टीका
जोखिम मूल्यांकन को निर्देशित करने वाले संदर्भ और मेट्रिक्स लगातार बदल रहे हैं, और सुरक्षा टीम के रूप में प्रगति कैसी दिखती है, इसके बारे में हमारी समझ भी बदल रही है। हर चीज़ को मापना संभव नहीं है, और सिर्फ इसलिए कि आप इसे माप सकते हैं इसका मतलब यह नहीं है कि यह महत्वपूर्ण है। इससे विवरणों में खो जाना और बड़ी तस्वीर से चूकना आसान हो जाता है: क्या हम दिशात्मक रूप से सुधार कर रहे हैं?
समस्या का एक बड़ा हिस्सा मानक सुरक्षा नीति है, जिसका लक्ष्य प्राप्त करने योग्य लक्ष्यों को नज़रअंदाज करते हुए पूर्णता प्राप्त करना है। हमारे उद्योग में हमारी नीतियां हैं जो कहती हैं, उदाहरण के लिए, "सभी उच्च जोखिम वाली कमजोरियों को 10 दिनों के भीतर संबोधित किया जाना चाहिए," या "सभी उपयोगकर्ता पहुंच की त्रैमासिक समीक्षा की जानी चाहिए।" धारणा यह है कि आप 100% के लिए प्रयास करेंगे, इस बारे में कोई बातचीत नहीं होगी कि क्या यह प्राप्त करने योग्य है और उस लक्ष्य को प्राप्त करने के लिए किन संसाधनों की आवश्यकता होगी।
आमतौर पर, एक सुरक्षा टीम 70% समय उस लक्ष्य को प्राप्त कर लेती है, जिसे विफलता माना जाता है। एक टीम अक्सर अंतर को पाटने की कोशिश में बड़ी संख्या में संसाधन खर्च करती है, उदाहरण के लिए, 70% महत्वपूर्ण कमजोरियों और नीति के 100% लक्ष्य को संबोधित करके। वे पूर्णता के लक्ष्य के लिए संसाधनों पर दबाव डाल सकते हैं, जबकि उन संसाधनों को कहीं और बेहतर तरीके से खर्च किया जा सकता है।
एक उद्योग के रूप में, हमें एक कदम पीछे हटने और अपने कार्यक्रमों को संचालित करने वाली नीतियों और मेट्रिक्स का पुनर्मूल्यांकन करने की आवश्यकता है, यह तय करते हुए कि क्या वे यथार्थवादी हैं और क्या वे सही माप भी हैं। इसे प्राप्त करने के लिए यहां तीन चरण दिए गए हैं।
1. अपनी जोखिम उठाने की क्षमता निर्धारित करें
जोखिम के सभी क्षेत्रों में पूर्णता प्राप्त करना असंभव है। सुरक्षा टीमें लापरवाही से काम कर सकती हैं और अधिक सूक्ष्म जोखिमों पर ध्यान केंद्रित करना बंद कर सकती हैं। यह परिभाषित करने के लिए व्यवसाय-स्तरीय बातचीत की आवश्यकता है कि संगठन के सबसे बड़े सुरक्षा जोखिम कहाँ हैं और संसाधनों को कहाँ समर्पित किया जाए, साथ ही ऐसे क्षेत्र जिनमें इसके अधिकारी एक निश्चित स्तर के जोखिम के साथ सहज हैं। उदाहरण के लिए, MOVEit जैसी गंभीर भेद्यता, किसी व्यवसाय के एक क्षेत्र में स्वीकार्य जोखिम का प्रतिनिधित्व कर सकती है, लेकिन किसी अन्य क्षेत्र में नहीं, जिसमें टियर वन सिस्टम है जिसमें प्रभाव के लिए शून्य से न्यूनतम भत्ता होता है। सीआईए त्रय गोपनीयता, अखंडता और उपलब्धता की। देखें कि आपके उद्योग में सबसे बड़ी कमज़ोरियाँ कहाँ हैं और जोखिम मूल्यांकन करने के लिए आपके क्षेत्र में व्यवसायों को लक्षित करने वाले हमलों के प्रकार क्या हैं।
2. लचीले, प्राप्त करने योग्य लक्ष्य निर्धारित करें
अगला कदम आपके जोखिम मूल्यांकन के आधार पर प्राप्त करने योग्य सुरक्षा नीतियां निर्धारित करना है, जो वृद्धिशील प्रगति पर ध्यान केंद्रित करती हैं। आप रातों-रात 50% कमजोरियों को दूर कर 95% तक नहीं पहुँच सकते। यह समझना महत्वपूर्ण है कि आपके लक्ष्य को प्राप्त करने के लिए किन संसाधनों की आवश्यकता होगी और कुल पैचिंग बनाम 85% का लक्ष्य रखकर आप कौन से अवसर छोड़ देंगे। उन अंतिम कुछ बिंदुओं को बंद करना निवेश के लायक नहीं हो सकता है।
एक स्थिर लक्ष्य निर्धारित करने और पूर्णता का लक्ष्य रखने के बजाय, आप पहले जहां थे, उसके सापेक्ष कार्यक्रम में सुधार करने पर ध्यान केंद्रित करें। आपको जो प्रश्न पूछने चाहिए वे हैं: क्या हम सही दिशा में आगे बढ़ रहे हैं? क्या कार्यक्रम में सुधार हो रहा है? क्या हम कुल मिलाकर जोखिम कम कर रहे हैं?
3. नियमित रूप से पुनर्मूल्यांकन करें
चूँकि कमज़ोरियाँ और हमले के तरीके हमेशा बदलते रहते हैं, सुरक्षा नेताओं को जोखिम की भूख और सुरक्षा नीतियों का पुनर्मूल्यांकन करने के लिए व्यापक व्यवसाय के साथ नियमित रूप से चर्चा करनी चाहिए। कम से कम, यह वार्षिक तौर पर किया जाना चाहिए। पुनर्मूल्यांकन करें कि क्या लक्ष्य ज्ञात जोखिमों और जोखिम सहनशीलता के साथ संरेखित हैं, और ट्रेड-ऑफ के बारे में सचेत निर्णय लें।
उदाहरण के लिए, आप यह निर्धारित कर सकते हैं कि 85 दिनों के भीतर 10% गंभीर कमजोरियों को दूर करना संभव है। 90% तक पहुंचने के लिए, X संसाधनों की मात्रा, जैसे शब्दों में व्यक्त की गई मौद्रिक निवेश, समय, या लोग, की आवश्यकता होगी। उन अतिरिक्त संसाधनों के मुकाबले 85% को जोखिम का स्वीकार्य स्तर माना जा सकता है।
प्रगति का लक्ष्य, पूर्णता का नहीं
जोखिम के बारे में निर्णय शून्य में नहीं लिए जाने चाहिए। यही कारण है कि सुरक्षा नेताओं के पास ये अवश्य होने चाहिए अन्य व्यापारिक नेताओं और बोर्ड के साथ बातचीत. निचली पंक्ति: इस उद्योग में पूर्णता शायद ही कभी प्राप्त की जा सकती है, और उस पूर्णता का लक्ष्य अच्छे से अधिक नुकसान पहुंचा सकता है। इसके बजाय, प्रगति करने पर ध्यान केंद्रित करें। यथार्थवादी लक्ष्य निर्धारित करें, वहां तक पहुंचने के लिए छोटे-छोटे कदम उठाएं और जब तक आप जोखिम शमन के इष्टतम स्तर तक नहीं पहुंच जाते, तब तक स्तर बढ़ाते रहें।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 1
- 10
- 7
- 95% तक
- a
- About
- पूर्ण
- स्वीकार्य
- पहुँच
- प्राप्त
- पाना
- अतिरिक्त
- पता
- संबोधित
- को संबोधित
- के खिलाफ
- उद्देश्य
- एमिंग
- करना
- गठबंधन
- सब
- हमेशा
- राशि
- an
- और
- प्रतिवर्ष
- अन्य
- भूख
- हैं
- क्षेत्र
- क्षेत्रों के बारे में जानकारी का उपयोग करके ट्रेडिंग कर सकते हैं।
- AS
- पूछ
- मूल्यांकन
- आकलन
- कल्पना
- At
- आक्रमण
- आक्रमण
- उपलब्धता
- वापस
- बार
- आधारित
- BE
- क्योंकि
- से पहले
- बेहतर
- बड़ा
- बड़ा
- सबसे बड़ा
- तल
- व्यापक
- व्यापार
- व्यवसाय प्रधान
- व्यवसायों
- लेकिन
- by
- कर सकते हैं
- कुछ
- बदलना
- समापन
- आरामदायक
- सामान्यतः
- गोपनीयता
- जागरूक
- निरंतर
- प्रसंग
- कन्वर्सेशन (Conversation)
- सका
- महत्वपूर्ण
- दिन
- निर्णय लेने से
- निर्णय
- समझा
- परिभाषित
- विवरण
- निर्धारित करना
- दिशा
- विचार - विमर्श
- do
- नहीं करता है
- किया
- आसान
- अन्यत्र
- समाप्त
- और भी
- सब कुछ
- उदाहरण
- एक्जीक्यूटिव
- व्यक्त
- विफलता
- कुछ
- खोज
- लचीला
- फोकस
- के लिए
- से
- अन्तर
- मिल
- देना
- लक्ष्य
- लक्ष्यों
- अच्छा
- मार्गदर्शक
- नुकसान
- है
- यहाँ उत्पन्न करें
- भारी जोखिम
- मारो
- पकड़
- HTTPS
- प्रभाव
- महत्वपूर्ण
- असंभव
- में सुधार लाने
- in
- वृद्धिशील
- उद्योग
- उदाहरण
- बजाय
- ईमानदारी
- निवेश
- IT
- आईटी इस
- जेपीजी
- छलांग
- केवल
- रखना
- जानने वाला
- पिछली बार
- नेताओं
- स्तर
- झूठ
- पसंद
- लाइन
- ll
- देखिए
- लग रहा है
- खोना
- हार
- खोया
- बनाया गया
- बनाना
- बनाता है
- निर्माण
- मई..
- मतलब
- माप
- माप
- मापने
- तरीकों
- मेट्रिक्स
- कम से कम
- न्यूनतम
- याद आती है
- शमन
- अधिक
- चलती
- चाहिए
- आवश्यकता
- की जरूरत है
- अगला
- नहीं
- संख्या
- of
- अक्सर
- on
- ONE
- अवसर
- इष्टतम
- or
- संगठन
- अन्य
- हमारी
- कुल
- रात भर
- भाग
- पैच
- स्टाफ़
- पूर्णता
- निष्पादन
- चित्र
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खेल
- अंक
- नीतियाँ
- नीति
- संभव
- मुसीबत
- कार्यक्रम
- प्रोग्राम्स
- प्रगति
- त्रैमासिक
- प्रशन
- को ऊपर उठाने
- शायद ही कभी
- RE
- पहुँचे
- यथार्थवादी
- को कम करने
- पुनर्मूल्यांकन
- नियमित तौर पर
- सापेक्ष
- प्रतिनिधित्व
- अपेक्षित
- उपयुक्त संसाधन चुनें
- समीक्षा
- सही
- जोखिम
- जोखिम उठाने का माद्दा
- जोखिम मूल्यांकन
- जोखिम
- s
- कहना
- सुरक्षा
- सुरक्षा नीतियां
- सुरक्षा जोखिम
- सेट
- की स्थापना
- चाहिए
- दृष्टि
- छोटा
- So
- अंतरिक्ष
- बिताता
- खर्च
- मानक
- स्थिर
- स्टीयरिंग
- कदम
- कदम
- रुकें
- प्रयास करना
- सिस्टम
- लेना
- लक्ष्य
- टीम
- टीमों
- शर्तों
- से
- कि
- RSI
- वहाँ।
- इन
- वे
- इसका
- उन
- तीन
- टियर
- स्तरीय एक
- पहर
- सेवा मेरे
- सहिष्णुता
- कुल
- की कोशिश कर रहा
- प्रकार
- समझना
- समझ
- जब तक
- उपयोगकर्ता
- वैक्यूम
- Ve
- बनाम
- कमजोरियों
- भेद्यता
- we
- कुंआ
- थे
- व्हैक अ मोल
- क्या
- कब
- या
- कौन कौन से
- जब
- क्यों
- मर्जी
- साथ में
- अंदर
- लायक
- होगा
- आप
- आपका
- जेफिरनेट
- शून्य