KOMENTARZ
Kontekst i wskaźniki kierujące oceną ryzyka stale się zmieniają, podobnie jak nasze rozumienie postępu jako zespołu ds. bezpieczeństwa. Nie da się zmierzyć wszystkiego i to, że można to zmierzyć, nie znaczy, że jest to ważne. Dzięki temu łatwo jest zgubić się w szczegółach i przegapić szerszy obraz: czy ulepszamy się kierunkowo?
Dużą część problemu stanowi standardowa polityka bezpieczeństwa, która dąży do perfekcji, tracąc z oczu możliwe do osiągnięcia cele. W naszej branży mamy zasady, które mówią na przykład „wszystkie luki wysokiego ryzyka muszą zostać usunięte w ciągu 10 dni” lub „każdy dostęp użytkowników musi być sprawdzany co kwartał”. Założenie jest takie, że będziesz dążył do 100%, bez rozmowy o tym, czy jest to osiągalne i jakie zasoby będą potrzebne, aby osiągnąć ten cel.
Zwykle zespołowi bezpieczeństwa udaje się osiągnąć ten cel w 70% przypadków, co uznaje się za porażkę. Zespół często poświęca zbyt dużą liczbę zasobów, próbując załatać lukę, na przykład usuwając 70% krytycznych luk w zabezpieczeniach i zajmując cel polityki wynoszący 100%. Może się to skończyć nadwyrężaniem zasobów w celu dążenia do doskonałości, gdy można je lepiej wydać gdzie indziej.
Jako branża musimy cofnąć się o krok i ponownie ocenić zasady i wskaźniki kierujące naszymi programami, decydując, czy są one realistyczne i czy w ogóle są właściwymi pomiarami. Oto trzy kroki, które należy podjąć, aby to osiągnąć.
1. Określ swój apetyt na ryzyko
Nie da się osiągnąć doskonałości we wszystkich obszarach ryzyka. Zespoły ds. bezpieczeństwa mogą w końcu bawić się w walnięcie kreta i stracić koncentrację na bardziej subtelnych zagrożeniach. Należy przeprowadzić rozmowę na poziomie biznesowym, aby określić, gdzie leżą największe zagrożenia dla bezpieczeństwa organizacji i gdzie przeznaczyć zasoby, a także obszary, w których kadra kierownicza nie czuje się komfortowo z pewnym poziomem ryzyka. Krytyczna luka w zabezpieczeniach, taka jak na przykład MOVEit, może stanowić akceptowalne ryzyko w jednym obszarze przedsiębiorstwa, ale nie w innym obszarze, w którym znajdują się systemy pierwszego poziomu z zerowym lub minimalnym dopuszczalnym wpływem na triada CIA poufności, integralności i dostępności. Przyjrzyj się, gdzie w Twojej branży występują największe luki w zabezpieczeniach i jakie rodzaje ataków są najczęściej wymierzone w firmy w Twojej branży, aby przeprowadzić ocenę ryzyka.
2. Wyznaczaj elastyczne, osiągalne cele
Następnym krokiem jest ustalenie osiągalnych polityk bezpieczeństwa w oparciu o ocenę ryzyka, które skupiają się na stopniowym postępie. Nie da się przeskoczyć z łatania 50% luk do 95% z dnia na dzień. Ważne jest, aby zrozumieć, jakie zasoby będą potrzebne do osiągnięcia celu i jakie możliwości zrezygnujesz, dążąc do całkowitej liczby poprawek w porównaniu do 85%. Zamknięcie tych kilku ostatnich punktów może nie być warte inwestycji.
Zamiast wyznaczać statyczny cel i dążyć do perfekcji, skup się na ulepszaniu programu w stosunku do tego, gdzie byłeś wcześniej. Pytania, które powinieneś sobie zadać, to: Czy zmierzamy we właściwym kierunku? Czy program się poprawia? Czy ogólnie zmniejszamy ryzyko?
3. Regularnie dokonuj ponownej oceny
Ponieważ luki w zabezpieczeniach i metody ataków stale się zmieniają, liderzy ds. bezpieczeństwa powinni regularnie przeprowadzać dyskusje z szerzej rozumianą firmą, aby ponownie ocenić apetyt na ryzyko i zasady bezpieczeństwa. Należy to robić co najmniej raz w roku. Oceń ponownie, czy cele są zgodne ze znanym ryzykiem i tolerancją na ryzyko, a następnie podejmuj świadome decyzje dotyczące kompromisów.
Można na przykład określić, że można usunąć 85% krytycznych luk w zabezpieczeniach w ciągu 10 dni. Aby osiągnąć 90%, X ilość zasobów wyrażona w kategoriach takich jak inwestycja pieniężna, czas lub ludzie, będzie wymagane. W porównaniu z dodatkowymi zasobami może się okazać, że 85% to akceptowalny poziom ryzyka.
