗のもとです。スプリンクラーを点検するために火災が発生するまで待つことはできませんし、柵のない動物園を建てるはずもありません。ライフサイクル管理プログラムは、適切に構築されていれば比較的安価で、長期的にははるかに大きな経済的価値をもたらします。
セキュリティを実践するには、潜在的なリスクに前向きに対処する必要があります。ライフサイクル管理は、その先見性を実行可能な計画と測定可能な成果に変えるフレームワークを提供します。
Mohammed Atif Shehzad は、 の創設者兼マネージング ディレクターです。、フルサービスのセキュリティ コンサルティング会社。彼は、バックグラウンド プログラム開発、戦略的マスター プランニング、およびエグゼクティブ レベルのプログラム スポンサーシップにおいて 30 年以上の経験を持っています。シェザド氏の経験には、幼稚園から高校まで、高等教育、大企業および多国籍企業、地方自治体、テクノロジー企業および製薬企業が含まれます。
