KOMMENTÁR
A kockázatértékelést vezérlő kontextus és mérőszámok folyamatosan változnak, és ugyanúgy változik a biztonsági csapatként elért haladásról alkotott képünk is. Nem lehet mindent megmérni, és az, hogy meg tudod mérni, nem jelenti azt, hogy fontos. Ez megkönnyíti, hogy elveszünk a részletekben, és lemaradjunk a nagyobb képről: Irányosan fejlődünk?
A probléma nagy részét a szabványos biztonsági politika jelenti, amely a tökéletességre törekszik, miközben szem elől téveszti az elérhető célokat. Iparágunkban olyan irányelveink vannak, amelyek például azt mondják, hogy „minden magas kockázatú sebezhetőséget 10 napon belül ki kell javítani”, vagy „az összes felhasználói hozzáférést negyedévente felül kell vizsgálni”. Az a feltételezés, hogy 100%-ra fogsz törekedni, anélkül, hogy megbeszélnéd, hogy ez elérhető-e, és milyen erőforrásokra lenne szükség a cél eléréséhez.
Általában egy biztonsági csapat az esetek 70%-ában eléri ezt a célt, ami kudarcnak minősül. Egy csapat gyakran túlméretezett mennyiségű erőforrást költ el a szakadék megszüntetésére, például a kritikus sebezhetőségek 70%-ának és a politika 100%-os céljának megszüntetésével. Előfordulhat, hogy megerőltetik az erőforrásokat, hogy a tökéletességre törekedjenek, amikor ezeket az erőforrásokat jobban el lehetne költeni máshol.
Iparágként vissza kell lépnünk, és újra kell értékelnünk a programjainkat irányító irányelveket és mérőszámokat, és el kell döntenünk, hogy reálisak-e, és hogy egyáltalán megfelelő-e. Íme három lépés, amelyet ennek eléréséhez meg kell tenni.
1. Határozza meg kockázati étvágyát
Lehetetlen minden kockázati területen tökéletességet elérni. A biztonsági csapatok a végén játszhatnak, és elveszíthetik a figyelmüket a finomabb kockázatokra. Üzleti szintű beszélgetésre van szükség annak meghatározásához, hogy hol rejlenek a szervezet legnagyobb biztonsági kockázatai, és hová kell fordítani az erőforrásokat, valamint azokat a területeket, amelyeken a vezetők egy bizonyos szintű kockázatot viselnek. Egy olyan kritikus sérülékenység, mint például a MOVEit, elfogadható kockázatot jelenthet az üzlet egyik területén, de nem jelenthet egy olyan másik területen, ahol az első szintű rendszerek nullától a minimálisig terjednek. CIA triász bizalmasság, integritás és elérhetőség. Tekintse meg, hol rejlenek a legnagyobb sebezhetőségek az Ön iparágán belül, és nézze meg, hogy milyen típusú támadások érik általában az Ön területén lévő vállalkozásokat, és végezze el a kockázatértékelést.
2. Tűzz ki rugalmas, elérhető célokat
A következő lépés az elérhető biztonsági szabályzatok beállítása a kockázatértékelés alapján, amelyek a fokozatos fejlődésre összpontosítanak. Nem lehet egyik napról a másikra ugrani a sebezhetőségek 50%-ának javításáról 95%-ra. Fontos megérteni, hogy milyen erőforrásokra lesz szükség a cél eléréséhez, és hogy milyen lehetőségeket kell feladnia, ha a teljes javításra törekszik a 85%-kal szemben. Lehet, hogy nem éri meg a befektetést az utolsó néhány pont lezárására.
Ahelyett, hogy statikus célt tűzne ki és a tökéletességre törekszik, összpontosítson a program javítására ahhoz képest, ahol korábban volt. A következő kérdéseket kell feltenned: Jó irányba haladunk? Javul a program? Összességében csökkentjük a kockázatot?
3. Rendszeresen értékelje újra
Mivel a sérülékenységek és a támadási módszerek folyamatosan változnak, a biztonsági vezetőknek rendszeresen meg kell beszélniük a szélesebb üzletággal, hogy újraértékeljék a kockázatvállalási hajlandóságot és a biztonsági politikákat. Ezt legalább évente meg kell tenni. Értékelje újra, hogy a célok összhangban vannak-e az ismert kockázatokkal és kockázattűrő képességgel, és hozzon tudatos döntéseket a kompromisszumokkal kapcsolatban.
Például megállapíthatja, hogy a kritikus biztonsági rések 85%-a 10 napon belül megoldható. 90% eléréséhez X az erőforrások mennyisége, hasonló kifejezésekkel kifejezve pénzbefektetés, idő vagy emberek, szükséges lesz. Előfordulhat, hogy a 85%-ot elfogadható kockázati szintnek találja, ha összemérjük a további erőforrásokkal.
Cél a fejlődés, ne a tökéletesség
A kockázatokkal kapcsolatos döntéseket nem szabad légüres térben meghozni. Ezért kell ezekkel rendelkezniük a biztonsági vezetőknek beszélgetések más üzleti vezetőkkel és az igazgatósággal. A lényeg: A tökéletesség ritkán érhető el ebben az iparágban, és ennek az abszolútumnak a megcélzása több kárt okozhat, mint hasznot. Ehelyett összpontosítson a fejlődésre. Tűzz ki reális célokat, kis lépésekkel érd el, és addig emeld a lécet, amíg el nem éred a kockázatcsökkentés optimális szintjét.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 10
- 7
- 95%
- a
- Rólunk
- Abszolút
- elfogadható
- hozzáférés
- elérhető
- Elérése
- További
- cím
- címzett
- címzés
- ellen
- cél
- Célzás
- célok
- igazított
- Minden termék
- mindig
- összeg
- an
- és a
- Évente
- Másik
- étvágy
- VANNAK
- TERÜLET
- területek
- AS
- kér
- értékelés
- értékelések
- feltevés
- At
- támadás
- Támadások
- elérhetőség
- vissza
- bár
- alapján
- BE
- mert
- előtt
- Jobb
- Nagy
- nagyobb
- Legnagyobb
- Alsó
- tágabb
- üzleti
- Üzleti vezetők
- vállalkozások
- de
- by
- TUD
- bizonyos
- változó
- közel
- kényelmes
- általában
- titoktartási
- öntudatos
- állandóan
- kontextus
- Beszélgetés
- tudott
- kritikai
- Nap
- Döntés
- határozatok
- tekinteni
- meghatározott
- részletek
- Határozzuk meg
- irány
- megbeszélések
- do
- nem
- csinált
- könnyű
- máshol
- végén
- Még
- minden
- példa
- vezetők
- kifejezve
- Kudarc
- kevés
- Találjon
- rugalmas
- Összpontosít
- A
- ból ből
- rés
- kap
- Ad
- cél
- Célok
- jó
- irányadó
- kárt
- Legyen
- itt
- magas kockázatú
- Találat
- tart
- HTTPS
- Hatás
- fontos
- lehetetlen
- javuló
- in
- járulékos
- ipar
- példa
- helyette
- sértetlenség
- beruházás
- IT
- ITS
- jpg
- ugrás
- éppen
- Tart
- ismert
- keresztnév
- vezetők
- szint
- fekszik
- mint
- vonal
- ll
- néz
- MEGJELENÉS
- veszít
- vesztes
- elveszett
- készült
- csinál
- KÉSZÍT
- Gyártás
- Lehet..
- jelent
- intézkedés
- mérések
- mérő
- mód
- Metrics
- minimális
- minimum
- hiányzik
- enyhítés
- több
- mozgó
- kell
- Szükség
- igények
- következő
- nem
- szám
- of
- gyakran
- on
- ONE
- Lehetőségek
- optimálisan
- or
- szervezet
- Más
- mi
- átfogó
- éjszakai
- rész
- Foltozás
- Emberek (People)
- tökéletesség
- Teljesít
- kép
- Plató
- Platón adatintelligencia
- PlatoData
- játék
- pont
- Politikák
- politika
- lehetséges
- Probléma
- Program
- Programok
- Haladás
- negyedévenként
- Kérdések
- emelés
- ritkán
- RE
- elérte
- valószerű
- csökkentő
- újraértékel
- rendszeresen
- relatív
- képvisel
- kötelező
- Tudástár
- felül
- jobb
- Kockázat
- kockázati étvágy
- kockázatértékelés
- kockázatok
- s
- azt mondják
- biztonság
- biztonsági politikák
- biztonsági kockázatok
- készlet
- beállítás
- kellene
- Látás
- kicsi
- So
- Hely
- költ
- költött
- standard
- statikus
- kormányzó
- Lépés
- Lépései
- megáll
- törekszünk
- Systems
- Vesz
- cél
- csapat
- csapat
- feltételek
- mint
- hogy
- A
- Ott.
- Ezek
- ők
- ezt
- azok
- három
- tier
- Első szint
- idő
- nak nek
- tolerancia
- Végösszeg
- próbál
- típusok
- megért
- megértés
- -ig
- használó
- Vákuum
- Ve
- Ellen
- sérülékenységek
- sebezhetőség
- we
- JÓL
- voltak
- ütés-egy-anyajegy
- Mit
- amikor
- vajon
- ami
- míg
- miért
- lesz
- val vel
- belül
- érdemes
- lenne
- te
- A te
- zephyrnet
- nulla
