KOMENTAR
Konteks dan metrik yang memandu penilaian risiko terus berubah, begitu pula pemahaman kami tentang kemajuan tim keamanan. Tidak mungkin mengukur semuanya, dan hanya karena Anda bisa mengukurnya bukan berarti hal itu penting. Hal ini membuat kita mudah tersesat dalam detail dan kehilangan gambaran yang lebih besar: Apakah kita mengalami kemajuan secara terarah?
Sebagian besar masalahnya adalah kebijakan keamanan standar, yang bertujuan untuk kesempurnaan namun mengabaikan tujuan yang dapat dicapai. Dalam industri kami, kami memiliki kebijakan yang menyatakan, misalnya, โsemua kerentanan berisiko tinggi harus diatasi dalam waktu 10 hari,โ atau โsemua akses pengguna harus ditinjau setiap tiga bulan.โ Asumsinya adalah Anda akan berusaha 100%, tanpa membicarakan apakah hal ini dapat dicapai dan sumber daya apa yang diperlukan untuk mencapai tujuan tersebut.
Biasanya, tim keamanan akan mencapai sasaran tersebut sebanyak 70%, dan ini dianggap gagal. Sebuah tim sering kali menghabiskan banyak sumber daya untuk mencoba menutup kesenjangan tersebut, misalnya dengan mengatasi 70% kerentanan kritis dan sasaran kebijakan sebesar 100%. Mereka mungkin akan menghabiskan sumber daya untuk mencapai kesempurnaan ketika sumber daya tersebut dapat digunakan dengan lebih baik di tempat lain.
Sebagai sebuah industri, kita perlu mengambil langkah mundur dan mengevaluasi kembali kebijakan dan metrik yang mengarahkan program kita, memutuskan apakah kebijakan tersebut realistis dan apakah pengukuran tersebut merupakan pengukuran yang tepat. Berikut adalah tiga langkah yang harus diambil untuk mencapai hal ini.
1. Tentukan Selera Risiko Anda
Tidak mungkin mencapai kesempurnaan di semua bidang risiko. Tim keamanan pada akhirnya bisa melakukan kesalahan dan kehilangan fokus pada risiko yang lebih halus. Perlu ada diskusi di tingkat bisnis untuk menentukan di mana letak risiko keamanan terbesar organisasi dan di mana harus mencurahkan sumber daya, serta area di mana para eksekutifnya merasa nyaman dengan tingkat risiko tertentu. Kerentanan kritis seperti MOVEit, misalnya, dapat mewakili risiko yang dapat diterima di satu area bisnis, namun tidak di area lain yang memiliki sistem tingkat satu dengan tunjangan dampak nol hingga minimal terhadap bisnis. Triad CIA kerahasiaan, integritas, dan ketersediaan. Lihatlah di mana letak kerentanan terbesar dalam industri Anda dan jenis serangan yang biasanya menargetkan bisnis di wilayah Anda untuk melakukan penilaian risiko.
2. Tetapkan Tujuan yang Fleksibel dan Dapat Dicapai
Langkah selanjutnya adalah menetapkan kebijakan keamanan yang dapat dicapai, berdasarkan penilaian risiko Anda, yang berfokus pada kemajuan bertahap. Anda tidak dapat melompat dari menambal 50% kerentanan menjadi 95% dalam semalam. Penting untuk memahami sumber daya yang diperlukan untuk mencapai sasaran Anda dan peluang apa yang akan Anda hilangkan dengan menargetkan patching total versus 85%. Mungkin tidak ada gunanya investasi untuk menutup beberapa poin terakhir tersebut.
Daripada menetapkan tujuan statis dan mengincar kesempurnaan, fokuslah pada peningkatan program dibandingkan dengan posisi Anda sebelumnya. Pertanyaan yang harus Anda ajukan adalah: Apakah kita bergerak ke arah yang benar? Apakah programnya membaik? Apakah kita mengurangi risiko secara keseluruhan?
3. Menilai Kembali Secara Teratur
Karena kerentanan dan metode serangan selalu berubah, para pemimpin keamanan harus mengadakan diskusi secara teratur dengan dunia usaha yang lebih luas untuk menilai kembali selera risiko dan kebijakan keamanan. Minimal, hal ini harus dilakukan setiap tahun. Evaluasi kembali apakah tujuan selaras dengan risiko yang diketahui dan toleransi risiko, dan buatlah keputusan secara sadar mengenai trade-offnya.
Misalnya, Anda mungkin menentukan bahwa 85% kerentanan kritis dapat diatasi dalam waktu 10 hari. Untuk mencapai 90%, X jumlah sumber daya, dinyatakan dalam istilah seperti investasi moneter, waktu, atau orang, akan dibutuhkan. Anda mungkin menganggap 85% sebagai tingkat risiko yang dapat diterima jika dibandingkan dengan sumber daya tambahan tersebut.
Bertujuan untuk Kemajuan, Bukan Kesempurnaan
Keputusan mengenai risiko tidak boleh dibuat dalam ruang hampa. Inilah sebabnya mengapa para pemimpin keamanan harus memiliki hal ini percakapan dengan para pemimpin bisnis lainnya dan dewan direksi. Intinya: Kesempurnaan jarang dapat dicapai dalam industri ini, dan mencapai kesempurnaan itu akan lebih banyak merugikan daripada menguntungkan. Sebaliknya, fokuslah untuk membuat kemajuan. Tetapkan tujuan yang realistis, ambil langkah kecil untuk mencapainya, dan terus tingkatkan standar hingga Anda mencapai tingkat mitigasi risiko yang optimal.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 10
- 7
- 95%
- a
- Tentang Kami
- Mutlak
- diterima
- mengakses
- dicapai
- Mencapai
- Tambahan
- alamat
- dialamatkan
- menangani
- terhadap
- tujuan
- Bertujuan
- bertujuan
- selaras
- Semua
- selalu
- jumlah
- an
- dan
- Setiap tahun
- Lain
- nafsu makan
- ADALAH
- DAERAH
- daerah
- AS
- meminta
- penilaian
- penilaian
- anggapan
- At
- menyerang
- Serangan
- tersedianya
- kembali
- bar
- berdasarkan
- BE
- karena
- sebelum
- Lebih baik
- Besar
- lebih besar
- Terbesar
- Bawah
- lebih luas
- bisnis
- Pemimpin bisnis
- bisnis
- tapi
- by
- CAN
- tertentu
- mengubah
- Penyelesaian
- nyaman
- umum
- kerahasiaan
- sadar
- terus-menerus
- konteks
- Percakapan
- bisa
- kritis
- Hari
- Memutuskan
- keputusan
- dianggap
- menetapkan
- rincian
- Menentukan
- arah
- diskusi
- do
- doesn
- dilakukan
- Mudah
- di tempat lain
- akhir
- Bahkan
- segala sesuatu
- contoh
- eksekutif
- menyatakan
- Kegagalan
- beberapa
- Menemukan
- fleksibel
- Fokus
- Untuk
- dari
- celah
- mendapatkan
- Memberikan
- tujuan
- Anda
- baik
- membimbing
- membahayakan
- Memiliki
- di sini
- berisiko tinggi
- Memukul
- memegang
- HTTPS
- Dampak
- penting
- mustahil
- meningkatkan
- in
- inkremental
- industri
- contoh
- sebagai gantinya
- integritas
- investasi
- IT
- NYA
- jpg
- melompat
- hanya
- Menjaga
- dikenal
- Terakhir
- pemimpin
- Tingkat
- berbohong
- 'like'
- baris
- ll
- melihat
- TERLIHAT
- kehilangan
- kehilangan
- kalah
- terbuat
- membuat
- MEMBUAT
- Membuat
- Mungkin..
- berarti
- mengukur
- pengukuran
- ukur
- metode
- Metrik
- minimal
- minimum
- kehilangan
- mitigasi
- lebih
- bergerak
- harus
- Perlu
- kebutuhan
- berikutnya
- tidak
- jumlah
- of
- sering
- on
- ONE
- Peluang
- optimal
- or
- organisasi
- Lainnya
- kami
- secara keseluruhan
- semalam
- bagian
- Menambal
- Konsultan Ahli
- kesempurnaan
- Melakukan
- gambar
- plato
- Kecerdasan Data Plato
- Data Plato
- bermain
- poin
- Kebijakan
- kebijaksanaan
- mungkin
- Masalah
- program
- program
- Kemajuan
- triwulanan
- Pertanyaan
- pemeliharaan
- jarang
- RE
- tercapai
- realistis
- mengurangi
- mengevaluasi kembali
- secara teratur
- relatif
- mewakili
- wajib
- Sumber
- review jurnal
- benar
- Risiko
- selera risiko
- penilaian risiko
- risiko
- s
- mengatakan
- keamanan
- kebijakan keamanan
- risiko keamanan
- set
- pengaturan
- harus
- Melihat
- kecil
- So
- Space
- menghabiskan
- menghabiskan
- standar
- statis
- pengemudian
- Langkah
- Tangga
- berhenti
- berjuang
- sistem
- Mengambil
- target
- tim
- tim
- istilah
- dari
- bahwa
- Grafik
- Sana.
- Ini
- mereka
- ini
- itu
- tiga
- tingkat
- Tingkat Satu
- waktu
- untuk
- toleransi
- Total
- mencoba
- jenis
- memahami
- pemahaman
- sampai
- Pengguna
- Kekosongan
- Ve
- Lawan
- Kerentanan
- kerentanan
- we
- BAIK
- adalah
- mendera-tahi lalat-
- Apa
- ketika
- apakah
- yang
- sementara
- mengapa
- akan
- dengan
- dalam
- bernilai
- akan
- Kamu
- Anda
- zephyrnet.dll
- nol
