On aika lopettaa turvallisuuden mittaaminen absoluuttisesti

KOMMENTIT

Riskinarviointia ohjaavat konteksti ja mittarit muuttuvat jatkuvasti, samoin kuin ymmärryksemme siitä, miltä tietoturvatiimin edistyminen näyttää. Kaikkea ei voi mitata, ja se, että osaat mitata, ei tarkoita, että se olisi tärkeää. Tämän ansiosta on helppo eksyä yksityiskohtiin ja missata isompi kuva: Olemmeko parannuksissa?

Suuri osa ongelmaa on standardi turvallisuuspolitiikka, joka tähtää täydellisyyteen unohtaen samalla saavutettavissa olevat tavoitteet. Toimialallamme on käytäntöjä, joiden mukaan "kaikki riskialttiit haavoittuvuudet on korjattava 10 päivän kuluessa" tai "kaikki käyttäjien käyttöoikeudet on tarkistettava neljännesvuosittain". Oletuksena on, että pyrit 100 %:iin ilman keskustelua siitä, onko tämä saavutettavissa ja mitä resursseja vaadittaisiin tavoitteen saavuttamiseksi.

Yleensä turvallisuustiimi osuu tähän tavoitteeseen 70 % ajasta, mikä katsotaan epäonnistuneeksi. Tiimi käyttää usein liian suuren määrän resursseja yrittääkseen kuroa umpeen, esimerkiksi korjaamalla 70 % kriittisistä haavoittuvuuksista ja politiikan tavoitteen 100 %. Ne voivat päätyä rasittamaan resursseja pyrkiäkseen täydellisyyteen, kun nämä resurssit voitaisiin käyttää paremmin muualle.

Toimialana meidän on otettava askel taaksepäin ja arvioitava uudelleen ohjelmiamme ohjaavia käytäntöjä ja mittareita ja päätettävä, ovatko ne realistisia ja ovatko ne edes oikeita mittareita. Tässä on kolme vaihetta tämän saavuttamiseksi.

1. Määritä riskinottohalusi

On mahdotonta saavuttaa täydellisyyttä kaikilla riskialueilla. Turvatiimit voivat päätyä pelaamaan huijausta ja menettää huomionsa hienovaraisempiin riskeihin. Yrityksen tasolla on käytävä keskustelua sen määrittämiseksi, missä organisaation suurimmat turvallisuusriskit piilevät ja mihin resursseja kohdennetaan, sekä alueet, joilla sen johtajat ovat tyytyväisiä tiettyyn riskitasoon. Esimerkiksi MOVEitin kaltainen kriittinen haavoittuvuus voi edustaa hyväksyttävää riskiä yhdellä liiketoiminta-alueella, mutta ei toisella alueella, jolla on ykköstason järjestelmät, joiden vaikutus on nollasta minimiin. CIA-kolmio luottamuksellisuutta, eheyttä ja saatavuutta. Suorita riskiarviointi tarkastelemalla, missä toimialasi suurimmat haavoittuvuudet piilevät, ja millaisia ​​hyökkäyksiä yleensä kohdistetaan alueellasi oleviin yrityksiin.

2. Aseta joustavia, saavutettavissa olevia tavoitteita

Seuraava vaihe on riskiarvioihisi perustuvien saavutettavissa olevien suojauskäytäntöjen asettaminen, jotka keskittyvät asteittaiseen edistymiseen. Et voi hypätä 50 prosentin haavoittuvuuksien korjaamisesta 95 prosenttiin yhdessä yössä. On tärkeää ymmärtää, millaisia ​​resursseja tavoitteesi saavuttaminen vaatii ja mistä mahdollisuuksista luovut pyrkimällä 85 %:iin verrattuna. Näiden viimeisten kohtien sulkemiseen ei ehkä kannata sijoittaa.

Sen sijaan, että asettaisit staattisen tavoitteen ja tähtäät täydellisyyteen, keskity ohjelman parantamiseen verrattuna siihen, missä olit aiemmin. Kysymykset, joita sinun pitäisi kysyä, ovat: Olemmeko menossa oikeaan suuntaan? Paraneeko ohjelma? Vähennämmekö riskiä kokonaisuutena?

3. Arvioi uudelleen säännöllisesti

Koska haavoittuvuudet ja hyökkäysmenetelmät muuttuvat jatkuvasti, tietoturvajohtajien tulisi käydä säännöllisesti keskusteluja laajemman yrityksen kanssa arvioidakseen uudelleen riskinottohalua ja turvallisuuspolitiikkaa. Tämä tulisi tehdä vähintään vuosittain. Arvioi uudelleen, ovatko tavoitteet linjassa tunnettujen riskien ja riskinsietokyvyn kanssa, ja tee tietoisia kompromisseja koskevia päätöksiä.

Voit esimerkiksi määrittää, että 85 % kriittisistä haavoittuvuuksista voidaan korjata 10 päivän kuluessa. Saadaksesi 90 % X resurssien määrä ilmaistuna esim rahallinen investointi, aika tai ihmiset, vaaditaan. Saatat löytää 85 %:n olevan hyväksyttävä riskitaso, kun sitä verrataan näihin lisäresursseihin.

Tavoittele edistystä, ei täydellisyyttä

Riskiä koskevia päätöksiä ei pidä tehdä tyhjiössä. Siksi turvallisuusjohtajilla on oltava nämä keskustelut muiden yritysjohtajien ja hallituksen kanssa. Lopputulos: Täydellisyys on harvoin saavutettavissa tällä alalla, ja siihen pyrkiminen voi aiheuttaa enemmän haittaa kuin hyötyä. Keskity sen sijaan edistymiseen. Aseta realistisia tavoitteita, ota pienin askelin päästäksesi niihin ja nosta rimaa, kunnes olet saavuttanut optimaalisen riskinhallintatason.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes