لقد حان الوقت للتوقف عن قياس الأمن بشكل مطلق

لقد حان الوقت للتوقف عن قياس الأمن بشكل مطلق

الطابع الزمني: 25 آذار (مارس) 2024 ، الساعة 4:51 مساءً
لقد حان الوقت للتوقف عن قياس الأمن في ذكاء بيانات PlatoBlockchain المطلق. البحث العمودي. منظمة العفو الدولية.

التعليق

يتغير السياق والمقاييس التي توجه تقييمات المخاطر باستمرار، وكذلك فهمنا لما يبدو عليه التقدم كفريق أمني. ليس من الممكن قياس كل شيء، وقدرتك على قياسه لا يعني أنه مهم. وهذا يجعل من السهل أن تضيع في التفاصيل وتفويت الصورة الأكبر: هل نحن نتحسن بشكل مباشر؟

ويكمن جزء كبير من المشكلة في السياسة الأمنية القياسية، التي تهدف إلى الكمال بينما تغفل عن الأهداف القابلة للتحقيق. في صناعتنا، لدينا سياسات تنص، على سبيل المثال، على أنه "يجب معالجة جميع نقاط الضعف عالية المخاطر في غضون 10 أيام"، أو "يجب مراجعة جميع صلاحيات وصول المستخدمين كل ثلاثة أشهر". الافتراض هو أنك ستسعى جاهداً لتحقيق 100%، دون أي حديث حول ما إذا كان هذا الأمر قابلاً للتحقيق وما هي الموارد المطلوبة لتحقيق هذا الهدف.

عادة، يحقق الفريق الأمني ​​هذا الهدف بنسبة 70% من الوقت، وهو ما يعتبر فشلاً. غالبًا ما ينفق الفريق عددًا كبيرًا من الموارد في محاولة لسد الفجوة، على سبيل المثال، من خلال معالجة 70% من نقاط الضعف الحرجة وهدف السياسة المتمثل في 100%. وقد ينتهي بهم الأمر إلى استنزاف الموارد بهدف تحقيق الكمال، في حين أنه من الأفضل إنفاق تلك الموارد في أماكن أخرى.

كصناعة، نحتاج إلى الرجوع خطوة إلى الوراء وإعادة تقييم السياسات والمقاييس التي توجه برامجنا، وتحديد ما إذا كانت واقعية وما إذا كانت حتى القياسات الصحيحة. فيما يلي ثلاث خطوات يجب اتخاذها لتحقيق ذلك.

1. حدد مدى رغبتك في المخاطرة

من المستحيل تحقيق الكمال في جميع مجالات المخاطرة. يمكن أن ينتهي الأمر بفرق الأمن إلى لعب لعبة "whack-a-mole" وفقدان التركيز على المخاطر الأكثر دقة. يجب أن تكون هناك محادثة على مستوى الأعمال لتحديد أين تكمن أكبر المخاطر الأمنية التي تواجه المنظمة وأين يتم تخصيص الموارد، بالإضافة إلى المجالات التي يشعر فيها المسؤولون التنفيذيون بالارتياح تجاه مستوى معين من المخاطر. على سبيل المثال، يمكن أن تمثل ثغرة أمنية حرجة مثل MOVEit خطرًا مقبولاً في أحد مجالات العمل، ولكن ليس في منطقة أخرى بها أنظمة من المستوى الأول مع صفر إلى الحد الأدنى من السماح للتأثير على ثالوث وكالة المخابرات المركزية السرية والنزاهة والتوافر. انظر إلى أماكن تواجد أكبر نقاط الضعف في مجال عملك وأنواع الهجمات التي تستهدف عادةً الشركات في مساحتك لإجراء تقييم للمخاطر.

2. ضع أهدافًا مرنة وقابلة للتحقيق

والخطوة التالية هي وضع سياسات أمنية قابلة للتحقيق، بناءً على تقييم المخاطر الخاص بك، والتي تركز على التقدم التدريجي. لا يمكنك القفز من تصحيح 50% من نقاط الضعف إلى 95% بين عشية وضحاها. من المهم أن تفهم الموارد التي ستتطلبها لتحقيق هدفك وما هي الفرص التي ستتخلى عنها من خلال استهداف التصحيح الكامل مقابل 85%. قد لا يكون من المفيد الاستثمار في إغلاق تلك النقاط القليلة الأخيرة.

بدلًا من تحديد هدف ثابت والسعي لتحقيق الكمال، ركز على تحسين البرنامج مقارنة بما كنت عليه من قبل. والأسئلة التي يجب أن تطرحها هي: هل نسير في الاتجاه الصحيح؟ هل يتحسن البرنامج؟ هل نقوم بتقليل المخاطر بشكل عام؟

3. إعادة التقييم بانتظام

نظرًا لأن نقاط الضعف وأساليب الهجوم تتغير دائمًا، يجب على قادة الأمن إجراء مناقشات منتظمة مع الشركات الأوسع لإعادة تقييم الرغبة في المخاطرة والسياسات الأمنية. كحد أدنى، ينبغي أن يتم ذلك سنويا. إعادة تقييم ما إذا كانت الأهداف تتماشى مع المخاطر المعروفة ودرجة تحمل المخاطر، واتخاذ قرارات واعية بشأن المقايضات.

على سبيل المثال، يمكنك تحديد أنه من الممكن معالجة 85% من نقاط الضعف الحرجة خلال 10 أيام. للوصول إلى 90%، X كمية الموارد، معبرًا عنها بعبارات مثل الاستثمار النقدي أو الوقت أو الأشخاص، سوف يكون مطلوب. قد تجد أن نسبة 85% هي مستوى مقبول من المخاطر عند مقارنتها بتلك الموارد الإضافية.

تهدف إلى التقدم، وليس الكمال

لا ينبغي اتخاذ القرارات المتعلقة بالمخاطر في فراغ. ولهذا السبب يجب أن يمتلك القادة الأمنيون هذه الأشياء محادثات مع قادة الأعمال الآخرين ومجلس الإدارة. خلاصة القول: نادرًا ما يمكن تحقيق الكمال في هذه الصناعة، والسعي لتحقيق هذا المطلق يمكن أن يضر أكثر مما ينفع. بدلاً من ذلك، ركز على إحراز التقدم. حدد أهدافًا واقعية، واتخذ خطوات صغيرة للوصول إلى هناك، واستمر في رفع المستوى حتى تصل إلى المستوى الأمثل لتخفيف المخاطر.

الطابع الزمني:

اكثر من قراءة مظلمة