زمان آن رسیده است که سنجش امنیت را در حالت مطلق متوقف کنیم

نظر

زمینه و معیارهایی که ارزیابی های ریسک را هدایت می کنند دائماً در حال تغییر هستند، و همچنین درک ما از اینکه پیشرفت به عنوان یک تیم امنیتی چگونه به نظر می رسد، تغییر می کند. اندازه گیری همه چیز ممکن نیست و فقط به این دلیل که می توانید اندازه گیری کنید به این معنی نیست که مهم است. این امر گم شدن در جزئیات و از دست دادن تصویر بزرگتر را آسان می کند: آیا ما به طور جهت دار در حال بهبود هستیم؟

بخش بزرگی از مشکل، خط مشی امنیتی استاندارد است، که هدف آن کمال و نادیده گرفتن اهداف دست یافتنی است. در صنعت ما سیاست‌هایی داریم که می‌گویند، برای مثال، «تمام آسیب‌پذیری‌های پرخطر باید ظرف 10 روز برطرف شوند» یا «تمام دسترسی کاربران باید هر سه ماه یکبار بررسی شود». فرض بر این است که شما 100% تلاش خواهید کرد، بدون هیچ صحبتی در مورد اینکه آیا این امر قابل دستیابی است و چه منابعی برای رسیدن به آن هدف مورد نیاز است.

معمولاً یک تیم امنیتی در 70 درصد مواقع به آن هدف ضربه می زند که شکست خورده تلقی می شود. یک تیم اغلب تعداد زیادی از منابع را صرف تلاش برای پر کردن شکاف می کند، به عنوان مثال، با پرداختن به 70٪ از آسیب پذیری های مهم و هدف سیاست 100٪. آنها ممکن است در نهایت منابع را برای رسیدن به کمال تحت فشار قرار دهند، در حالی که این منابع می توانند بهتر در جای دیگری خرج شوند.

به عنوان یک صنعت، ما باید یک گام به عقب برداریم و سیاست ها و معیارهای هدایت کننده برنامه هایمان را دوباره ارزیابی کنیم و تصمیم بگیریم که آیا آنها واقع بینانه هستند و آیا حتی اندازه گیری های درستی هستند یا خیر. در اینجا سه ​​مرحله برای رسیدن به این هدف وجود دارد.

1. اشتهای ریسک خود را تعیین کنید

دستیابی به کمال در همه زمینه های ریسک غیرممکن است. تیم‌های امنیتی می‌توانند در نهایت به بازی‌های ضربتی بپردازند و تمرکز خود را روی خطرات ظریف‌تر از دست بدهند. نیاز به یک گفتگو در سطح کسب و کار وجود دارد تا مشخص شود که بزرگترین خطرات امنیتی سازمان در کجا نهفته است و منابع را در کجا تخصیص می دهد، و همچنین زمینه هایی که مدیران آن با سطح مشخصی از ریسک راحت هستند. برای مثال، آسیب‌پذیری حیاتی مانند MOVEit می‌تواند نشان‌دهنده ریسک قابل قبولی در یک حوزه از یک کسب‌وکار باشد، اما نه در حوزه‌ای دیگر که دارای سیستم‌های سطح یک با محدودیت صفر تا حداقل برای تأثیر بر کسب‌وکار است. سه گانه سیا محرمانه بودن، یکپارچگی و در دسترس بودن ببینید بزرگترین آسیب‌پذیری‌ها در صنعت شما کجاست و انواع حملاتی که معمولاً کسب‌وکارهای فضای شما را هدف قرار می‌دهند تا ارزیابی ریسک انجام دهند.

2. اهداف انعطاف پذیر و قابل دستیابی را تعیین کنید

گام بعدی این است که بر اساس ارزیابی ریسک خود، سیاست های امنیتی قابل دستیابی را تنظیم کنید که بر پیشرفت تدریجی تمرکز دارند. شما نمی توانید یک شبه از اصلاح 50 درصد آسیب پذیری ها به 95 درصد بپرید. این مهم است که منابعی را که برای رسیدن به هدفتان نیاز است و اینکه چه فرصت هایی را با هدف گذاری کل پچ در مقابل 85 درصد از دست خواهید داد، مهم است. شاید ارزش سرمایه گذاری برای بستن آن چند نقطه آخر را نداشته باشد.

به جای تعیین یک هدف ثابت و هدف برای کمال، بر بهبود برنامه نسبت به جایی که قبلا بودید تمرکز کنید. سوالاتی که باید بپرسید عبارتند از: آیا ما در مسیر درستی حرکت می کنیم؟ آیا برنامه در حال بهبود است؟ آیا به طور کلی ریسک را کاهش می دهیم؟

3. به طور منظم ارزیابی مجدد کنید

از آنجایی که آسیب‌پذیری‌ها و روش‌های حمله همیشه در حال تغییر هستند، رهبران امنیتی باید به طور منظم با کسب‌وکارهای گسترده‌تر گفتگو کنند تا ریسک‌پذیری و سیاست‌های امنیتی را دوباره ارزیابی کنند. حداقل این کار باید سالانه انجام شود. مجدداً ارزیابی کنید که آیا اهداف با ریسک های شناخته شده و تحمل ریسک همسو هستند یا خیر، و تصمیمات آگاهانه در مورد معاوضه ها بگیرید.

برای مثال، ممکن است تشخیص دهید که رفع 85 درصد از آسیب‌پذیری‌های حیاتی ظرف 10 روز امکان‌پذیر است. برای رسیدن به 90% X مقدار منابع، بیان شده در عباراتی مانند سرمایه گذاری پولی، زمان یا افراد، لازم خواهد بود. ممکن است وقتی با آن منابع اضافی سنجیده می‌شوید، 85 درصد سطح ریسک قابل قبولی است.

هدف پیشرفت، نه کمال

تصمیم گیری در مورد ریسک نباید در خلأ گرفته شود. به همین دلیل است که رهبران امنیتی باید اینها را داشته باشند گفتگو با دیگر رهبران کسب و کار و هیئت مدیره. نکته پایانی: کمال به ندرت در این صنعت قابل دستیابی است، و هدف گذاری برای آن مطلق می تواند بیشتر از اینکه مفید باشد، ضرر دارد. در عوض، روی پیشرفت تمرکز کنید. اهداف واقع بینانه را تعیین کنید، گام های کوچکی برای رسیدن به آن بردارید و تا زمانی که به سطح بهینه کاهش ریسک برسید به بالا بردن سطح آن ادامه دهید.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes