KOMMENTAR
Konteksten og målinger, der styrer risikovurderinger, ændrer sig konstant, og det samme er vores forståelse af, hvordan fremskridt ser ud som et sikkerhedsteam. Det er ikke muligt at måle alt, og bare fordi du kan måle det, betyder det ikke, at det er vigtigt. Dette gør det nemt at gå tabt i detaljerne og gå glip af det større billede: Bliver vi retningsbestemt forbedret?
En stor del af problemet er standardsikkerhedspolitikken, som sigter mod perfektion, samtidig med at man mister de opnåelige mål af syne. I vores branche har vi politikker, der for eksempel siger "alle højrisikosårbarheder skal løses inden for 10 dage," eller "al brugeradgang skal gennemgås kvartalsvis." Antagelsen er, at du vil stræbe efter 100 %, uden nogen samtale om, hvorvidt dette er opnåeligt, og hvilke ressourcer der skal til for at nå det mål.
Normalt vil et sikkerhedsteam nå det mål 70 % af tiden, hvilket anses for at være en fiasko. Et team bruger ofte et stort antal ressourcer på at forsøge at lukke hullet, for eksempel ved at adressere de 70 % af kritiske sårbarheder og politikkens mål på 100 %. De kan ende med at anstrenge ressourcer for at sigte efter perfektion, når disse ressourcer kunne bruges bedre andre steder.
Som branche skal vi tage et skridt tilbage og revurdere de politikker og målinger, der styrer vores programmer, og beslutte, om de er realistiske, og om de overhovedet er de rigtige målinger. Her er tre trin, du skal tage for at opnå dette.
1. Bestem din risikoappetit
Det er umuligt at opnå perfektion på alle risikoområder. Sikkerhedsteams kan ende med at spille en muldvarp og miste fokus på mere subtile risici. Der skal være en samtale på forretningsniveau for at definere, hvor organisationens største sikkerhedsrisici ligger, og hvor de skal afsætte ressourcer, samt områder, hvor dens ledere er fortrolige med et vist risikoniveau. En kritisk sårbarhed som MOVEit, for eksempel, kunne repræsentere en acceptabel risiko i ét område af en virksomhed, men ikke i et andet område, der har niveau 1-systemer med nul til minimal justering for en indvirkning på CIA triade fortrolighed, integritet og tilgængelighed. Se på, hvor de største sårbarheder ligger inden for din branche, og hvilke typer angreb, der almindeligvis er rettet mod virksomheder i dit område for at udføre en risikovurdering.
2. Sæt fleksible, opnåelige mål
Det næste trin er at opstille opnåelige sikkerhedspolitikker baseret på din risikovurdering, der fokuserer på gradvise fremskridt. Du kan ikke springe fra at lappe 50 % af sårbarhederne til 95 % fra den ene dag til den anden. Det er vigtigt at forstå de ressourcer, det vil tage at nå dit mål, og hvilke muligheder du vil give afkald på ved at sigte efter total patching versus 85%. Det er måske ikke investeringen værd at lukke de sidste par punkter.
I stedet for at sætte et statisk mål og sigte efter perfektion, skal du fokusere på at forbedre programmet i forhold til, hvor du var før. De spørgsmål, du bør stille dig, er: Bevæger vi os i den rigtige retning? Bliver programmet forbedret? Reducerer vi risikoen samlet set?
3. Revurder regelmæssigt
Da sårbarheder og angrebsmetoder altid ændrer sig, bør sikkerhedsledere regelmæssigt holde diskussioner med den bredere virksomhed for at revurdere risikovillighed og sikkerhedspolitikker. Dette bør som minimum ske årligt. Revurder, om målene er i overensstemmelse med kendte risici og risikotolerance, og tag bevidste beslutninger om afvejningerne.
For eksempel kan du finde ud af, at det er muligt at løse 85 % af kritiske sårbarheder inden for 10 dage. For at komme op på 90 %, X mængden af ressourcer, udtrykt som f.eks pengeinvestering, tid eller mennesker, vil være påkrævet. Du kan finde 85 % for at være et acceptabelt risikoniveau, når det afvejes i forhold til disse yderligere ressourcer.
Sigt efter fremskridt, ikke perfektion
Beslutninger om risiko bør ikke tages i et vakuum. Det er derfor, sikkerhedsledere skal have disse samtaler med andre virksomhedsledere og bestyrelse. Den nederste linje: Perfektion er sjældent opnåelig i denne branche, og at sigte efter det absolutte kan gøre mere skade end gavn. Fokuser i stedet på at gøre fremskridt. Sæt realistiske mål, tag små skridt for at nå dertil, og fortsæt med at hæve barren, indtil du har nået det optimale niveau af risikoreduktion.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 10
- 7
- 95 %
- a
- Om
- absolutte
- acceptabel
- adgang
- opnåelige
- opnå
- Yderligere
- adresse
- rettet
- adressering
- mod
- sigte
- sigter
- målsætninger
- justeret
- Alle
- altid
- beløb
- an
- ,
- Årligt
- En anden
- appetit
- ER
- OMRÅDE
- områder
- AS
- spørge
- vurdering
- vurderinger
- antagelse
- At
- angribe
- Angreb
- tilgængelighed
- tilbage
- Bar
- baseret
- BE
- fordi
- før
- Bedre
- Big
- større
- Største
- Bund
- bredere
- virksomhed
- Virksomhedsledere
- virksomheder
- men
- by
- CAN
- vis
- skiftende
- Luk
- behagelig
- almindeligt
- fortrolighed
- bevidst
- konstant
- sammenhæng
- Samtale
- kunne
- kritisk
- Dage
- Beslutter
- afgørelser
- anses
- definere
- detaljer
- Bestem
- retning
- diskussioner
- do
- gør ikke
- færdig
- let
- andetsteds
- ende
- Endog
- at alt
- eksempel
- ledere
- udtrykt
- Manglende
- få
- Finde
- fleksibel
- Fokus
- Til
- fra
- kløft
- få
- Giv
- mål
- Mål
- godt
- vejledende
- skade
- Have
- link.
- høj risiko
- Hit
- hold
- HTTPS
- KIMOs Succeshistorier
- vigtigt
- umuligt
- forbedring
- in
- inkremental
- industrien
- instans
- i stedet
- integritet
- investering
- IT
- ITS
- jpg
- hoppe
- lige
- Holde
- kendt
- Efternavn
- ledere
- Niveau
- ligge
- ligesom
- Line (linje)
- ll
- Se
- UDSEENDE
- taber
- miste
- tabte
- lavet
- lave
- maerker
- Making
- Kan..
- betyde
- måle
- målinger
- måling
- metoder
- Metrics
- mindste
- minimum
- glip af
- afbødning
- mere
- flytning
- skal
- Behov
- behov
- næste
- ingen
- nummer
- of
- tit
- on
- ONE
- Muligheder
- optimal
- or
- organisation
- Andet
- vores
- samlet
- overnight
- del
- lappe
- Mennesker
- perfektion
- Udfør
- billede
- plato
- Platon Data Intelligence
- PlatoData
- spiller
- punkter
- politikker
- politik
- mulig
- Problem
- Program
- Programmer
- Progress
- kvartalsvis
- Spørgsmål
- hæve
- sjældent
- RE
- nået
- realistisk
- reducere
- revurdere
- regelmæssigt
- relative
- repræsentere
- påkrævet
- Ressourcer
- revideret
- højre
- Risiko
- risikovillighed
- risikovurdering
- risici
- s
- siger
- sikkerhed
- sikkerhedspolitikker
- sikkerhedsrisici
- sæt
- indstilling
- bør
- Syn
- lille
- So
- Space
- tilbringer
- brugt
- standard
- statisk
- styretøj
- Trin
- Steps
- Stands
- stræbe
- Systemer
- Tag
- mål
- hold
- hold
- vilkår
- end
- at
- Der.
- Disse
- de
- denne
- dem
- tre
- tier
- Niveau XNUMX
- tid
- til
- tolerance
- I alt
- forsøger
- typer
- forstå
- forståelse
- indtil
- Bruger
- Vacuum
- Ve
- versus
- Sårbarheder
- sårbarhed
- we
- GODT
- var
- whack-a-mol
- Hvad
- hvornår
- hvorvidt
- som
- mens
- hvorfor
- vilje
- med
- inden for
- værd
- ville
- Du
- Din
- zephyrnet
- nul
