KOMMENTAR
Konteksten og beregningene som styrer risikovurderinger er i konstant endring, og det samme er vår forståelse av hvordan fremgang ser ut som et sikkerhetsteam. Det er ikke mulig å måle alt, og bare fordi du kan måle det betyr ikke det at det er viktig. Dette gjør det lett å gå seg vill i detaljene og gå glipp av det større bildet: Blir vi retningsmessig forbedret?
En stor del av problemet er standard sikkerhetspolicy, som tar sikte på perfeksjon samtidig som man mister av syne oppnåelige mål. I vår bransje har vi retningslinjer som for eksempel sier "alle høyrisikosårbarheter må løses innen 10 dager," eller "all brukertilgang må gjennomgås kvartalsvis." Forutsetningen er at du vil strebe etter 100 %, uten noen samtale om hvorvidt dette er oppnåelig og hvilke ressurser som vil kreves for å nå det målet.
Vanligvis vil et sikkerhetsteam nå det målet 70 % av tiden, noe som anses som en fiasko. Et team bruker ofte et overdimensjonert antall ressurser på å prøve å tette gapet, for eksempel ved å adressere de 70 % av kritiske sårbarhetene og policyens mål på 100 %. De kan ende opp med å anstrenge ressurser for å sikte på perfeksjon når disse ressursene kan brukes bedre andre steder.
Som bransje må vi ta et skritt tilbake og revurdere retningslinjene og beregningene som styrer programmene våre, og avgjøre om de er realistiske og om de til og med er de riktige målingene. Her er tre trinn å ta for å oppnå dette.
1. Bestem din risikoappetitt
Det er umulig å oppnå perfeksjon på alle risikoområder. Sikkerhetsteam kan ende opp med å spille mule og miste fokus på mer subtile risikoer. Det må være en samtale på forretningsnivå for å definere hvor organisasjonens største sikkerhetsrisikoer ligger og hvor de skal bruke ressurser, samt områder der lederne er komfortable med et visst risikonivå. En kritisk sårbarhet som MOVEit, for eksempel, kan representere en akseptabel risiko i ett område av en virksomhet, men ikke i et annet område som har lag 1-systemer med null til minimal kvote for innvirkning på CIA-triade av konfidensialitet, integritet og tilgjengelighet. Se på hvor de største sårbarhetene ligger i din bransje og hvilke typer angrep som vanligvis retter seg mot bedrifter i ditt område for å utføre en risikovurdering.
2. Sett fleksible, oppnåelige mål
Det neste trinnet er å sette oppnåelige sikkerhetspolicyer, basert på risikovurderingen din, som fokuserer på inkrementell fremgang. Du kan ikke hoppe fra å lappe 50 % av sårbarhetene til 95 % over natten. Det er viktig å forstå ressursene det vil ta for å nå målet ditt og hvilke muligheter du vil gi opp ved å sikte på total patching versus 85 %. Det er kanskje ikke verdt investeringen å lukke de siste punktene.
I stedet for å sette et statisk mål og sikte på perfeksjon, fokuser på å forbedre programmet i forhold til der du var før. Spørsmålene du bør stille deg er: Går vi i riktig retning? Blir programmet bedre? Reduserer vi risikoen totalt sett?
3. Revurder regelmessig
Siden sårbarheter og angrepsmetoder alltid endrer seg, bør sikkerhetsledere holde diskusjoner regelmessig med den bredere virksomheten for å revurdere risikovilje og sikkerhetspolitikk. Dette bør minimum gjøres årlig. Revurder om målene er på linje med kjente risikoer og risikotoleranse, og ta bevisste beslutninger om avveiningene.
Du kan for eksempel finne ut at det er mulig å løse 85 % av kritiske sårbarheter innen 10 dager. For å komme til 90 %, X mengden ressurser, uttrykt i termer som pengeinvestering, tid eller mennesker, vil være nødvendig. Du kan finne at 85 % er et akseptabelt risikonivå når det veies opp mot de ekstra ressursene.
Sikt på fremgang, ikke perfeksjon
Beslutninger om risiko bør ikke tas i et vakuum. Dette er grunnen til at sikkerhetsledere må ha disse samtaler med andre bedriftsledere og styret. Konklusjonen: Perfeksjon er sjelden oppnåelig i denne bransjen, og å sikte på det absolutte kan gjøre mer skade enn nytte. Fokuser heller på fremgang. Sett realistiske mål, ta små skritt for å komme dit, og fortsett å heve listen til du har nådd det optimale nivået for risikoreduksjon.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 10
- 7
- 95%
- a
- Om oss
- Absolute
- akseptabelt
- adgang
- oppnåelig
- Oppnå
- Ytterligere
- adresse
- adressert
- adressering
- mot
- sikte
- Sikter
- mål
- justert
- Alle
- alltid
- beløp
- an
- og
- Årlig
- En annen
- appetitt
- ER
- AREA
- områder
- AS
- spør
- evaluering
- vurderingene
- forutsetningen
- At
- angripe
- Angrep
- tilgjengelighet
- tilbake
- Bar
- basert
- BE
- fordi
- før du
- Bedre
- Stor
- større
- Biggest
- Bunn
- bredere
- virksomhet
- Bedriftsledere
- bedrifter
- men
- by
- CAN
- viss
- endring
- Lukke
- komfortabel
- vanligvis
- konfidensialitet
- bevisst
- stadig
- kontekst
- Samtale
- kunne
- kritisk
- Dager
- Avgjør
- avgjørelser
- anses
- definere
- detaljer
- Bestem
- retning
- diskusjoner
- do
- doesn
- gjort
- lett
- andre steder
- slutt
- Selv
- alt
- eksempel
- ledere
- uttrykte
- Failure
- Noen få
- Finn
- fleksibel
- Fokus
- Til
- fra
- mellomrom
- få
- Gi
- mål
- Mål
- god
- førings
- skade
- Ha
- her.
- høy risiko
- hit
- hold
- HTTPS
- Påvirkning
- viktig
- umulig
- bedre
- in
- inkrementell
- industri
- f.eks
- i stedet
- integritet
- investering
- IT
- DET ER
- jpg
- hoppe
- bare
- Hold
- kjent
- Siste
- ledere
- Nivå
- løgn
- i likhet med
- linje
- ll
- Se
- UTSEENDE
- taper
- å miste
- tapte
- laget
- gjøre
- GJØR AT
- Making
- Kan..
- bety
- måle
- målinger
- måling
- metoder
- Metrics
- minimal
- minimum
- gå glipp av
- skadebegrensning
- mer
- flytting
- må
- Trenger
- behov
- neste
- Nei.
- Antall
- of
- ofte
- on
- ONE
- Muligheter
- optimal
- or
- organisasjon
- Annen
- vår
- samlet
- over natten
- del
- patching
- Ansatte
- perfeksjon
- Utfør
- bilde
- plato
- Platon Data Intelligence
- PlatonData
- spiller
- poeng
- Politikk
- politikk
- mulig
- Problem
- program
- programmer
- Progress
- kvartal
- spørsmål
- heve
- sjelden
- RE
- nådd
- realistisk
- redusere
- revurdere
- regelmessig
- slektning
- representere
- påkrevd
- Ressurser
- anmeldt
- ikke sant
- Risiko
- risikoappetitt
- risikovurdering
- risikoer
- s
- sier
- sikkerhet
- sikkerhetspolitikk
- sikkerhetsrisiko
- sett
- innstilling
- bør
- Syn
- liten
- So
- Rom
- tilbringer
- brukt
- Standard
- statisk
- styring
- Trinn
- Steps
- Stopp
- streber
- Systemer
- Ta
- Target
- lag
- lag
- vilkår
- enn
- Det
- De
- Der.
- Disse
- de
- denne
- De
- tre
- nivået
- Nivå XNUMX
- tid
- til
- toleranse
- Totalt
- prøver
- typer
- forstå
- forståelse
- til
- Bruker
- Vakuum
- Ve
- Versus
- Sikkerhetsproblemer
- sårbarhet
- we
- VI VIL
- var
- klask-en-føflekk
- Hva
- når
- om
- hvilken
- mens
- hvorfor
- vil
- med
- innenfor
- verdt
- ville
- Du
- Din
- zephyrnet
- null
