Es ist an der Zeit, Sicherheit nicht mehr absolut zu messen

KOMMENTAR

Der Kontext und die Kennzahlen, die Risikobewertungen leiten, ändern sich ständig, ebenso wie unser Verständnis davon, wie Fortschritte als Sicherheitsteam aussehen. Es ist nicht möglich, alles zu messen, und nur weil man es messen kann, heißt das nicht, dass es wichtig ist. Dadurch verliert man sich leicht in den Details und übersieht das Gesamtbild: Verbessern wir uns gezielt?

Ein großer Teil des Problems ist die Standard-Sicherheitspolitik, die nach Perfektion strebt, aber erreichbare Ziele aus den Augen verliert. In unserer Branche gibt es Richtlinien, die beispielsweise besagen: „Alle Schwachstellen mit hohem Risiko müssen innerhalb von 10 Tagen behoben werden“ oder „Der gesamte Benutzerzugriff muss vierteljährlich überprüft werden.“ Es wird davon ausgegangen, dass Sie 100 % anstreben, ohne darüber zu sprechen, ob dies erreichbar ist und welche Ressourcen erforderlich wären, um dieses Ziel zu erreichen.

Normalerweise erreicht ein Sicherheitsteam dieses Ziel in 70 % der Fälle, was als Fehlschlag gewertet wird. Ein Team wendet oft übermäßig viele Ressourcen auf, um die Lücke zu schließen, indem es beispielsweise 70 % der kritischen Schwachstellen behebt und das Ziel der Richtlinie von 100 % erreicht. Am Ende beanspruchen sie möglicherweise Ressourcen, um nach Perfektion zu streben, obwohl diese Ressourcen woanders besser eingesetzt werden könnten.

Als Branche müssen wir einen Schritt zurücktreten und die Richtlinien und Kennzahlen, die unsere Programme steuern, neu bewerten und entscheiden, ob sie realistisch sind und ob es sich überhaupt um die richtigen Maße handelt. Hier sind drei Schritte, die Sie unternehmen müssen, um dies zu erreichen.

1. Bestimmen Sie Ihre Risikobereitschaft

Es ist unmöglich, in allen Risikobereichen Perfektion zu erreichen. Sicherheitsteams können am Ende in die Irre gehen und den Fokus auf subtilere Risiken verlieren. Es muss ein Gespräch auf Unternehmensebene stattfinden, um zu definieren, wo die größten Sicherheitsrisiken für die Organisation liegen und wo Ressourcen eingesetzt werden sollten, sowie um Bereiche, in denen ihre Führungskräfte mit einem bestimmten Risikoniveau zufrieden sind. Eine kritische Schwachstelle wie MOVEit könnte beispielsweise in einem Bereich eines Unternehmens ein akzeptables Risiko darstellen, in einem anderen Bereich jedoch nicht, in dem es Tier-1-Systeme gibt, bei denen keine oder nur minimale Auswirkungen auf das System möglich sind CIA-Triade der Vertraulichkeit, Integrität und Verfügbarkeit. Schauen Sie sich an, wo in Ihrer Branche die größten Schwachstellen liegen und welche Arten von Angriffen häufig auf Unternehmen in Ihrer Branche abzielen, um eine Risikobewertung durchzuführen.

2. Setzen Sie sich flexible, erreichbare Ziele

Der nächste Schritt besteht darin, auf der Grundlage Ihrer Risikobewertung erreichbare Sicherheitsrichtlinien festzulegen, die sich auf inkrementelle Fortschritte konzentrieren. Sie können nicht über Nacht von 50 % auf 95 % der Schwachstellen patchen. Es ist wichtig zu verstehen, welche Ressourcen erforderlich sind, um Ihr Ziel zu erreichen, und welche Chancen Sie aufgeben, wenn Sie eine vollständige Patchung statt 85 % anstreben. Es lohnt sich möglicherweise nicht, die letzten paar Punkte zu schließen.

Anstatt sich ein statisches Ziel zu setzen und nach Perfektion zu streben, konzentrieren Sie sich darauf, das Programm im Vergleich zu Ihrem vorherigen Stand zu verbessern. Die Fragen, die Sie sich stellen sollten, sind: Bewegen wir uns in die richtige Richtung? Verbessert sich das Programm? Reduzieren wir das Risiko insgesamt?

3. Regelmäßige Neubewertung

Da sich Schwachstellen und Angriffsmethoden ständig ändern, sollten Sicherheitsverantwortliche regelmäßig Gespräche mit dem gesamten Unternehmen führen, um die Risikobereitschaft und Sicherheitsrichtlinien neu zu bewerten. Dies sollte mindestens einmal jährlich erfolgen. Bewerten Sie neu, ob Ziele mit bekannten Risiken und Risikotoleranz in Einklang stehen, und treffen Sie bewusste Entscheidungen über die Kompromisse.

Beispielsweise können Sie feststellen, dass es möglich ist, 85 % der kritischen Schwachstellen innerhalb von 10 Tagen zu beheben. Um 90 % zu erreichen, X Menge an Ressourcen, ausgedrückt in Begriffen wie Geldinvestition, Zeit oder Menschen, wird benötigt werden. Möglicherweise halten Sie 85 % für ein akzeptables Risikoniveau, wenn Sie es mit diesen zusätzlichen Ressourcen abwägen.

Streben Sie nach Fortschritt, nicht nach Perfektion

Risikoentscheidungen sollten nicht im luftleeren Raum getroffen werden. Aus diesem Grund müssen Sicherheitsverantwortliche über diese verfügen Gespräche mit anderen Unternehmensleitern und dem Vorstand. Fazit: Perfektion ist in dieser Branche selten erreichbar, und das Streben nach Perfektion kann mehr schaden als nützen. Konzentrieren Sie sich stattdessen darauf, Fortschritte zu machen. Setzen Sie sich realistische Ziele, unternehmen Sie kleine Schritte, um dorthin zu gelangen, und legen Sie die Messlatte immer höher, bis Sie das optimale Maß an Risikominderung erreicht haben.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes