解説
リスク評価を導くコンテキストと指標は常に変化しており、セキュリティ チームとしての進捗状況についての理解も変化しています。すべてを測定することは不可能ですし、測定できるからといってそれが重要であるとは限りません。そのため、細部に気を取られ、方向性が向上しているかどうかという全体像を見逃してしまいがちです。
問題の大きな部分は、達成可能な目標を見失いながら完璧を目指す標準的なセキュリティ ポリシーにあります。私たちの業界には、たとえば、「すべての高リスクの脆弱性は 10 日以内に対処する必要がある」、または「すべてのユーザー アクセスを四半期ごとにレビューする必要がある」などのポリシーがあります。 100% を目指して努力することが前提となっており、それが達成可能かどうか、その目標を達成するにはどのようなリソースが必要かについては会話がありません。
通常、セキュリティ チームは 70% の確率でその目標を達成しますが、これは失敗とみなされます。チームは、たとえば重大な脆弱性の 70% とポリシーの目標 100% に対処するなど、ギャップを埋めるために膨大なリソースを費やすことがよくあります。他の場所にリソースを費やしたほうがよいのに、完璧を目指すためにリソースを費やしてしまう可能性があります。
業界として、私たちは一歩下がって、プログラムを運営するポリシーと指標を再評価し、それらが現実的かどうか、さらには正しい測定値であるかどうかを判断する必要があります。これを達成するために必要な 3 つのステップを次に示します。
1. 自分のリスク選好度を判断する
リスクのあるすべての領域で完璧を達成することは不可能です。セキュリティ チームはもぐらたたきをすることになり、より微妙なリスクに集中できなくなる可能性があります。組織の最大のセキュリティ リスクがどこにあるのか、どこにリソースを投入するのか、また経営幹部が一定レベルのリスクを許容できる領域を定義するには、ビジネス レベルでの話し合いが必要です。たとえば、MOVEit のような重大な脆弱性は、ビジネスのある領域では許容可能なリスクを表す可能性がありますが、ビジネスへの影響がゼロまたは最小限の第 1 層システムを備えた別の領域では許容できないリスクとなります。 CIAトライアド 機密性、完全性、可用性の点で重要です。リスク評価を実行するには、業界内で最大の脆弱性がどこにあるのか、また、その分野の企業を一般的に標的とする攻撃の種類を調べてください。
2. 柔軟で達成可能な目標を設定する
次のステップは、リスク評価に基づいて、漸進的な進歩に重点を置いた達成可能なセキュリティ ポリシーを設定することです。脆弱性の 50% にパッチを適用したところから、一夜にして 95% にパッチを適用することはできません。目標を達成するために必要なリソースと、合計パッチ適用率と 85% を目指すことでどのような機会が放棄されるのかを理解することが重要です。最後のいくつかのポイントを解決するのに投資する価値はないかもしれません。
静的な目標を設定して完璧を目指すのではなく、以前の状態と比べてプログラムを改善することに集中してください。あなたが尋ねるべき質問は次のとおりです: 私たちは正しい方向に進んでいますか?プログラムは改善されていますか?全体的にリスクは軽減されていますか?
3. 定期的に再評価する
脆弱性と攻撃手法は常に変化するため、セキュリティ リーダーは、より広範な企業と定期的に話し合い、リスク選好とセキュリティ ポリシーを再評価する必要があります。少なくとも、これは毎年行う必要があります。目標が既知のリスクおよびリスク許容度に沿っているかどうかを再評価し、トレードオフについて意識的に決定を下します。
たとえば、85 日以内に重大な脆弱性の 10% に対処することが達成可能であると判断できます。 90%に到達するには、 X リソースの量。次のような用語で表現されます。 金銭的投資、時間、または人材、 が必要になります。これらの追加リソースと比較すると、85% が許容可能なリスク レベルであることがわかるかもしれません。
完璧ではなく進歩を目指す
リスクに関する決定は、独断で行うべきではありません。これが、セキュリティリーダーがこれらを備えている必要がある理由です。 他のビジネスリーダーや取締役会との会話。結論としては、この業界では完璧を達成することはほとんどなく、完璧を目指すことは良いことよりも害を及ぼす可能性があります。代わりに、進歩することに集中してください。現実的な目標を設定し、そこに到達するために小さなステップを踏み、最適なリスク軽減レベルに達するまでハードルを上げ続けます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :持っている
- :は
- :not
- :どこ
- $UP
- 1
- 10
- 7
- 視聴者の38%が
- a
- 私たちについて
- 絶対の
- ことができます。
- アクセス
- 達成可能な
- 達成する
- NEW
- 住所
- 対処する
- アドレッシング
- に対して
- 目指す
- 目指す
- 目指して
- 整列した
- すべて
- 常に
- 量
- an
- および
- 年単位
- 別の
- 食欲
- です
- AREA
- エリア
- AS
- 質問
- 評価
- アセスメント
- 仮定
- At
- 攻撃
- 攻撃
- 賃貸条件の詳細・契約費用のお見積り等について
- バック
- バー
- ベース
- BE
- なぜなら
- より良いです
- ビッグ
- より大きい
- 最大の
- ボトム
- より広い
- ビジネス
- ビジネスリーダー
- ビジネス
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 缶
- 一定
- 変化
- 閉じる
- 快適
- 一般に
- 秘密
- 意識
- 絶えず
- コンテキスト
- 会話
- 可能性
- 重大な
- 日
- 決定する
- 決定
- 考える
- 定義します
- 細部
- 決定する
- 方向
- 議論
- do
- doesnの
- 行われ
- 簡単に
- 他の場所で
- end
- さらに
- すべてのもの
- 例
- 幹部
- 表現
- 不良解析
- 少数の
- もう完成させ、ワークスペースに掲示しましたか?
- フレキシブル
- フォーカス
- から
- ギャップ
- 取得する
- 与える
- 目標
- 目標
- 良い
- 案内
- 害
- 持ってる
- こちら
- リスクが高い
- ヒット
- HTTPS
- 影響
- 重要
- 不可能
- 改善
- in
- インクリメンタル
- 産業を変えます
- を取得する必要がある者
- 整合性
- 投資
- IT
- ITS
- JPG
- ジャンプ
- ただ
- キープ
- 既知の
- 姓
- リーダー
- レベル
- リー
- ような
- LINE
- ll
- 見て
- LOOKS
- 失う
- 負け
- 失われた
- 製
- make
- 作る
- 作成
- 五月..
- 意味する
- だけど
- 測定結果
- 計測
- メソッド
- メトリック
- 最小限の
- 最小
- ミス
- 緩和
- 他には?
- 移動する
- しなければなりません
- 必要
- ニーズ
- 次の
- いいえ
- 数
- of
- 頻繁に
- on
- ONE
- 機会
- 最適な
- or
- 組織
- その他
- 私たちの
- 全体
- 一晩
- 部
- 補修
- のワークプ
- 完璧
- 実行する
- 画像
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 再生
- ポイント
- ポリシー
- 方針
- 可能
- 問題
- 演奏曲目
- プログラム
- 進捗
- 季刊
- 質問
- 調達
- まれに
- RE
- 達した
- 現実的な
- 縮小
- 再評価する
- 定期的に
- 相対
- 表す
- の提出が必要です
- リソース
- 日
- 右
- リスク
- リスク選好
- リスクアセスメント
- リスク
- s
- 言う
- セキュリティ
- セキュリティポリシー
- セキュリティリスク
- セッションに
- 設定
- すべき
- 視力
- 小さい
- So
- スペース
- 支出
- 費やした
- 標準
- 静的な
- 操舵
- 手順
- ステップ
- Force Stop
- 努力する
- システム
- 取る
- ターゲット
- チーム
- チーム
- 条件
- より
- それ
- そこ。
- ボーマン
- 彼ら
- この
- それらの
- 三
- 層
- 一次下請け企業
- 時間
- 〜へ
- 公差
- トータル
- しよう
- わかる
- 理解する
- まで
- ユーザー
- Ve
- 対
- 脆弱性
- 脆弱性
- we
- WELL
- した
- 強打-モル
- この試験は
- いつ
- かどうか
- which
- while
- なぜ
- 意志
- 以内
- 価値
- でしょう
- You
- あなたの
- ゼファーネット
- ゼロ