הגיע הזמן להפסיק למדוד אבטחה באופן מוחלט

פַּרשָׁנוּת

ההקשר והמדדים המנחים הערכות סיכונים משתנים כל הזמן, וכך גם ההבנה שלנו כיצד נראית ההתקדמות כצוות אבטחה. אי אפשר למדוד הכל, וזה שאתה יכול למדוד את זה לא אומר שזה חשוב. זה מקל ללכת לאיבוד בפרטים ולהחמיץ את התמונה הגדולה יותר: האם אנחנו משתפרים כיוונית?

חלק גדול מהבעיה הוא מדיניות האבטחה הסטנדרטית, שמטרתה שלמות תוך איבוד הראייה של יעדים ברי השגה. בתעשייה שלנו יש לנו מדיניות שאומרת, למשל, "יש לטפל בכל נקודות התורפה בסיכון גבוה תוך 10 ימים", או "יש לבדוק את כל גישת המשתמש מדי רבעון". ההנחה היא שתשאפו ל-100%, ללא שיחה אם זה בר השגה ואילו משאבים יידרשו כדי להגיע למטרה זו.

בדרך כלל, צוות אבטחה יגיע ליעד זה 70% מהמקרים, מה שנחשב לכישלון. צוות מוציא לעתים קרובות מספר גדול של משאבים בניסיון לסגור את הפער, למשל, על ידי טיפול ב-70% מהחולשות הקריטיות ויעד המדיניות של 100%. הם עלולים בסופו של דבר להתאמץ משאבים כדי לשאוף לשלמות כאשר משאבים אלה יכולים להיות מנוצלים יותר במקום אחר.

כתעשייה, אנחנו צריכים לקחת צעד אחורה ולהעריך מחדש את המדיניות והמדדים המכוונים את התוכניות שלנו, להחליט אם הם מציאותיים והאם הם בכלל המידות הנכונות. הנה שלושה צעדים שצריך לנקוט כדי להשיג זאת.

1. קבע את תיאבון הסיכון שלך

אי אפשר להגיע לשלמות בכל תחומי הסיכון. צוותי אבטחה יכולים בסופו של דבר לשחק חפרפרת ולאבד את הפוקוס על סיכונים עדינים יותר. צריכה להתקיים שיחה ברמה העסקית כדי להגדיר היכן טמונים סיכוני האבטחה הגדולים ביותר של הארגון והיכן להקדיש משאבים, וכן תחומים בהם נוח למנהליו עם רמת סיכון מסוימת. פגיעות קריטית כמו MOVEit, למשל, עלולה לייצג סיכון מקובל בתחום אחד של העסק, אך לא באזור אחר שיש לו מערכות שכבה 1 עם תוספת אפס עד מינימלית להשפעה על שלישיית ה-CIA של סודיות, יושרה וזמינות. ראה היכן נמצאות הפגיעות הגדולות ביותר בתעשייה שלך ואת סוגי ההתקפות שמכוונות בדרך כלל לעסקים במרחב שלך כדי לבצע הערכת סיכונים.

2. הגדר יעדים גמישים וניתנים להשגה

השלב הבא הוא להגדיר מדיניות אבטחה ברת השגה, בהתבסס על הערכת הסיכונים שלך, המתמקדת בהתקדמות מצטברת. אתה לא יכול לקפוץ מתיקון של 50% מהחולשות ל-95% בן לילה. חשוב להבין את המשאבים שיידרשו כדי להגיע למטרה שלך ועל אילו הזדמנויות תוותר על ידי הכוונה לתיקון כולל לעומת 85%. אולי לא שווה את ההשקעה כדי לסגור את הנקודות האחרונות האלה.

במקום להציב יעד סטטי ולכוון לשלמות, התמקדו בשיפור התוכנית ביחס למקום בו הייתם קודם לכן. השאלות שאתה צריך לשאול הן: האם אנחנו מתקדמים בכיוון הנכון? האם התוכנית משתפרת? האם אנחנו מפחיתים את הסיכון בסך הכל?

3. בצע הערכה מחדש באופן קבוע

מכיוון שפגיעויות ושיטות תקיפה משתנות תמיד, מנהיגי אבטחה צריכים לקיים דיונים באופן קבוע עם העסק הרחב יותר כדי להעריך מחדש את תיאבון הסיכון ואת מדיניות האבטחה. לכל הפחות, זה צריך להיעשות מדי שנה. להעריך מחדש אם היעדים מתאימים לסיכונים ידועים ולסובלנות לסיכונים, וקבל החלטות מודעות לגבי הפשרות.

לדוגמה, אתה עשוי לקבוע שניתן לטפל ב-85% מהחולשות הקריטיות בתוך 10 ימים. כדי להגיע ל-90%, X כמות משאבים, המתבטאת במונחים כמו השקעה כספית, זמן או אנשים, יידרש. ייתכן ש-85% הם רמת סיכון מקובלת כשנשקלים אותם מול המשאבים הנוספים הללו.

שאפו להתקדמות, לא לשלמות

אין לקבל החלטות לגבי סיכון בחלל ריק. זו הסיבה שמנהיגי אבטחה חייבים להיות כאלה שיחות עם מנהיגים עסקיים אחרים והדירקטוריון. השורה התחתונה: רק לעתים נדירות ניתן להשיג שלמות בתעשייה הזו, והשאיפה למוחלט הזה יכולה להזיק יותר מתועלת. במקום זאת, התמקד בהתקדמות. הגדר יעדים ריאליים, בצע צעדים קטנים כדי להגיע לשם, והמשיכו להעלות את הרף עד שתגיעו לרמה האופטימלית של הפחתת סיכונים.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes