È ora di smettere di misurare la sicurezza in termini assoluti

COMMENTO

Il contesto e le metriche che guidano le valutazioni del rischio cambiano costantemente, così come la nostra comprensione di come si presenta il progresso come team di sicurezza. Non è possibile misurare tutto, e solo perché puoi misurarlo non significa che sia importante. Ciò rende facile perdersi nei dettagli e perdere il quadro più ampio: stiamo migliorando la direzione?

Gran parte del problema è la politica di sicurezza standard, che punta alla perfezione perdendo di vista gli obiettivi raggiungibili. Nel nostro settore abbiamo politiche che dicono, ad esempio, “tutte le vulnerabilità ad alto rischio devono essere affrontate entro 10 giorni” o “tutti gli accessi degli utenti devono essere rivisti trimestralmente”. Il presupposto è che ti impegnerai per il 100%, senza discutere se ciò sia realizzabile e quali risorse sarebbero necessarie per raggiungere tale obiettivo.

Di solito, un team di sicurezza raggiunge l’obiettivo il 70% delle volte, il che è considerato un fallimento. Un team spesso spende un numero enorme di risorse cercando di colmare il divario, ad esempio affrontando il 70% delle vulnerabilità critiche e l'obiettivo della policy del 100%. Potrebbero finire per sforzare le risorse per puntare alla perfezione quando tali risorse potrebbero essere spese meglio altrove.

Come settore, dobbiamo fare un passo indietro e rivalutare le politiche e i parametri che guidano i nostri programmi, decidendo se sono realistici e se rappresentano le misurazioni giuste. Ecco tre passaggi da compiere per raggiungere questo obiettivo.

1. Determina la tua propensione al rischio

È impossibile raggiungere la perfezione in tutte le aree di rischio. I team di sicurezza possono finire per giocare a “colpisci la talpa” e perdere la concentrazione su rischi più sottili. È necessario un dialogo a livello aziendale per definire dove si trovano i maggiori rischi per la sicurezza dell'organizzazione e dove dedicare le risorse, nonché le aree in cui i suoi dirigenti si sentono a proprio agio con un certo livello di rischio. Una vulnerabilità critica come MOVEit, ad esempio, potrebbe rappresentare un rischio accettabile in un’area di un’azienda, ma non in un’altra area che dispone di sistemi di primo livello con una tolleranza da zero a minima per un impatto sull’azienda. Triade della CIA di riservatezza, integrità e disponibilità. Scopri dove si trovano le maggiori vulnerabilità nel tuo settore e i tipi di attacchi che comunemente prendono di mira le aziende nel tuo settore per eseguire una valutazione del rischio.

2. Stabilisci obiettivi flessibili e raggiungibili

Il passaggio successivo consiste nell'impostare policy di sicurezza realizzabili, in base alla valutazione del rischio, incentrate sul progresso incrementale. Non è possibile passare dall'applicazione di patch dal 50% delle vulnerabilità al 95% da un giorno all'altro. È importante comprendere le risorse necessarie per raggiungere il tuo obiettivo e a quali opportunità rinuncerai puntando al ripristino totale rispetto all'85%. Potrebbe non valere la pena investire per chiudere quegli ultimi punti.

Invece di fissare un obiettivo statico e puntare alla perfezione, concentrati sul miglioramento del programma rispetto a dove ti trovavi prima. Le domande che dovresti porti sono: ci stiamo muovendo nella giusta direzione? Il programma sta migliorando? Stiamo riducendo il rischio nel complesso?

3. Rivalutare regolarmente

Poiché le vulnerabilità e i metodi di attacco cambiano continuamente, i leader della sicurezza dovrebbero discutere regolarmente con l’azienda in generale per rivalutare la propensione al rischio e le politiche di sicurezza. Come minimo, questo dovrebbe essere fatto ogni anno. Rivalutare se gli obiettivi sono allineati con i rischi noti e la tolleranza al rischio e prendere decisioni consapevoli sui compromessi.

Ad esempio, potresti determinare che è possibile risolvere l'85% delle vulnerabilità critiche entro 10 giorni. Per arrivare al 90%, X quantità di risorse, espressa in termini come investimento monetario, tempo o persone, sarà richiesto. Potresti ritenere che l'85% sia un livello di rischio accettabile se confrontato con tali risorse aggiuntive.

Punta al progresso, non alla perfezione

Le decisioni sul rischio non dovrebbero essere prese nel vuoto. Questo è il motivo per cui i leader della sicurezza devono averli conversazioni con altri leader aziendali e con il consiglio di amministrazione. In conclusione: la perfezione è raramente raggiungibile in questo settore e puntare a quell’assoluto può fare più male che bene. Concentrati invece sul fare progressi. Stabilisci obiettivi realistici, fai piccoli passi per arrivarci e continua ad alzare l'asticella finché non raggiungi il livello ottimale di mitigazione del rischio.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes