On aeg lõpetada turvalisuse mõõtmine absoluutarvudes

MÄRKUSED

Riskihindamist suunav kontekst ja mõõdikud muutuvad pidevalt ning samuti muutuvad meie arusaamad sellest, kuidas turvameeskonna edusammud välja näevad. Kõike pole võimalik mõõta ja see, et saate seda mõõta, ei tähenda, et see on oluline. Nii on lihtne detailidesse eksida ja suuremat pilti kahe silma vahele jätta: kas me teeme suundumusi paremaks?

Suur osa probleemist on standardne turvapoliitika, mille eesmärk on täiuslikkus, jättes samal ajal silmist saavutatavad eesmärgid. Meie valdkonnas kehtivad eeskirjad, mis ütlevad näiteks, et "kõik kõrge riskiga haavatavused tuleb kõrvaldada 10 päeva jooksul" või "kõik kasutajate juurdepääsud tuleb üle vaadata kord kvartalis". Eelduseks on, et püüdlete 100% poole, ilma vestluseta selle üle, kas see on saavutatav ja milliseid ressursse oleks selle eesmärgi saavutamiseks vaja.

Tavaliselt lööb turvameeskond selle eesmärgi 70% ajast, mida peetakse ebaõnnestunuks. Meeskond kulutab sageli liiga palju ressursse, püüdes puudujääki kaotada, näiteks kõrvaldades 70% kriitilistest haavatavustest ja poliitika eesmärgist 100%. Need võivad lõppeda ressursside pingutamisega, et saavutada täiuslikkust, kui neid ressursse saaks mujal paremini kulutada.

Tööstusena peame astuma sammu tagasi ja hindama ümber meie programme juhtivad poliitikad ja mõõdikud, et otsustada, kas need on realistlikud ja kas need on isegi õiged mõõdikud. Siin on kolm sammu, mida selle saavutamiseks teha.

1. Määrake oma riskivalmidus

Kõigis riskivaldkondades on täiuslikkust võimatu saavutada. Turvameeskonnad võivad lõpuks möllata ja kaotada tähelepanu peenematele riskidele. Tuleb pidada äritasandi vestlust, et määratleda, kus peituvad organisatsiooni suurimad turvariskid ja kuhu ressursse pühendada, ning valdkonnad, kus selle juhid on teatud riskitasemega rahul. Näiteks kriitiline haavatavus, nagu MOVEit, võib kujutada endast vastuvõetavat riski ühes ärivaldkonnas, kuid mitte teises valdkonnas, kus on esimese astme süsteemid, mille mõju on nullist kuni miinimumini. CIA kolmik konfidentsiaalsust, terviklikkust ja kättesaadavust. Riskianalüüsi tegemiseks vaadake, kus on teie tööstusharu suurimad haavatavused ja rünnakute tüübid, mis tavaliselt teie piirkonnas asuvaid ettevõtteid sihivad.

2. Seadke paindlikud ja saavutatavad eesmärgid

Järgmine samm on teie riskihinnangu põhjal saavutatavad turbepoliitikad, mis keskenduvad järkjärgulisele edenemisele. Te ei saa hüpata üleöö 50% haavatavuste lappimisest 95% peale. Oluline on mõista, milliseid ressursse kulub eesmärgi saavutamiseks ja millistest võimalustest loobute, kui sihite kogu lappimist võrreldes 85%. Nende viimaste punktide sulgemine ei pruugi olla investeeringut väärt.

Staatilise eesmärgi seadmise ja täiuslikkuse poole püüdlemise asemel keskenduge programmi täiustamisele võrreldes varasemaga. Küsimused, mida peaksite esitama, on järgmised: kas liigume õiges suunas? Kas programm paraneb? Kas me vähendame riske üldiselt?

3. Hinda regulaarselt

Kuna haavatavused ja ründemeetodid muutuvad pidevalt, peaksid turvajuhid pidama regulaarselt arutelusid laiema ettevõttega, et hinnata ümber riskivalmidust ja turvapoliitikat. Seda tuleks teha vähemalt kord aastas. Hinnake uuesti, kas eesmärgid on kooskõlas teadaolevate riskide ja riskitaluvusega, ning tehke kompromisside osas teadlikke otsuseid.

Näiteks võite kindlaks teha, et 85% kriitilistest turvaaukudest on võimalik kõrvaldada 10 päeva jooksul. 90% saavutamiseks X ressursside hulk, väljendatuna nagu rahaline investeering, aeg või inimesed, nõutakse. Nende lisaressurssidega võrreldes võib 85% olla vastuvõetav riskitase.

Eesmärk on progress, mitte täiuslikkus

Riskiotsuseid ei tohiks teha vaakumis. Seetõttu peavad turvajuhtidel need olema vestlused teiste ettevõtete juhtide ja juhatusega. Lõpptulemus: täiuslikkus on selles tööstusharus harva saavutatav ja selle absoluudi poole püüdlemine võib teha rohkem kahju kui kasu. Selle asemel keskenduge edusammudele. Seadke realistlikud eesmärgid, astuge nendeni jõudmiseks väikeste sammudega ja jätkake lati tõstmist, kuni olete saavutanud riskide maandamise optimaalse taseme.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes