Es hora de dejar de medir la seguridad en términos absolutos

COMENTARIO

El contexto y las métricas que guían las evaluaciones de riesgos cambian constantemente, al igual que nuestra comprensión de cómo se ve el progreso como equipo de seguridad. No es posible medirlo todo y el hecho de que puedas medirlo no significa que sea importante. Esto hace que sea fácil perderse en los detalles y perderse el panorama general: ¿estamos mejorando direccionalmente?

Gran parte del problema es la política de seguridad estándar, que apunta a la perfección pero pierde de vista los objetivos alcanzables. En nuestra industria tenemos políticas que dicen, por ejemplo, "todas las vulnerabilidades de alto riesgo deben abordarse en un plazo de 10 días" o "todo el acceso de los usuarios debe revisarse trimestralmente". La suposición es que usted se esforzará por alcanzar el 100%, sin conversar sobre si esto es alcanzable y qué recursos se necesitarían para alcanzar ese objetivo.

Por lo general, un equipo de seguridad alcanzará ese objetivo el 70 % de las veces, lo que se considera un fracaso. Un equipo a menudo gasta una gran cantidad de recursos tratando de cerrar la brecha, por ejemplo, abordando ese 70% de las vulnerabilidades críticas y el objetivo de la política del 100%. Pueden terminar agotando los recursos para aspirar a la perfección cuando esos recursos podrían gastarse mejor en otra cosa.

Como industria, debemos dar un paso atrás y reevaluar las políticas y métricas que rigen nuestros programas, decidiendo si son realistas e incluso si son las medidas correctas. Aquí hay tres pasos a seguir para lograrlo.

1. Determine su apetito por el riesgo

Es imposible alcanzar la perfección en todas las áreas de riesgo. Los equipos de seguridad pueden terminar jugando al topo y perder el foco en riesgos más sutiles. Es necesario que haya una conversación a nivel empresarial para definir dónde se encuentran los mayores riesgos de seguridad de la organización y dónde dedicar recursos, así como áreas en las que sus ejecutivos se sienten cómodos con un cierto nivel de riesgo. Una vulnerabilidad crítica como MOVEit, por ejemplo, podría representar un riesgo aceptable en un área de una empresa, pero no en otra área que tenga sistemas de nivel uno con una tolerancia mínima o nula para un impacto en el negocio. tríada de la CIA de confidencialidad, integridad y disponibilidad. Observe dónde se encuentran las mayores vulnerabilidades dentro de su industria y los tipos de ataques que comúnmente se dirigen a las empresas en su espacio para realizar una evaluación de riesgos.

2. Establezca objetivos flexibles y alcanzables

El siguiente paso es establecer políticas de seguridad alcanzables, basadas en su evaluación de riesgos, que se centren en el progreso incremental. No se puede pasar de parchear el 50% de las vulnerabilidades al 95% de la noche a la mañana. Es importante comprender los recursos que se necesitarán para alcanzar su objetivo y qué oportunidades perderá si aspira a un parche total frente al 85 %. Puede que no valga la pena la inversión para cerrar esos últimos puntos.

En lugar de establecer una meta estática y aspirar a la perfección, concéntrese en mejorar el programa en relación con el nivel anterior. Las preguntas que debería hacerse son: ¿Estamos avanzando en la dirección correcta? ¿Está mejorando el programa? ¿Estamos reduciendo el riesgo en general?

3. Reevalúe regularmente

Dado que las vulnerabilidades y los métodos de ataque siempre cambian, los líderes de seguridad deben mantener conversaciones periódicas con la empresa en general para reevaluar el apetito por el riesgo y las políticas de seguridad. Como mínimo, esto debería hacerse anualmente. Reevaluar si los objetivos están alineados con los riesgos conocidos y la tolerancia al riesgo, y tomar decisiones conscientes sobre las compensaciones.

Por ejemplo, puede determinar que es posible abordar el 85 % de las vulnerabilidades críticas en un plazo de 10 días. Para llegar al 90%, X cantidad de recursos, expresada en términos como inversión monetaria, tiempo o personas, será requerido. Es posible que el 85% sea un nivel de riesgo aceptable si se lo compara con esos recursos adicionales.

Apunte al progreso, no a la perfección

Las decisiones sobre riesgos no deben tomarse en el vacío. Es por eso que los líderes de seguridad deben tener estos conversaciones con otros líderes empresariales y la junta directiva. La conclusión: la perfección rara vez se puede lograr en esta industria, y aspirar a ese nivel absoluto puede hacer más daño que bien. En lugar de eso, concéntrate en progresar. Establezca objetivos realistas, dé pequeños pasos para llegar allí y siga elevando el listón hasta alcanzar el nivel óptimo de mitigación de riesgos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes