अब समय आ गया है कि सुरक्षा को पूर्णतया मापना बंद कर दिया जाए

अब समय आ गया है कि सुरक्षा को पूर्णतया मापना बंद कर दिया जाए

समय टिकट: 25 मार्च, 2024 4:51 PM
अब एब्सोल्यूट्स प्लेटोब्लॉकचेन डेटा इंटेलिजेंस में सुरक्षा को मापना बंद करने का समय आ गया है। लंबवत खोज. ऐ.

टीका

जोखिम मूल्यांकन को निर्देशित करने वाले संदर्भ और मेट्रिक्स लगातार बदल रहे हैं, और सुरक्षा टीम के रूप में प्रगति कैसी दिखती है, इसके बारे में हमारी समझ भी बदल रही है। हर चीज़ को मापना संभव नहीं है, और सिर्फ इसलिए कि आप इसे माप सकते हैं इसका मतलब यह नहीं है कि यह महत्वपूर्ण है। इससे विवरणों में खो जाना और बड़ी तस्वीर से चूकना आसान हो जाता है: क्या हम दिशात्मक रूप से सुधार कर रहे हैं?

समस्या का एक बड़ा हिस्सा मानक सुरक्षा नीति है, जिसका लक्ष्य प्राप्त करने योग्य लक्ष्यों को नज़रअंदाज करते हुए पूर्णता प्राप्त करना है। हमारे उद्योग में हमारी नीतियां हैं जो कहती हैं, उदाहरण के लिए, "सभी उच्च जोखिम वाली कमजोरियों को 10 दिनों के भीतर संबोधित किया जाना चाहिए," या "सभी उपयोगकर्ता पहुंच की त्रैमासिक समीक्षा की जानी चाहिए।" धारणा यह है कि आप 100% के लिए प्रयास करेंगे, इस बारे में कोई बातचीत नहीं होगी कि क्या यह प्राप्त करने योग्य है और उस लक्ष्य को प्राप्त करने के लिए किन संसाधनों की आवश्यकता होगी।

आमतौर पर, एक सुरक्षा टीम 70% समय उस लक्ष्य को प्राप्त कर लेती है, जिसे विफलता माना जाता है। एक टीम अक्सर अंतर को पाटने की कोशिश में बड़ी संख्या में संसाधन खर्च करती है, उदाहरण के लिए, 70% महत्वपूर्ण कमजोरियों और नीति के 100% लक्ष्य को संबोधित करके। वे पूर्णता के लक्ष्य के लिए संसाधनों पर दबाव डाल सकते हैं, जबकि उन संसाधनों को कहीं और बेहतर तरीके से खर्च किया जा सकता है।

एक उद्योग के रूप में, हमें एक कदम पीछे हटने और अपने कार्यक्रमों को संचालित करने वाली नीतियों और मेट्रिक्स का पुनर्मूल्यांकन करने की आवश्यकता है, यह तय करते हुए कि क्या वे यथार्थवादी हैं और क्या वे सही माप भी हैं। इसे प्राप्त करने के लिए यहां तीन चरण दिए गए हैं।

1. अपनी जोखिम उठाने की क्षमता निर्धारित करें

जोखिम के सभी क्षेत्रों में पूर्णता प्राप्त करना असंभव है। सुरक्षा टीमें लापरवाही से काम कर सकती हैं और अधिक सूक्ष्म जोखिमों पर ध्यान केंद्रित करना बंद कर सकती हैं। यह परिभाषित करने के लिए व्यवसाय-स्तरीय बातचीत की आवश्यकता है कि संगठन के सबसे बड़े सुरक्षा जोखिम कहाँ हैं और संसाधनों को कहाँ समर्पित किया जाए, साथ ही ऐसे क्षेत्र जिनमें इसके अधिकारी एक निश्चित स्तर के जोखिम के साथ सहज हैं। उदाहरण के लिए, MOVEit जैसी गंभीर भेद्यता, किसी व्यवसाय के एक क्षेत्र में स्वीकार्य जोखिम का प्रतिनिधित्व कर सकती है, लेकिन किसी अन्य क्षेत्र में नहीं, जिसमें टियर वन सिस्टम है जिसमें प्रभाव के लिए शून्य से न्यूनतम भत्ता होता है। सीआईए त्रय गोपनीयता, अखंडता और उपलब्धता की। देखें कि आपके उद्योग में सबसे बड़ी कमज़ोरियाँ कहाँ हैं और जोखिम मूल्यांकन करने के लिए आपके क्षेत्र में व्यवसायों को लक्षित करने वाले हमलों के प्रकार क्या हैं।

2. लचीले, प्राप्त करने योग्य लक्ष्य निर्धारित करें

अगला कदम आपके जोखिम मूल्यांकन के आधार पर प्राप्त करने योग्य सुरक्षा नीतियां निर्धारित करना है, जो वृद्धिशील प्रगति पर ध्यान केंद्रित करती हैं। आप रातों-रात 50% कमजोरियों को दूर कर 95% तक नहीं पहुँच सकते। यह समझना महत्वपूर्ण है कि आपके लक्ष्य को प्राप्त करने के लिए किन संसाधनों की आवश्यकता होगी और कुल पैचिंग बनाम 85% का लक्ष्य रखकर आप कौन से अवसर छोड़ देंगे। उन अंतिम कुछ बिंदुओं को बंद करना निवेश के लायक नहीं हो सकता है।

एक स्थिर लक्ष्य निर्धारित करने और पूर्णता का लक्ष्य रखने के बजाय, आप पहले जहां थे, उसके सापेक्ष कार्यक्रम में सुधार करने पर ध्यान केंद्रित करें। आपको जो प्रश्न पूछने चाहिए वे हैं: क्या हम सही दिशा में आगे बढ़ रहे हैं? क्या कार्यक्रम में सुधार हो रहा है? क्या हम कुल मिलाकर जोखिम कम कर रहे हैं?

3. नियमित रूप से पुनर्मूल्यांकन करें

चूँकि कमज़ोरियाँ और हमले के तरीके हमेशा बदलते रहते हैं, सुरक्षा नेताओं को जोखिम की भूख और सुरक्षा नीतियों का पुनर्मूल्यांकन करने के लिए व्यापक व्यवसाय के साथ नियमित रूप से चर्चा करनी चाहिए। कम से कम, यह वार्षिक तौर पर किया जाना चाहिए। पुनर्मूल्यांकन करें कि क्या लक्ष्य ज्ञात जोखिमों और जोखिम सहनशीलता के साथ संरेखित हैं, और ट्रेड-ऑफ के बारे में सचेत निर्णय लें।

उदाहरण के लिए, आप यह निर्धारित कर सकते हैं कि 85 दिनों के भीतर 10% गंभीर कमजोरियों को दूर करना संभव है। 90% तक पहुंचने के लिए, X संसाधनों की मात्रा, जैसे शब्दों में व्यक्त की गई मौद्रिक निवेश, समय, या लोग, की आवश्यकता होगी। उन अतिरिक्त संसाधनों के मुकाबले 85% को जोखिम का स्वीकार्य स्तर माना जा सकता है।

प्रगति का लक्ष्य, पूर्णता का नहीं

जोखिम के बारे में निर्णय शून्य में नहीं लिए जाने चाहिए। यही कारण है कि सुरक्षा नेताओं के पास ये अवश्य होने चाहिए अन्य व्यापारिक नेताओं और बोर्ड के साथ बातचीत. निचली पंक्ति: इस उद्योग में पूर्णता शायद ही कभी प्राप्त की जा सकती है, और उस पूर्णता का लक्ष्य अच्छे से अधिक नुकसान पहुंचा सकता है। इसके बजाय, प्रगति करने पर ध्यान केंद्रित करें। यथार्थवादी लक्ष्य निर्धारित करें, वहां तक ​​पहुंचने के लिए छोटे-छोटे कदम उठाएं और जब तक आप जोखिम शमन के इष्टतम स्तर तक नहीं पहुंच जाते, तब तक स्तर बढ़ाते रहें।

समय टिकट:

से अधिक डार्क रीडिंग