Il est temps d'arrêter de mesurer la sécurité en termes absolus

COMMENTAIRE

Le contexte et les indicateurs guidant les évaluations des risques changent constamment, tout comme notre compréhension de ce à quoi ressemblent les progrès en tant qu'équipe de sécurité. Il n’est pas possible de tout mesurer, et ce n’est pas parce que vous pouvez le mesurer que c’est important. Il est alors facile de se perdre dans les détails et de passer à côté de la situation dans son ensemble : sommes-nous en train de nous améliorer de manière directionnelle ?

Une grande partie du problème réside dans la politique de sécurité standard, qui vise la perfection tout en perdant de vue les objectifs réalisables. Dans notre secteur, nous avons des politiques qui stipulent, par exemple, que « toutes les vulnérabilités à haut risque doivent être corrigées dans un délai de 10 jours » ou que « tous les accès des utilisateurs doivent être révisés tous les trimestres ». L’hypothèse est que vous vous efforcerez d’atteindre 100 %, sans aucune discussion sur la question de savoir si cela est réalisable et quelles ressources seraient nécessaires pour atteindre cet objectif.

Habituellement, une équipe de sécurité atteint cet objectif dans 70 % des cas, ce qui est considéré comme un échec. Une équipe consacre souvent un nombre considérable de ressources à tenter de combler l'écart, par exemple en s'attaquant à ces 70 % de vulnérabilités critiques et à l'objectif de 100 % de la politique. Ils peuvent finir par épuiser leurs ressources pour viser la perfection alors que ces ressources pourraient être mieux dépensées ailleurs.

En tant qu'industrie, nous devons prendre du recul et réévaluer les politiques et les paramètres qui guident nos programmes, en décidant s'ils sont réalistes et s'ils constituent même les bonnes mesures. Voici trois étapes à suivre pour y parvenir.

1. Déterminez votre appétit pour le risque

Il est impossible d'atteindre la perfection dans tous les domaines de risque. Les équipes de sécurité peuvent finir par jouer à la taupe et perdre leur concentration sur des risques plus subtils. Il est nécessaire d'engager une conversation au niveau de l'entreprise pour définir où se situent les plus grands risques de sécurité de l'organisation et où consacrer les ressources, ainsi que les domaines dans lesquels les dirigeants sont à l'aise avec un certain niveau de risque. Une vulnérabilité critique comme MOVEit, par exemple, pourrait représenter un risque acceptable dans un domaine d'une entreprise, mais pas dans un autre domaine doté de systèmes de premier niveau avec une tolérance nulle ou minimale pour un impact sur le système. triade de la CIA de confidentialité, d’intégrité et de disponibilité. Examinez où se situent les plus grandes vulnérabilités au sein de votre secteur et les types d'attaques qui ciblent généralement les entreprises de votre secteur pour effectuer une évaluation des risques.

2. Fixez-vous des objectifs flexibles et réalisables

L'étape suivante consiste à définir des politiques de sécurité réalisables, basées sur votre évaluation des risques, axées sur des progrès progressifs. Vous ne pouvez pas passer de la correction de 50 % des vulnérabilités à 95 % du jour au lendemain. Il est important de comprendre les ressources nécessaires pour atteindre votre objectif et les opportunités auxquelles vous renoncerez en visant un correctif total plutôt que 85 %. Cela ne vaut peut-être pas la peine d’investir pour clôturer ces derniers points.

Au lieu de vous fixer un objectif statique et de viser la perfection, concentrez-vous sur l’amélioration du programme par rapport à ce que vous étiez auparavant. Les questions que vous devriez vous poser sont les suivantes : allons-nous dans la bonne direction ? Le programme s'améliore-t-il ? Réduisons-nous globalement les risques ?

3. Réévaluer régulièrement

Étant donné que les vulnérabilités et les méthodes d’attaque évoluent constamment, les responsables de la sécurité doivent tenir régulièrement des discussions avec l’ensemble de l’entreprise pour réévaluer l’appétit pour le risque et les politiques de sécurité. Au minimum, cela devrait être fait chaque année. Réévaluez si les objectifs sont alignés sur les risques connus et la tolérance au risque, et prenez des décisions conscientes concernant les compromis.

Par exemple, vous pouvez déterminer qu'il est possible de corriger 85 % des vulnérabilités critiques en 10 jours. Pour arriver à 90%, X quantité de ressources, exprimée en termes tels que investissement monétaire, temps ou personnes, sera requis. Vous constaterez peut-être que 85 % constitue un niveau de risque acceptable par rapport à ces ressources supplémentaires.

Visez le progrès, pas la perfection

Les décisions concernant les risques ne doivent pas être prises en vase clos. C'est pourquoi les responsables de la sécurité doivent disposer de ces conversations avec d’autres chefs d’entreprise et le conseil d’administration. En fin de compte : la perfection est rarement réalisable dans ce secteur, et viser cet absolu peut faire plus de mal que de bien. Concentrez-vous plutôt sur les progrès. Fixez-vous des objectifs réalistes, faites de petits pas pour y arriver et continuez à relever la barre jusqu'à ce que vous ayez atteint le niveau optimal d'atténuation des risques.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes