英国の CyberEssentials スキームの変更により、ビジネスが危険にさらされる

NCSC CyberEssentials ( CE ) は、一言で言えば、英国政府が支援するスキームであり、企業をセキュリティの貧困から救い出すことを目的としています。

このスキームに準拠することを選択した企業は、最も一般的なサイバー攻撃に対する保護の恩恵を受けます。それは缶のラベルに書かれていることですが、缶の中にはもっとたくさんのことが書かれています。

このスキームには、 CEとCE+の 2 つのフレーバーがあります。

CEは自己評価であり、後にIASMEによってレビューされるオンライン アンケートに記入することによって実行されます。回答が十分な品質と明確さを備えている場合、その企業は証明書を授与されます。会社がたまたま最初に評価に失敗した場合、追加費用なしで修正して再提出するために数日が与えられます.

CE+は、実践的な技術検証も含まれているという点でCEとは異なります。つまり、送信された情報は侵入テストによって個別に検証されます。

もう 1 つの利点は、英国に本拠地を置き、売上高が 2,000 万ポンド未満の認証を受けた企業は、最大 25,000 ポンドの価値を持つサイバー賠償責任保険を受ける権利があることです。海外の企業は、認証を認めるブローカーから保険割引を受けることができます。

スキームをハードルと見なし、それが克服されれば、その特定の年について、ビジネスを行うためのより高いレベルの信頼と評判の向上が保証されると考えるなら、あなたは正しいでしょう.

どちらのフレーバーでも取得コストは無視できますが、ビジネス リーダーは評価を完了できるように説明し、十分な時間を割り当てる必要があります。これは簡単なことではありません。また、認定要件を満たすために必要になるため、文化的および運用上の変化に備えて従業員を準備する必要があります。

準備ができているかどうかに関係なく、セキュリティ教化の冒険に乗り出すと、企業はこのテーマをより深く理解し、セキュリティ体制を改善することができます。

ちょっとした批判

1-もっと欲しい人から

一部のセキュリティ専門家は、評価の結果に応じてさまざまなグレーの色合いを提供するようにスキームを進化させたいと考えています。つまり、「認定済み」のスタンプよりも細かい分類を提供する必要があります。

私はソーシャルメディアでこの批判を観察し、その支持者を、すでに障壁の反対側に立っており、サプライチェーンのセキュリティ評価でデューデリジェンスの疲れに苦しんでいる人々としてグループ化しました. IASME にボールを渡したいという彼らの熱意は、企業のコストを削減し、得られる均一な応答を潜在的に削減する可能性があります。 IASME はそれに乗り出すのだろうか。

さらによく考えてみると、他の認定企業との差別化を図ろうとする企業の存在は非常に好感が持てます。それは、彼らが認証を取得するために手抜きをせず、他の人が認証を取得したと信じていなかったため、または X を達成する特定の方法が実際に NULL 値を提供することを認識していたため、または実際にはそうではない場合にコンプライアンスを表明している企業を知っている可能性があるためです。

それにもかかわらず、私は、認証された企業の数が非常に多くなり、その貧困を変えるのではなく、認証がもはや目的を果たさなくなるまで維持されるべきであると私は考えているので、スキームのこの提案された変更を支持しません。マラソン中の飢餓ミッション。

私の推論は、セキュリティの貧困を経験しており、ビジネスをそこから引き上げるのに必要な努力のレベルを認識できることに由来しています。そのため、毎年再認証を行うことは、最初に達成したときほど刺激的で変化に富んだものではないことを理解していますが、数年後にそれが企業が保持する唯一のセキュリティ認証のままである場合、私は眉をひそめます…

2-もっと必要な人から

反対に、このスキームは 2014 年以来成功を収めていますが、情報が不十分であるという嘆きや、さまざまなトピックについてさらに明確にするよう求める要求が引き続き寄せられています。私自身、疑問がありました。

それにもかかわらず、私はこのフィードバックは避けられず、スキームの対象となる幅広い聴衆を考えると期待されている.

しかし、この重要で繰り返される批判は、貧しい人々や見当違いの人々が助けを求めて手を差し伸べ、より良くしたいと望んでいることを明確に強調しています!しかし、基準を引き上げることが実際に次善的または時期尚早ではないかどうかも疑問視しています.

3-同意しない人から

また、スキームの詳細の一部に異議を唱える特定のセキュリティ専門家もいます。ここでは、すべてのセキュリティ プロフェッショナルがチャレンジの内容を簡単に把握できるように、注意と一時停止を行う必要があります。したがって、誰かが非倫理的な領域に手を伸ばす慣行を維持する意図で怒鳴り始めると、他の人はその背後にある本当の理由を疑問視するでしょう。リスクに関する知識。

これは、特定されたコストの重みが達成されたトレードオフと結びついていないためにのみ発生すると考えています。それにもかかわらず、ここでは、ゆっくりとしたプロセスであり、特別な脅威のモデリング、リスクの特定、および事前の定量化により、より適切に役立つ啓発の共有状態を可能にするように教育するという目標を持って、戦いを1つずつ戦わなければならないことを認識しています。治療（受容、転移、軽減、回避）。

これまでのところ、私は提起された課題を支持していませんが、私の影響範囲と可視性によって制限されていますが、スキームがより多くの価値を提供し、Yの場合に違反する可能性のある法律を列挙する形で証明する意思のある人々を支援する機会も認識しています.および Z が適切に配置されていません。それらは英国固有のものかもしれませんが、洞察は有益で抵抗力が低いことを証明するかもしれません.

ビジネスに損害を与える可能性のある今後の変更

提案された変更のうち 2 つについては疑問があります。他のすべての変更は現時点では改善されているように感じますが、自由に再訪したいと考えています。

1- このスキームでは、ユーザー デバイス モデルを報告する必要がなくなります。

IASME が、多数の資産を持つ企業から、プロセスがいかに遅くて苦痛であるかについて苦情を受けることは想像に難くありません。私はそこに行ったことがありますが、この苦情を言う人は誰でも、会社がどのように資産を監視、制御、交換しているか、そして会社のセキュリティを改善するための正しいことをしているということについてすぐに疑問を投げかけます.そのため、これを変更の理由として受け入れることはできません。

この変更は、IASME およびおそらく CE+ の評価を行う企業に有利に働くと考えています。これらの企業は、仕事のレベルを下げようとしている可能性があり、したがって、より柔軟な提出を可能にするハードルを下げようとしています。これは、評価対象の組織の規模によっては、投資された時間がカバーされないコストにつながる可能性があるという意味で、より現実に近いと感じています.

ただし、私にとっては、モデルが異なればサポート ライフサイクルも異なり、関連するオペレーティング システムとファームウェアも異なる可能性があるため、これはマイナスの変化です。

たとえば、特定のモデルがさまざまなセキュリティ要件をすでにサポートできない場合に、「Mac のみを使用しています」と報告することがあります。これにより、送信された情報が難読化されます。

2- このスキームでは、ルーターとファイアウォールのファームウェア レポートのみが必要になります。

これは私を困惑させます。企業にはwifiリピーターがあり、それらにはファームウェアがあり、ファームウェアと他のすべてのデバイスを備えたサーバーがあります...すべてファームウェアがあります。

ここで、そのような情報を共有していない仮想化およびクラウド プロバイダーを指摘します。もし私が親しいのであれば、有形資産と無形資産に別々の要件を設けることがより理にかなっているのであれば、IASME に質問するでしょう。

デバイスで使用されているファームウェアがわからない場合、資産に必要なセキュリティのレベルに関する意思決定が妨げられます。したがって、これはセキュリティの低下につながるもう 1 つのマイナスの変化です。

コントロールが少ないほど良くはありません。コントロールが少ないのは最悪です。少なくともこれら2つの場合。

認証の価値を下げることは正しくありません。

読んでくれてありがとう。これらの変化についてどう思いますか。以下のコメントでお知らせください！