Het is tijd om te stoppen met het meten van veiligheid in absolute cijfers

COMMENTAAR

De context en maatstaven die aan de basis liggen van risicobeoordelingen veranderen voortdurend, en dat geldt ook voor ons begrip van hoe vooruitgang eruit ziet als beveiligingsteam. Het is niet mogelijk om alles te meten, en het feit dat je het kunt meten betekent niet dat het belangrijk is. Dit maakt het gemakkelijk om te verdwalen in de details en het grotere plaatje te missen: zijn we gericht aan het verbeteren?

Een groot deel van het probleem is het standaard veiligheidsbeleid, dat streeft naar perfectie en tegelijkertijd de haalbare doelen uit het oog verliest. In onze branche hebben we beleid dat bijvoorbeeld zegt: “alle kwetsbaarheden met een hoog risico moeten binnen tien dagen worden aangepakt” of “alle gebruikerstoegang moet elk kwartaal worden beoordeeld.” De veronderstelling is dat je voor 10% zult streven, zonder dat er sprake is van een gesprek over de vraag of dit haalbaar is en welke middelen nodig zijn om dat doel te bereiken.

Normaal gesproken zal een beveiligingsteam dat doel in 70% van de gevallen bereiken, wat als een mislukking wordt beschouwd. Een team besteedt vaak een buitensporig aantal middelen om de kloof te dichten, bijvoorbeeld door die 70% van de kritieke kwetsbaarheden aan te pakken en de beleidsdoelstelling van 100% te bereiken. Het kan zijn dat ze uiteindelijk een beroep doen op de middelen om naar perfectie te streven, terwijl die middelen beter elders kunnen worden besteed.

Als sector moeten we een stapje terug doen en het beleid en de maatstaven die onze programma's sturen opnieuw evalueren, om te beslissen of ze realistisch zijn en of ze zelfs maar de juiste metingen zijn. Hier zijn drie stappen die u kunt nemen om dit te bereiken.

1. Bepaal uw risicobereidheid

Het is onmogelijk om perfectie te bereiken op alle risicogebieden. Beveiligingsteams kunnen uiteindelijk een spelletje spelen en de focus verliezen op subtielere risico's. Er moet een gesprek op bedrijfsniveau plaatsvinden om te bepalen waar de grootste veiligheidsrisico's van de organisatie liggen en waar de middelen aan moeten worden besteed, evenals de gebieden waarop de leidinggevenden zich op hun gemak voelen met een bepaald risiconiveau. Een kritieke kwetsbaarheid zoals MOVEit zou bijvoorbeeld een aanvaardbaar risico kunnen vertegenwoordigen op een bepaald gebied van een bedrijf, maar niet op een ander gebied waar tier 1-systemen bestaan ​​waarbij geen tot minimale rekening wordt gehouden met een impact op de bedrijfsvoering. CIA triade van vertrouwelijkheid, integriteit en beschikbaarheid. Kijk waar de grootste kwetsbaarheden binnen uw branche liggen en welke soorten aanvallen vaak op bedrijven in uw branche zijn gericht, om een ​​risicobeoordeling uit te voeren.

2. Stel flexibele, haalbare doelen

De volgende stap is het opstellen van een haalbaar beveiligingsbeleid, gebaseerd op uw risicobeoordeling, dat zich richt op stapsgewijze vooruitgang. Je kunt niet van de ene op de andere dag van het patchen van 50% van de kwetsbaarheden naar 95% springen. Het is belangrijk om te begrijpen welke middelen nodig zijn om uw doel te bereiken en welke kansen u zult opgeven als u streeft naar totale patching versus 85%. Het is misschien niet de investering waard om die laatste paar punten af ​​te sluiten.

In plaats van een statisch doel te stellen en naar perfectie te streven, kunt u zich concentreren op het verbeteren van het programma ten opzichte van waar u voorheen was. De vragen die u zich moet stellen zijn: Zijn we op de goede weg? Wordt het programma beter? Verminderen we het risico in het algemeen?

3. Evalueer regelmatig opnieuw

Omdat kwetsbaarheden en aanvalsmethoden voortdurend veranderen, moeten beveiligingsleiders regelmatig gesprekken voeren met het bredere bedrijfsleven om de risicobereidheid en het beveiligingsbeleid opnieuw te beoordelen. Dit dient minimaal jaarlijks te gebeuren. Evalueer opnieuw of de doelen in lijn zijn met bekende risico's en risicotolerantie, en neem bewuste beslissingen over de afwegingen.

U kunt bijvoorbeeld vaststellen dat het haalbaar is om 85% van de kritieke kwetsbaarheden binnen tien dagen aan te pakken. Om 10% te bereiken, X hoeveelheid middelen, uitgedrukt in termen als monetaire investeringen, tijd of mensen, zal vereist zijn. Mogelijk vindt u 85% een acceptabel risiconiveau als u dit afweegt tegen de extra middelen.

Streef naar vooruitgang, niet naar perfectie

Beslissingen over risico’s mogen niet in een vacuüm worden genomen. Dit is de reden waarom veiligheidsleiders deze moeten hebben gesprekken met andere bedrijfsleiders en het bestuur. Het komt erop neer: perfectie is in deze branche zelden haalbaar, en het streven naar dat absolute kan meer kwaad dan goed doen. Concentreer u in plaats daarvan op het boeken van vooruitgang. Stel realistische doelen, onderneem kleine stappen om daar te komen en blijf de lat steeds hoger leggen totdat u het optimale niveau van risicobeperking heeft bereikt.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes