Säkerhetskonvergens
Säkerhetskonvergens avser konvergensen av två historiskt distinkta säkerhetsfunktioner – fysisk säkerhet och informationssäkerhet – inom företag; båda är integrerade delar av ett sammanhängande riskhanteringsprogram . Säkerhetskonvergens motiveras av insikten att företagets tillgångar blir allt mer informationsbaserade. Tidigare krävde fysiska tillgångar huvuddelen av skyddsinsatser, medan informationstillgångar kräver ökad uppmärksamhet. Även om den allmänt används i samband med cyber-fysisk konvergens, kan säkerhetskonvergens också hänvisa till konvergens av säkerhet med relaterade risk- och motståndskraftsdiscipliner, inklusive affärskontinuitetsplanering och krishantering . Säkerhetskonvergens kallas ofta för "konvergerad säkerhet".
Definitioner
Enligt United States Cybersecurity and Infrastructure Security Agency är säkerhetskonvergens det "formella samarbetet mellan tidigare osammanhängande säkerhetsfunktioner." Enkätdeltagare i en ASIS Foundation- studie The State of Security Convergence i USA, Europa och Indien definierar säkerhetskonvergens som att "få säkerhets-/riskhanteringsfunktioner att samarbeta sömlöst och täppa till de luckor och sårbarheter som finns i utrymmet mellan funktioner. "
I sin bok Security Convergence: Managing Enterprise Security Risk definierar Dave Tyson säkerhetskonvergens som "integreringen av de kumulativa säkerhetsresurserna i en organisation för att leverera företagsomfattande fördelar genom förbättrad riskreducering, ökad operativ effektivitet och effektivitet och kostnadsbesparingar ."
Bakgrund
Konceptet med säkerhetskonvergens har fått valuta inom ramen för den fjärde industriella revolutionen , som enligt grundaren och verkställande ordföranden för World Economic Forum (WEF) Klaus Schwab , "kännetecknas av en fusion av teknologier som suddar ut gränserna mellan de fysiska, digitala och biologiska sfärerna." Nyckelresultaten av denna sammanslagning inkluderar utvecklingen av cyberfysiska system (CPS) och tillväxten av Internet of Things (ioT), som har sett en spridning av antalet och typerna av internetanslutna fysiska objekt. 2017 Gartner att det skulle finnas 20 miljarder internetanslutna saker år 2020.
Säkerhetskonvergens godkändes redan 2007 av tre ledande internationella organisationer för säkerhetspersonal – ASIS International , ISACA och ISSA – som tillsammans var med och grundade Alliance for Enterprise Security Risk Management för att delvis främja konceptet.
Typer av konvergens
Cyber-fysisk konvergens
Riskkonvergens
I samband med Internet of Things översätts cyberhot lättare till fysiska konsekvenser, och fysiska säkerhetsintrång kan också utöka en organisations yta för cyberhot. Enligt United States Cybersecurity and Infrastructure Security Agency , "Antagandet och integrationen av Internet of Things (IoT) och Industrial Internet of Things (IIoT) enheter har lett till ett allt mer sammankopplat nät av cyberfysiska system (CPS), som expanderar attackytan och suddar ut de en gång tydliga funktionerna för cybersäkerhet och fysisk säkerhet."
Enligt WEF Global Risks Report 2020 , "operationell teknik löper ökad risk eftersom cyberattacker kan orsaka mer traditionella, kinetiska effekter när tekniken utvidgas till den fysiska världen och skapar ett cyberfysiskt system". Enligt USA:s Department of Homeland Security , "Konsekvenserna av oavsiktliga fel eller illvilliga attacker [på cyberfysiska system] kan få allvarliga konsekvenser för människors liv och miljön."
Anmärkningsvärda exempel på attacker mot internetanslutna anläggningar inkluderar Stuxnet -attacken 2010 på Irans kärnkraftsanläggningar i Natanz och cyberattacken i Ukraina i december 2015 .
"Dagens hot är ett resultat av hybrida och blandade attacker som använder informationsteknologi (IT), fysisk infrastruktur och operationell teknik (OT) som fiendens väg för att komma till väga", konstaterar tidigare CISA biträdande chef för infrastruktursäkerhet Brian Harrell. "Att lyfta fram denna framtid hotbilden kommer att säkerställa bättre situationsmedvetenhet och snabbare reaktion.”
Organisatorisk konvergens
Traditionellt distinkta, eller "siloformade", tillvägagångssätt för fysisk säkerhet och cybersäkerhet ses av förespråkare för säkerhetskonvergens som oförmögna att på ett adekvat sätt skydda en organisation från attacker som involverar både cyber och fysiska (cyberfysiska) dimensioner. Den organisatoriska aspekten av säkerhetskonvergens fokuserar på i vilken utsträckning en organisations interna struktur är kapabel att på ett adekvat sätt hantera konvergerade säkerhetsrisker.
Enligt Cybersecurity and Infrastructure Security Agency "behandlas divisioner för fysisk säkerhet och cybersäkerhet fortfarande som separata enheter. När säkerhetsledare verkar i dessa silor saknar de en holistisk syn på säkerhetshot som riktar sig mot deras företag. Som ett resultat är attacker fler sannolikt kommer att inträffa". "Många av de konventionella fysiska riskerna och informationssäkerhetsriskerna ses isolerade", säger ett PricewaterhouseCoopers dokument Convergence of Security Risks . "Dessa risker kan konvergera eller överlappa vid specifika punkter under riskens livscykel och kan som sådan bli en blind fläck för organisationen eller individer som ansvarar för riskhantering."
I en undersökning av mer än 1 000 seniora professionella inom fysisk säkerhet, cybersäkerhet, katastrofhantering och affärskontinuitet fann ASIS Foundations studie The State of Security Convergence i USA, Europa och Indien att trots "år av förutsägelser om oundvikligheten av säkerhetskonvergens, bara 24 procent av de tillfrågade har konvergerat sina fysiska och cybersäkerhetsfunktioner.” Undersökningen fann också att 96 procent av organisationer som hade sammanfört två eller flera säkerhetsfunktioner rapporterade positiva resultat från konvergens, och 72 procent rapporterade att konvergens stärkte deras övergripande säkerhet. Totalt sett trodde 78 procent av de tillfrågade att konvergens skulle stärka deras övergripande säkerhetsfunktion.
Jay Wright Forresters arbete med systemtänkande , hävdar Jason Cherrington, VD för Optic Security Group, att ett system med systemansats ger en användbar lins för att förstå hur säkerhetsundergrupper inom en organisation bidrar till en organisations övergripande säkerhetsmål. "I en idealisk SoS-värld skulle organisationer se sin säkerhet som en samling uppgiftsorienterade eller dedikerade system som slår samman sina resurser och kapacitet som en del av ett övergripande system som erbjuder mer funktionalitet och prestanda än summan av dess delar. Viktigt, tillsyn av det övergripande systemet skulle säkerställa att eventuella luckor mellan dess komponentsystem identifieras och fel undviks."
Lösningskonvergens (enhetlig säkerhet)
Den ökande förekomsten av hybridiserade cyber-fysiska säkerhetshot har drivit fram den parallella framväxten av en rad konvergerade säkerhetslösningar som täcker både cyber- och fysiska domäner. Enligt Jason Cherrington, "i samtida säkerhetshot ser vi en konvergens av fysiska och digitala vektorer; och att skydd mot dessa hybridiserade hot kräver en hybridiserad strategi." Enligt United States Cybersecurity and Infrastructure Security Agency : "Organisationer med konvergerade cybersäkerhets- och fysiska säkerhetsfunktioner är mer motståndskraftiga och bättre förberedda för att identifiera, förebygga, mildra och svara på hot. Konvergens uppmuntrar också informationsdelning och utveckling av enhetliga säkerhetspolicyer över hela säkerheten divisioner."
Bibliografi
- Anderson, K., " Convergence: A Holistic Approach to Risk Management ", Network Security, Elsevier, Ltd., volym 2007, nummer 5, maj 2007.
- Anderson, K., " IT-säkerhetsproffs måste utvecklas för att förändra marknaden ", SC Magazine, 12 oktober 2006.