Ήρθε η ώρα να σταματήσουμε να μετράμε την ασφάλεια στο απόλυτο

ΣΧΟΛΙΑΣΜΟΣ

Το πλαίσιο και οι μετρήσεις που καθοδηγούν τις αξιολογήσεις κινδύνου αλλάζουν συνεχώς, όπως και η κατανόησή μας για το πώς φαίνεται η πρόοδος ως ομάδα ασφαλείας. Δεν είναι δυνατό να μετρήσετε τα πάντα, και μόνο και μόνο επειδή μπορείτε να μετρήσετε δεν σημαίνει ότι είναι σημαντικό. Αυτό καθιστά εύκολο να χαθείτε στις λεπτομέρειες και να χάσετε την ευρύτερη εικόνα: Βελτιωνόμαστε κατευθυντικά;

Ένα μεγάλο μέρος του προβλήματος είναι η τυπική πολιτική ασφαλείας, η οποία στοχεύει στην τελειότητα, ενώ χάνεται από τα μάτια τους επιτεύξιμους στόχους. Στον κλάδο μας έχουμε πολιτικές που λένε, για παράδειγμα, «όλα τα τρωτά σημεία υψηλού κινδύνου πρέπει να αντιμετωπιστούν εντός 10 ημερών» ή «όλη η πρόσβαση των χρηστών πρέπει να ελέγχεται ανά τρίμηνο». Η υπόθεση είναι ότι θα προσπαθήσετε για το 100%, χωρίς καμία συζήτηση για το αν αυτό είναι εφικτό και ποιοι πόροι θα απαιτηθούν για να επιτευχθεί αυτός ο στόχος.

Συνήθως, μια ομάδα ασφαλείας θα πετύχει αυτόν τον στόχο το 70% του χρόνου, κάτι που θεωρείται αποτυχημένο. Μια ομάδα δαπανά συχνά μεγάλο αριθμό πόρων προσπαθώντας να κλείσει το χάσμα, για παράδειγμα, αντιμετωπίζοντας αυτό το 70% των κρίσιμων τρωτών σημείων και τον στόχο της πολιτικής του 100%. Μπορεί να καταλήξουν να καταπονούν τους πόρους για να επιδιώξουν την τελειότητα όταν αυτοί οι πόροι θα μπορούσαν να δαπανηθούν καλύτερα αλλού.

Ως κλάδος, πρέπει να κάνουμε ένα βήμα πίσω και να επανεκτιμήσουμε τις πολιτικές και τις μετρήσεις που καθοδηγούν τα προγράμματά μας, αποφασίζοντας εάν είναι ρεαλιστικά και αν είναι ακόμη και οι σωστές μετρήσεις. Εδώ είναι τρία βήματα που πρέπει να ακολουθήσετε για να το πετύχετε.

1. Προσδιορίστε την όρεξή σας για κίνδυνο

Είναι αδύνατο να επιτευχθεί η τελειότητα σε όλους τους τομείς κινδύνου. Οι ομάδες ασφαλείας μπορεί να καταλήξουν να παίζουν «χάμα» και να χάσουν την εστίασή τους σε πιο ανεπαίσθητους κινδύνους. Πρέπει να υπάρξει μια συζήτηση σε επιχειρηματικό επίπεδο για να καθοριστεί πού βρίσκονται οι μεγαλύτεροι κίνδυνοι ασφάλειας του οργανισμού και πού να αφιερωθούν πόροι, καθώς και τομείς στους οποίους τα στελέχη του αισθάνονται άνετα με ένα ορισμένο επίπεδο κινδύνου. Μια κρίσιμη ευπάθεια όπως το MOVEit, για παράδειγμα, θα μπορούσε να αντιπροσωπεύει έναν αποδεκτό κίνδυνο σε έναν τομέα μιας επιχείρησης, αλλά όχι σε έναν άλλο τομέα που έχει συστήματα πρώτης βαθμίδας με μηδενικό έως ελάχιστο περιθώριο για επιπτώσεις στην Τριάδα της CIA εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας. Κοιτάξτε πού βρίσκονται οι μεγαλύτερες ευπάθειες στον κλάδο σας και τους τύπους επιθέσεων που στοχεύουν συνήθως επιχειρήσεις στον χώρο σας για να εκτελέσετε μια αξιολόγηση κινδύνου.

2. Θέστε ευέλικτους, εφικτούς στόχους

Το επόμενο βήμα είναι να ορίσετε εφικτές πολιτικές ασφάλειας, με βάση την εκτίμηση κινδύνου σας, που εστιάζουν στη σταδιακή πρόοδο. Δεν μπορείτε να μεταβείτε από την επιδιόρθωση του 50% των τρωτών σημείων στο 95% εν μία νυκτί. Είναι σημαντικό να κατανοήσετε τους πόρους που θα χρειαστούν για να πετύχετε τον στόχο σας και ποιες ευκαιρίες θα εγκαταλείψετε στοχεύοντας σε συνολική επιδιόρθωση έναντι 85%. Μπορεί να μην αξίζει την επένδυση για να κλείσουμε αυτά τα τελευταία σημεία.

Αντί να βάζετε έναν στατικό στόχο και να στοχεύετε στην τελειότητα, εστιάστε στη βελτίωση του προγράμματος σε σχέση με το σημείο που ήσασταν πριν. Οι ερωτήσεις που πρέπει να κάνετε είναι: Προχωράμε προς τη σωστή κατεύθυνση; Βελτιώνεται το πρόγραμμα; Μειώνουμε συνολικά τον κίνδυνο;

3. Επαναξιολογήστε τακτικά

Δεδομένου ότι τα τρωτά σημεία και οι μέθοδοι επίθεσης αλλάζουν πάντα, οι ηγέτες ασφαλείας θα πρέπει να συζητούν τακτικά με την ευρύτερη επιχείρηση για να επανεκτιμήσουν την όρεξη για κινδύνους και τις πολιτικές ασφάλειας. Τουλάχιστον, αυτό θα πρέπει να γίνεται ετησίως. Επαναξιολογήστε εάν οι στόχοι ευθυγραμμίζονται με τους γνωστούς κινδύνους και την ανοχή κινδύνου και λάβετε συνειδητές αποφάσεις σχετικά με τους συμβιβασμούς.

Για παράδειγμα, μπορείτε να προσδιορίσετε ότι είναι εφικτό να αντιμετωπιστεί το 85% των κρίσιμων τρωτών σημείων εντός 10 ημερών. Για να φτάσετε στο 90%, X ποσό πόρων, εκφρασμένο σε όρους όπως χρηματική επένδυση, χρόνος ή άνθρωποι, θα απαιτηθεί. Μπορεί να διαπιστώσετε ότι το 85% είναι ένα αποδεκτό επίπεδο κινδύνου όταν σταθμίζεται με αυτούς τους πρόσθετους πόρους.

Στόχος η πρόοδος, όχι η τελειότητα

Οι αποφάσεις σχετικά με τον κίνδυνο δεν πρέπει να λαμβάνονται στο κενό. Αυτός είναι ο λόγος για τον οποίο οι ηγέτες ασφαλείας πρέπει να τα έχουν αυτά συνομιλίες με άλλους επιχειρηματίες και το διοικητικό συμβούλιο. Η ουσία: Η τελειότητα σπάνια επιτυγχάνεται σε αυτόν τον κλάδο και το να στοχεύεις σε αυτό το απόλυτο μπορεί να κάνει περισσότερο κακό παρά καλό. Αντίθετα, επικεντρωθείτε στην πρόοδο. Θέστε ρεαλιστικούς στόχους, κάντε μικρά βήματα για να φτάσετε εκεί και συνεχίστε να ανεβάζετε τον πήχη μέχρι να φτάσετε στο βέλτιστο επίπεδο μετριασμού του κινδύνου.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes