פַּרשָׁנוּת
ההקשר והמדדים המנחים הערכות סיכונים משתנים כל הזמן, וכך גם ההבנה שלנו כיצד נראית ההתקדמות כצוות אבטחה. אי אפשר למדוד הכל, וזה שאתה יכול למדוד את זה לא אומר שזה חשוב. זה מקל ללכת לאיבוד בפרטים ולהחמיץ את התמונה הגדולה יותר: האם אנחנו משתפרים כיוונית?
חלק גדול מהבעיה הוא מדיניות האבטחה הסטנדרטית, שמטרתה שלמות תוך איבוד הראייה של יעדים ברי השגה. בתעשייה שלנו יש לנו מדיניות שאומרת, למשל, "יש לטפל בכל נקודות התורפה בסיכון גבוה תוך 10 ימים", או "יש לבדוק את כל גישת המשתמש מדי רבעון". ההנחה היא שתשאפו ל-100%, ללא שיחה אם זה בר השגה ואילו משאבים יידרשו כדי להגיע למטרה זו.
בדרך כלל, צוות אבטחה יגיע ליעד זה 70% מהמקרים, מה שנחשב לכישלון. צוות מוציא לעתים קרובות מספר גדול של משאבים בניסיון לסגור את הפער, למשל, על ידי טיפול ב-70% מהחולשות הקריטיות ויעד המדיניות של 100%. הם עלולים בסופו של דבר להתאמץ משאבים כדי לשאוף לשלמות כאשר משאבים אלה יכולים להיות מנוצלים יותר במקום אחר.
כתעשייה, אנחנו צריכים לקחת צעד אחורה ולהעריך מחדש את המדיניות והמדדים המכוונים את התוכניות שלנו, להחליט אם הם מציאותיים והאם הם בכלל המידות הנכונות. הנה שלושה צעדים שצריך לנקוט כדי להשיג זאת.
1. קבע את תיאבון הסיכון שלך
אי אפשר להגיע לשלמות בכל תחומי הסיכון. צוותי אבטחה יכולים בסופו של דבר לשחק חפרפרת ולאבד את הפוקוס על סיכונים עדינים יותר. צריכה להתקיים שיחה ברמה העסקית כדי להגדיר היכן טמונים סיכוני האבטחה הגדולים ביותר של הארגון והיכן להקדיש משאבים, וכן תחומים בהם נוח למנהליו עם רמת סיכון מסוימת. פגיעות קריטית כמו MOVEit, למשל, עלולה לייצג סיכון מקובל בתחום אחד של העסק, אך לא באזור אחר שיש לו מערכות שכבה 1 עם תוספת אפס עד מינימלית להשפעה על שלישיית ה-CIA של סודיות, יושרה וזמינות. ראה היכן נמצאות הפגיעות הגדולות ביותר בתעשייה שלך ואת סוגי ההתקפות שמכוונות בדרך כלל לעסקים במרחב שלך כדי לבצע הערכת סיכונים.
2. הגדר יעדים גמישים וניתנים להשגה
השלב הבא הוא להגדיר מדיניות אבטחה ברת השגה, בהתבסס על הערכת הסיכונים שלך, המתמקדת בהתקדמות מצטברת. אתה לא יכול לקפוץ מתיקון של 50% מהחולשות ל-95% בן לילה. חשוב להבין את המשאבים שיידרשו כדי להגיע למטרה שלך ועל אילו הזדמנויות תוותר על ידי הכוונה לתיקון כולל לעומת 85%. אולי לא שווה את ההשקעה כדי לסגור את הנקודות האחרונות האלה.
במקום להציב יעד סטטי ולכוון לשלמות, התמקדו בשיפור התוכנית ביחס למקום בו הייתם קודם לכן. השאלות שאתה צריך לשאול הן: האם אנחנו מתקדמים בכיוון הנכון? האם התוכנית משתפרת? האם אנחנו מפחיתים את הסיכון בסך הכל?
3. בצע הערכה מחדש באופן קבוע
מכיוון שפגיעויות ושיטות תקיפה משתנות תמיד, מנהיגי אבטחה צריכים לקיים דיונים באופן קבוע עם העסק הרחב יותר כדי להעריך מחדש את תיאבון הסיכון ואת מדיניות האבטחה. לכל הפחות, זה צריך להיעשות מדי שנה. להעריך מחדש אם היעדים מתאימים לסיכונים ידועים ולסובלנות לסיכונים, וקבל החלטות מודעות לגבי הפשרות.
לדוגמה, אתה עשוי לקבוע שניתן לטפל ב-85% מהחולשות הקריטיות בתוך 10 ימים. כדי להגיע ל-90%, X כמות משאבים, המתבטאת במונחים כמו השקעה כספית, זמן או אנשים, יידרש. ייתכן ש-85% הם רמת סיכון מקובלת כשנשקלים אותם מול המשאבים הנוספים הללו.
שאפו להתקדמות, לא לשלמות
אין לקבל החלטות לגבי סיכון בחלל ריק. זו הסיבה שמנהיגי אבטחה חייבים להיות כאלה שיחות עם מנהיגים עסקיים אחרים והדירקטוריון. השורה התחתונה: רק לעתים נדירות ניתן להשיג שלמות בתעשייה הזו, והשאיפה למוחלט הזה יכולה להזיק יותר מתועלת. במקום זאת, התמקד בהתקדמות. הגדר יעדים ריאליים, בצע צעדים קטנים כדי להגיע לשם, והמשיכו להעלות את הרף עד שתגיעו לרמה האופטימלית של הפחתת סיכונים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 7
- 95%
- a
- אודות
- מוּחלָט
- קביל
- גישה
- בר השגה
- להשיג
- נוסף
- כתובת
- ממוען
- פְּנִיָה
- נגד
- המטרה
- מכוון
- מטרות
- מיושר
- תעשיות
- תמיד
- כמות
- an
- ו
- מדי שנה
- אחר
- תאבון
- ARE
- AREA
- אזורים
- AS
- לשאול
- הערכה
- הערכות
- הנחה
- At
- לתקוף
- המתקפות
- זמינות
- בחזרה
- בָּר
- מבוסס
- BE
- כי
- לפני
- מוטב
- גָדוֹל
- גדול
- הגדול ביותר
- תַחתִית
- רחב
- עסקים
- מנהיגים עסקיים
- עסקים
- אבל
- by
- CAN
- מסוים
- משתנה
- סְגוֹר
- נוח
- בדרך כלל
- סודיות
- מודע
- תמיד
- הקשר
- שיחה
- יכול
- קריטי
- ימים
- מחליטים
- החלטות
- נחשב
- לְהַגדִיר
- פרטים
- לקבוע
- כיוון
- דיונים
- do
- לא איכפת
- עשה
- קל
- במקום אחר
- סוף
- אֲפִילוּ
- הכל
- דוגמה
- כעובדים בכירים
- ביטא
- כשלון
- מעטים
- גמיש
- להתמקד
- בעד
- החל מ-
- פער
- לקבל
- לתת
- מטרה
- שערים
- טוב
- מנחה
- לפגוע
- יש
- כאן
- סיכון גבוה
- מכה
- להחזיק
- HTTPS
- פְּגִיעָה
- חשוב
- בלתי אפשרי
- שיפור
- in
- מצטבר
- תעשייה
- למשל
- במקום
- שלמות
- השקעה
- IT
- שֶׁלָה
- jpg
- לקפוץ
- רק
- שמור
- ידוע
- אחרון
- מנהיגים
- רמה
- שקר
- כמו
- קו
- ll
- נראה
- נראה
- להפסיד
- לאבד
- אבוד
- עשוי
- לעשות
- עושה
- עשייה
- מאי..
- אומר
- למדוד
- מידות
- מדידת
- שיטות
- מדדים
- מינימלי
- מינימום
- עלמה
- הֲקָלָה
- יותר
- נע
- צריך
- צורך
- צרכי
- הבא
- לא
- מספר
- of
- לעתים קרובות
- on
- ONE
- הזדמנויות
- אופטימלי
- or
- ארגון
- אחר
- שלנו
- מקיף
- בין לילה
- חלק
- תיקון
- אֲנָשִׁים
- שלמות
- לְבַצֵעַ
- תמונה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- משחק
- נקודות
- מדיניות
- מדיניות
- אפשרי
- בעיה
- תָכְנִית
- תוכניות
- התקדמות
- רִבעוֹן
- שאלות
- העלאה
- לעתים רחוקות
- RE
- הגיע
- מציאותי
- הפחתה
- להעריך מחדש
- באופן קבוע
- קרוב משפחה
- לייצג
- נדרש
- משאבים
- סקר
- תקין
- הסיכון
- תיאבון לסיכון
- הערכת סיכונים
- סיכונים
- s
- לומר
- אבטחה
- מדיניות אבטחה
- סיכוני אבטחה
- סט
- הצבה
- צריך
- מראה
- קטן
- So
- מֶרחָב
- מבלה
- בילה
- תֶקֶן
- סטטי
- היגוי
- שלב
- צעדים
- עצור
- לשאוף
- מערכות
- לקחת
- יעד
- נבחרת
- צוותי
- מונחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- שם.
- אלה
- הֵם
- זֶה
- אלה
- שְׁלוֹשָׁה
- נִדבָּך
- שכבה אחת
- זמן
- ל
- סובלנות
- סה"כ
- מנסה
- סוגים
- להבין
- הבנה
- עד
- משתמש
- חלל
- Ve
- נגד
- פגיעויות
- פגיעות
- we
- טוֹב
- היו
- ואק-חפרפרת
- מה
- מתי
- אם
- אשר
- בזמן
- למה
- יצטרך
- עם
- בתוך
- ראוי
- היה
- אתה
- זפירנט
- אפס