نظر
زمینه و معیارهایی که ارزیابی های ریسک را هدایت می کنند دائماً در حال تغییر هستند، و همچنین درک ما از اینکه پیشرفت به عنوان یک تیم امنیتی چگونه به نظر می رسد، تغییر می کند. اندازه گیری همه چیز ممکن نیست و فقط به این دلیل که می توانید اندازه گیری کنید به این معنی نیست که مهم است. این امر گم شدن در جزئیات و از دست دادن تصویر بزرگتر را آسان می کند: آیا ما به طور جهت دار در حال بهبود هستیم؟
بخش بزرگی از مشکل، خط مشی امنیتی استاندارد است، که هدف آن کمال و نادیده گرفتن اهداف دست یافتنی است. در صنعت ما سیاستهایی داریم که میگویند، برای مثال، «تمام آسیبپذیریهای پرخطر باید ظرف 10 روز برطرف شوند» یا «تمام دسترسی کاربران باید هر سه ماه یکبار بررسی شود». فرض بر این است که شما 100% تلاش خواهید کرد، بدون هیچ صحبتی در مورد اینکه آیا این امر قابل دستیابی است و چه منابعی برای رسیدن به آن هدف مورد نیاز است.
معمولاً یک تیم امنیتی در 70 درصد مواقع به آن هدف ضربه می زند که شکست خورده تلقی می شود. یک تیم اغلب تعداد زیادی از منابع را صرف تلاش برای پر کردن شکاف می کند، به عنوان مثال، با پرداختن به 70٪ از آسیب پذیری های مهم و هدف سیاست 100٪. آنها ممکن است در نهایت منابع را برای رسیدن به کمال تحت فشار قرار دهند، در حالی که این منابع می توانند بهتر در جای دیگری خرج شوند.
به عنوان یک صنعت، ما باید یک گام به عقب برداریم و سیاست ها و معیارهای هدایت کننده برنامه هایمان را دوباره ارزیابی کنیم و تصمیم بگیریم که آیا آنها واقع بینانه هستند و آیا حتی اندازه گیری های درستی هستند یا خیر. در اینجا سه مرحله برای رسیدن به این هدف وجود دارد.
1. اشتهای ریسک خود را تعیین کنید
دستیابی به کمال در همه زمینه های ریسک غیرممکن است. تیمهای امنیتی میتوانند در نهایت به بازیهای ضربتی بپردازند و تمرکز خود را روی خطرات ظریفتر از دست بدهند. نیاز به یک گفتگو در سطح کسب و کار وجود دارد تا مشخص شود که بزرگترین خطرات امنیتی سازمان در کجا نهفته است و منابع را در کجا تخصیص می دهد، و همچنین زمینه هایی که مدیران آن با سطح مشخصی از ریسک راحت هستند. برای مثال، آسیبپذیری حیاتی مانند MOVEit میتواند نشاندهنده ریسک قابل قبولی در یک حوزه از یک کسبوکار باشد، اما نه در حوزهای دیگر که دارای سیستمهای سطح یک با محدودیت صفر تا حداقل برای تأثیر بر کسبوکار است. سه گانه سیا محرمانه بودن، یکپارچگی و در دسترس بودن ببینید بزرگترین آسیبپذیریها در صنعت شما کجاست و انواع حملاتی که معمولاً کسبوکارهای فضای شما را هدف قرار میدهند تا ارزیابی ریسک انجام دهند.
2. اهداف انعطاف پذیر و قابل دستیابی را تعیین کنید
گام بعدی این است که بر اساس ارزیابی ریسک خود، سیاست های امنیتی قابل دستیابی را تنظیم کنید که بر پیشرفت تدریجی تمرکز دارند. شما نمی توانید یک شبه از اصلاح 50 درصد آسیب پذیری ها به 95 درصد بپرید. این مهم است که منابعی را که برای رسیدن به هدفتان نیاز است و اینکه چه فرصت هایی را با هدف گذاری کل پچ در مقابل 85 درصد از دست خواهید داد، مهم است. شاید ارزش سرمایه گذاری برای بستن آن چند نقطه آخر را نداشته باشد.
به جای تعیین یک هدف ثابت و هدف برای کمال، بر بهبود برنامه نسبت به جایی که قبلا بودید تمرکز کنید. سوالاتی که باید بپرسید عبارتند از: آیا ما در مسیر درستی حرکت می کنیم؟ آیا برنامه در حال بهبود است؟ آیا به طور کلی ریسک را کاهش می دهیم؟
3. به طور منظم ارزیابی مجدد کنید
از آنجایی که آسیبپذیریها و روشهای حمله همیشه در حال تغییر هستند، رهبران امنیتی باید به طور منظم با کسبوکارهای گستردهتر گفتگو کنند تا ریسکپذیری و سیاستهای امنیتی را دوباره ارزیابی کنند. حداقل این کار باید سالانه انجام شود. مجدداً ارزیابی کنید که آیا اهداف با ریسک های شناخته شده و تحمل ریسک همسو هستند یا خیر، و تصمیمات آگاهانه در مورد معاوضه ها بگیرید.
برای مثال، ممکن است تشخیص دهید که رفع 85 درصد از آسیبپذیریهای حیاتی ظرف 10 روز امکانپذیر است. برای رسیدن به 90% X مقدار منابع، بیان شده در عباراتی مانند سرمایه گذاری پولی، زمان یا افراد، لازم خواهد بود. ممکن است وقتی با آن منابع اضافی سنجیده میشوید، 85 درصد سطح ریسک قابل قبولی است.
هدف پیشرفت، نه کمال
تصمیم گیری در مورد ریسک نباید در خلأ گرفته شود. به همین دلیل است که رهبران امنیتی باید اینها را داشته باشند گفتگو با دیگر رهبران کسب و کار و هیئت مدیره. نکته پایانی: کمال به ندرت در این صنعت قابل دستیابی است، و هدف گذاری برای آن مطلق می تواند بیشتر از اینکه مفید باشد، ضرر دارد. در عوض، روی پیشرفت تمرکز کنید. اهداف واقع بینانه را تعیین کنید، گام های کوچکی برای رسیدن به آن بردارید و تا زمانی که به سطح بهینه کاهش ریسک برسید به بالا بردن سطح آن ادامه دهید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- 10
- 7
- ٪۱۰۰
- a
- درباره ما
- مطلق
- قابل قبول
- دسترسی
- قابل دستیابی است
- رسیدن
- اضافی
- نشانی
- خطاب
- خطاب به
- در برابر
- هدف
- هدف
- اهداف
- هم راستا
- معرفی
- همیشه
- مقدار
- an
- و
- سالانه
- دیگر
- اشتها
- هستند
- محدوده
- مناطق
- AS
- خواهان
- ارزیابی
- ارزیابی ها
- فرض
- At
- حمله
- حمله
- دسترس پذیری
- به عقب
- بار
- مستقر
- BE
- زیرا
- قبل از
- بهتر
- بزرگ
- بزرگتر
- بزرگترین
- پایین
- گسترده تر
- کسب و کار
- رهبران مشاغل
- کسب و کار
- اما
- by
- CAN
- معین
- متغیر
- نزدیک
- راحت
- عموما
- محرمانه بودن
- هوشیار
- به طور مداوم
- زمینه
- گفتگو
- میتوانست
- بحرانی
- روز
- تصمیم گیری
- تصمیم گیری
- تلقی می شود
- تعريف كردن
- جزئیات
- مشخص کردن
- جهت
- بحث و گفتگو
- do
- ندارد
- انجام شده
- ساده
- در جای دیگر
- پایان
- حتی
- همه چیز
- مثال
- مدیران
- بیان
- شکست
- کمی از
- پیدا کردن
- قابل انعطاف
- تمرکز
- برای
- از جانب
- شکاف
- دریافت کنید
- دادن
- هدف
- اهداف
- خوب
- راهنمایی
- صدمه
- آیا
- اینجا کلیک نمایید
- ریسک بالا
- اصابت
- نگه داشتن
- HTTPS
- تأثیر
- مهم
- غیر ممکن
- بهبود
- in
- افزایشی
- صنعت
- نمونه
- در عوض
- تمامیت
- سرمایه گذاری
- IT
- ITS
- JPG
- پرش
- تنها
- نگاه داشتن
- شناخته شده
- نام
- رهبران
- سطح
- دروغ
- پسندیدن
- لاین
- ll
- نگاه کنيد
- مطالب
- از دست دادن
- شکست
- از دست رفته
- ساخته
- ساخت
- باعث می شود
- ساخت
- ممکن است..
- متوسط
- اندازه
- اندازه گیری
- اندازه گیری
- روش
- متریک
- حداقل
- حد اقل
- از دست
- کاهش
- بیش
- متحرک
- باید
- نیاز
- نیازهای
- بعد
- نه
- عدد
- of
- غالبا
- on
- ONE
- فرصت ها
- بهینه
- or
- کدام سازمان ها
- دیگر
- ما
- به طور کلی
- شبانه
- بخش
- پچ کردن
- مردم
- کمال
- انجام
- تصویر
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- نقطه
- سیاست
- سیاست
- ممکن
- مشکل
- برنامه
- برنامه ها
- پیشرفت
- سه ماهه
- سوالات
- بالا بردن
- به ندرت
- RE
- رسیده
- واقع بینانه
- کاهش
- تجدید ارزیابی
- به طور منظم
- نسبی
- نشان دادن
- ضروری
- منابع
- بررسی
- راست
- خطر
- اشتهای خطرناک
- ارزیابی ریسک
- خطرات
- s
- گفتن
- تیم امنیت لاتاری
- سیاست های امنیتی
- خطرات امنیتی
- تنظیم
- محیط
- باید
- منظره
- کوچک
- So
- فضا
- صرف می کند
- صرف
- استاندارد
- ایستا
- فرمان
- گام
- مراحل
- توقف
- تلاش
- سیستم های
- گرفتن
- هدف
- تیم
- تیم ها
- قوانین و مقررات
- نسبت به
- که
- La
- آنجا.
- اینها
- آنها
- این
- کسانی که
- سه
- ردیف
- ردیف یک
- زمان
- به
- تحمل
- جمع
- تلاش
- انواع
- فهمیدن
- درک
- تا
- کاربر
- خلاء
- Ve
- در مقابل
- آسیب پذیری ها
- آسیب پذیری
- we
- خوب
- بود
- ضربت سخت زدن
- چی
- چه زمانی
- چه
- که
- در حین
- چرا
- اراده
- با
- در داخل
- با ارزش
- خواهد بود
- شما
- شما
- زفیرنت
- صفر