ΣΧΟΛΙΑΣΜΟΣ
Το πλαίσιο και οι μετρήσεις που καθοδηγούν τις αξιολογήσεις κινδύνου αλλάζουν συνεχώς, όπως και η κατανόησή μας για το πώς φαίνεται η πρόοδος ως ομάδα ασφαλείας. Δεν είναι δυνατό να μετρήσετε τα πάντα, και μόνο και μόνο επειδή μπορείτε να μετρήσετε δεν σημαίνει ότι είναι σημαντικό. Αυτό καθιστά εύκολο να χαθείτε στις λεπτομέρειες και να χάσετε την ευρύτερη εικόνα: Βελτιωνόμαστε κατευθυντικά;
Ένα μεγάλο μέρος του προβλήματος είναι η τυπική πολιτική ασφαλείας, η οποία στοχεύει στην τελειότητα, ενώ χάνεται από τα μάτια τους επιτεύξιμους στόχους. Στον κλάδο μας έχουμε πολιτικές που λένε, για παράδειγμα, «όλα τα τρωτά σημεία υψηλού κινδύνου πρέπει να αντιμετωπιστούν εντός 10 ημερών» ή «όλη η πρόσβαση των χρηστών πρέπει να ελέγχεται ανά τρίμηνο». Η υπόθεση είναι ότι θα προσπαθήσετε για το 100%, χωρίς καμία συζήτηση για το αν αυτό είναι εφικτό και ποιοι πόροι θα απαιτηθούν για να επιτευχθεί αυτός ο στόχος.
Συνήθως, μια ομάδα ασφαλείας θα πετύχει αυτόν τον στόχο το 70% του χρόνου, κάτι που θεωρείται αποτυχημένο. Μια ομάδα δαπανά συχνά μεγάλο αριθμό πόρων προσπαθώντας να κλείσει το χάσμα, για παράδειγμα, αντιμετωπίζοντας αυτό το 70% των κρίσιμων τρωτών σημείων και τον στόχο της πολιτικής του 100%. Μπορεί να καταλήξουν να καταπονούν τους πόρους για να επιδιώξουν την τελειότητα όταν αυτοί οι πόροι θα μπορούσαν να δαπανηθούν καλύτερα αλλού.
Ως κλάδος, πρέπει να κάνουμε ένα βήμα πίσω και να επανεκτιμήσουμε τις πολιτικές και τις μετρήσεις που καθοδηγούν τα προγράμματά μας, αποφασίζοντας εάν είναι ρεαλιστικά και αν είναι ακόμη και οι σωστές μετρήσεις. Εδώ είναι τρία βήματα που πρέπει να ακολουθήσετε για να το πετύχετε.
1. Προσδιορίστε την όρεξή σας για κίνδυνο
Είναι αδύνατο να επιτευχθεί η τελειότητα σε όλους τους τομείς κινδύνου. Οι ομάδες ασφαλείας μπορεί να καταλήξουν να παίζουν «χάμα» και να χάσουν την εστίασή τους σε πιο ανεπαίσθητους κινδύνους. Πρέπει να υπάρξει μια συζήτηση σε επιχειρηματικό επίπεδο για να καθοριστεί πού βρίσκονται οι μεγαλύτεροι κίνδυνοι ασφάλειας του οργανισμού και πού να αφιερωθούν πόροι, καθώς και τομείς στους οποίους τα στελέχη του αισθάνονται άνετα με ένα ορισμένο επίπεδο κινδύνου. Μια κρίσιμη ευπάθεια όπως το MOVEit, για παράδειγμα, θα μπορούσε να αντιπροσωπεύει έναν αποδεκτό κίνδυνο σε έναν τομέα μιας επιχείρησης, αλλά όχι σε έναν άλλο τομέα που έχει συστήματα πρώτης βαθμίδας με μηδενικό έως ελάχιστο περιθώριο για επιπτώσεις στην Τριάδα της CIA εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας. Κοιτάξτε πού βρίσκονται οι μεγαλύτερες ευπάθειες στον κλάδο σας και τους τύπους επιθέσεων που στοχεύουν συνήθως επιχειρήσεις στον χώρο σας για να εκτελέσετε μια αξιολόγηση κινδύνου.
2. Θέστε ευέλικτους, εφικτούς στόχους
Το επόμενο βήμα είναι να ορίσετε εφικτές πολιτικές ασφάλειας, με βάση την εκτίμηση κινδύνου σας, που εστιάζουν στη σταδιακή πρόοδο. Δεν μπορείτε να μεταβείτε από την επιδιόρθωση του 50% των τρωτών σημείων στο 95% εν μία νυκτί. Είναι σημαντικό να κατανοήσετε τους πόρους που θα χρειαστούν για να πετύχετε τον στόχο σας και ποιες ευκαιρίες θα εγκαταλείψετε στοχεύοντας σε συνολική επιδιόρθωση έναντι 85%. Μπορεί να μην αξίζει την επένδυση για να κλείσουμε αυτά τα τελευταία σημεία.
Αντί να βάζετε έναν στατικό στόχο και να στοχεύετε στην τελειότητα, εστιάστε στη βελτίωση του προγράμματος σε σχέση με το σημείο που ήσασταν πριν. Οι ερωτήσεις που πρέπει να κάνετε είναι: Προχωράμε προς τη σωστή κατεύθυνση; Βελτιώνεται το πρόγραμμα; Μειώνουμε συνολικά τον κίνδυνο;
3. Επαναξιολογήστε τακτικά
Δεδομένου ότι τα τρωτά σημεία και οι μέθοδοι επίθεσης αλλάζουν πάντα, οι ηγέτες ασφαλείας θα πρέπει να συζητούν τακτικά με την ευρύτερη επιχείρηση για να επανεκτιμήσουν την όρεξη για κινδύνους και τις πολιτικές ασφάλειας. Τουλάχιστον, αυτό θα πρέπει να γίνεται ετησίως. Επαναξιολογήστε εάν οι στόχοι ευθυγραμμίζονται με τους γνωστούς κινδύνους και την ανοχή κινδύνου και λάβετε συνειδητές αποφάσεις σχετικά με τους συμβιβασμούς.
Για παράδειγμα, μπορείτε να προσδιορίσετε ότι είναι εφικτό να αντιμετωπιστεί το 85% των κρίσιμων τρωτών σημείων εντός 10 ημερών. Για να φτάσετε στο 90%, X ποσό πόρων, εκφρασμένο σε όρους όπως χρηματική επένδυση, χρόνος ή άνθρωποι, θα απαιτηθεί. Μπορεί να διαπιστώσετε ότι το 85% είναι ένα αποδεκτό επίπεδο κινδύνου όταν σταθμίζεται με αυτούς τους πρόσθετους πόρους.
Στόχος η πρόοδος, όχι η τελειότητα
Οι αποφάσεις σχετικά με τον κίνδυνο δεν πρέπει να λαμβάνονται στο κενό. Αυτός είναι ο λόγος για τον οποίο οι ηγέτες ασφαλείας πρέπει να τα έχουν αυτά συνομιλίες με άλλους επιχειρηματίες και το διοικητικό συμβούλιο. Η ουσία: Η τελειότητα σπάνια επιτυγχάνεται σε αυτόν τον κλάδο και το να στοχεύεις σε αυτό το απόλυτο μπορεί να κάνει περισσότερο κακό παρά καλό. Αντίθετα, επικεντρωθείτε στην πρόοδο. Θέστε ρεαλιστικούς στόχους, κάντε μικρά βήματα για να φτάσετε εκεί και συνεχίστε να ανεβάζετε τον πήχη μέχρι να φτάσετε στο βέλτιστο επίπεδο μετριασμού του κινδύνου.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 1
- 10
- 7
- 95%
- a
- Σχετικα
- Απόλυτος
- αποδεκτό
- πρόσβαση
- κατορθωτός
- Κατορθώνω
- Πρόσθετος
- διεύθυνση
- απευθύνεται
- διευθυνσιοδότηση
- κατά
- στοχεύουν
- Στοχεύω
- στόχοι
- ευθυγραμμισμένος
- Όλα
- πάντοτε
- ποσό
- an
- και
- Ετησίως
- Άλλος
- όρεξη
- ΕΙΝΑΙ
- ΠΕΡΙΟΧΗ
- περιοχές
- AS
- ζητώντας
- εκτίμηση
- αξιολογήσεις
- υπόθεση
- At
- επίθεση
- Επιθέσεις
- διαθεσιμότητα
- πίσω
- μπαρ
- βασίζονται
- BE
- επειδή
- πριν
- Καλύτερα
- Μεγάλος
- μεγαλύτερος
- Μεγαλύτερη
- Κάτω μέρος
- ευρύτερη
- επιχείρηση
- Επιχειρηματικοί ηγέτες
- επιχειρήσεις
- αλλά
- by
- CAN
- ορισμένες
- αλλαγή
- Κλεισιμο
- άνετος
- συνήθως
- εμπιστευτικότητα
- συνειδητός
- συνεχώς
- συμφραζόμενα
- Συνομιλία
- θα μπορούσε να
- κρίσιμης
- Ημ.