Dąż do postępu, a nie do perfekcji
Decyzji dotyczących ryzyka nie należy podejmować w próżni. Dlatego przywódcy bezpieczeństwa muszą je mieć rozmowy z innymi liderami biznesu i zarządem. Konkluzja: w tej branży doskonałość jest rzadko osiągalna, a dążenie do tego absolutu może wyrządzić więcej szkody niż pożytku. Zamiast tego skup się na robieniu postępów. Wyznaczaj realistyczne cele, rób małe kroki, aby je osiągnąć i podnoś poprzeczkę, aż osiągniesz optymalny poziom ograniczenia ryzyka.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 1
- 10
- 7
- 95%
- a
- O nas
- bezwzględny
- do przyjęcia
- dostęp
- osiągalny
- Osiągać
- Dodatkowy
- adres
- zaadresowany
- adresowanie
- przed
- zmierzać
- Cel
- Cele
- wyrównany
- Wszystkie kategorie
- zawsze
- ilość
- an
- i
- Rocznie
- Inne
- apetyt
- SĄ
- POWIERZCHNIA
- obszary
- AS
- pytanie
- oszacowanie
- oceny
- założenie
- At
- atakować
- Ataki
- dostępność
- z powrotem
- bar
- na podstawie
- BE
- bo
- zanim
- Ulepsz Swój
- Duży
- większe
- Najwyższa
- Dolny
- szerszy
- biznes
- Liderzy biznesu
- biznes
- ale
- by
- CAN
- pewien
- wymiana pieniędzy
- Zamknij
- wygodny
- powszechnie
- poufność
- świadomy
- stale
- kontekst
- Rozmowa
- mógłby
- krytyczny
- Dni
- Decydowanie
- Decyzje
- uważane
- określić
- detale
- Ustalać
- kierunek
- dyskusje
- do
- robi
- zrobić
- łatwo
- gdzie indziej
- zakończenia
- Parzyste
- wszystko
- przykład
- kierownictwo
- wyrażone
- Brak
- kilka
- Znajdź
- elastyczne
- Skupiać
- W razie zamówieenia projektu
- od
- szczelina
- otrzymać
- Dać
- cel
- Gole
- dobry
- przewodnictwo
- zaszkodzić
- Have
- tutaj
- wysokie ryzyko
- Dobranie (Hit)
- przytrzymaj
- HTTPS
- Rezultat
- ważny
- niemożliwy
- poprawy
- in
- przyrostowe
- przemysł
- przykład
- zamiast
- integralność
- inwestycja
- IT
- JEGO
- jpg
- skok
- właśnie
- Trzymać
- znany
- Nazwisko
- Przywódcy
- poziom
- kłamstwo
- lubić
- Linia
- ll
- Popatrz
- WYGLĄD
- stracić
- utraty
- stracił
- zrobiony
- robić
- WYKONUJE
- Dokonywanie
- Może..
- oznaczać
- zmierzyć
- Pomiary
- zmierzenie
- metody
- Metryka
- minimalny
- minimum
- tęsknić
- łagodzenie
- jeszcze
- przeniesienie
- musi
- Potrzebować
- wymagania
- Następny
- Nie
- numer
- of
- często
- on
- ONE
- Szanse
- Optymalny
- or
- organizacja
- Inne
- ludzkiej,
- ogólny
- w ciągu nocy
- część
- łatanie
- Ludzie
- doskonałość
- wykonać
- obraz
- plato
- Analiza danych Platona
- PlatoDane
- gra
- zwrotnica
- polityka
- polityka
- możliwy
- Problem
- Program
- Programy
- Postęp
- kwartalnie
- pytania
- wychowywanie
- rzadko
- RE
- osiągnięty
- realistyczny
- redukcja
- przewartościować
- regularnie
- względny
- reprezentować
- wymagany
- Zasoby
- recenzja
- prawo
- Ryzyko
- apetyt na ryzyko
- ocena ryzyka
- ryzyko
- s
- powiedzieć
- bezpieczeństwo
- zasady bezpieczeństwa
- zagrożenia bezpieczeństwa
- zestaw
- ustawienie
- powinien
- Widok
- mały
- So
- Typ przestrzeni
- spędza
- spędził
- standard
- statyczny
- sterowniczy
- Ewolucja krok po kroku
- Cel
- Stop
- starać się
- systemy
- Brać
- cel
- zespół
- Zespoły
- REGULAMIN
- niż
- że
- Połączenia
- Tam.
- Te
- one
- to
- tych
- trzy
- poziom
- Poziom pierwszy
- czas
- do
- tolerancja
- Kwota produktów:
- stara
- typy
- zrozumieć
- zrozumienie
- aż do
- Użytkownik
- Odkurzać
- Ve
- Przeciw
- Luki w zabezpieczeniach
- wrażliwość
- we
- DOBRZE
- były
- walnięcie-a-mol
- Co
- jeśli chodzi o komunikację i motywację
- czy
- który
- Podczas
- dlaczego
- będzie
- w
- w ciągu
- wartość
- by
- You
- Twój
- zefirnet
- zero