- Αποφασίζοντας
- αποφάσεις
- θεωρείται
- ορίζεται
- καθέκαστα
- Προσδιορίστε
- κατεύθυνση
- συζητήσεις
- do
- doesn
- γίνεται
- εύκολος
- αλλού
- τέλος
- Even
- πάντα
- παράδειγμα
- στελέχη
- εξέφρασε την
- Αποτυχία
- λίγοι
- Εύρεση
- εύκαμπτος
- Συγκέντρωση
- Για
- από
- χάσμα
- παίρνω
- Δώστε
- γκολ
- Στόχοι
- καλός
- καθοδήγηση
- βλάψει
- Έχω
- εδώ
- υψηλού κινδύνου
- Επιτυχία
- κρατήστε
- HTTPS
- Επίπτωση
- σημαντικό
- αδύνατος
- βελτίωση
- in
- οριακό
- βιομηχανία
- παράδειγμα
- αντί
- ακεραιότητα
- επένδυση
- IT
- ΤΟΥ
- jpg
- άλμα
- μόλις
- Διατήρηση
- γνωστός
- Επίθετο
- ηγέτες
- Επίπεδο
- ψέμα
- Μου αρέσει
- γραμμή
- ll
- ματιά
- ΦΑΊΝΕΤΑΙ
- χάνουν
- να χάσει
- έχασε
- που
- κάνω
- ΚΑΝΕΙ
- Κατασκευή
- Ενδέχεται..
- εννοώ
- μέτρο
- μετρήσεις
- μέτρησης
- μέθοδοι
- Metrics
- ελάχιστος
- ελάχιστο
- χάσετε
- μείωση
- περισσότερο
- κίνηση
- πρέπει
- Ανάγκη
- ανάγκες
- επόμενη
- Όχι.
- αριθμός
- of
- συχνά
- on
- ONE
- Ευκαιρίες
- βέλτιστη
- or
- επιχειρήσεις
- ΑΛΛΑ
- δικός μας
- φόρμες
- διανυκτέρευση
- μέρος
- Διόρθωση
- People
- τελειότητα
- Εκτελέστε
- εικόνα
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παιχνίδι
- σημεία
- Πολιτικές
- πολιτική
- δυνατός
- Πρόβλημα
- Πρόγραμμα
- Προγράμματα
- Πρόοδος
- τριμηνιαίος
- Ερωτήσεις
- αύξηση
- σπανίως
- RE
- φθάσει
- ρεαλιστικός
- μείωση
- επαναξιολογώ
- τακτικά
- σχετικής
- εκπροσωπώ
- απαιτείται
- Υποστηρικτικό υλικό
- αξιολόγηση
- δεξιά
- Κίνδυνος
- όρεξη κινδύνου
- εκτίμηση του κινδύνου
- κινδύνους
- s
- λένε
- ασφάλεια
- πολιτικές ασφάλειας
- κινδύνους ασφάλειας
- σειρά
- τον καθορισμό
- θα πρέπει να
- Θέαμα
- small
- So
- Χώρος
- ξοδεύει
- πέρασε
- πρότυπο
- στατικός
- πηδαλιούχηση
- Βήμα
- Βήματα
- στάση
- προσπαθώ
- συστήματα
- Πάρτε
- στόχος
- ομάδες
- όροι
- από
- ότι
- Η
- Εκεί.
- Αυτοί
- αυτοί
- αυτό
- εκείνοι
- τρία
- κερκίδα
- Βαθμίδα Ένα
- ώρα
- προς την
- ανοχή
- Σύνολο
- προσπαθώντας
- τύποι
- καταλαβαίνω
- κατανόηση
- μέχρι
- Χρήστες
- Κενό
- Ve
- Εναντίον
- Θέματα ευπάθειας
- ευπάθεια
- we
- ΛΟΙΠΌΝ
- ήταν
- παλαβό-a-mole
- Τι
- πότε
- αν
- Ποιό
- ενώ
- WHY
- θα
- με
- εντός
- αξία
- θα
- Εσείς
- Σας
- zephyrnet
- μηδέν