É hora de parar de medir a segurança em termos absolutos

COMENTÁRIO

O contexto e as métricas que orientam as avaliações de risco estão em constante mudança, assim como a nossa compreensão de como é o progresso como uma equipe de segurança. Não é possível medir tudo, e só porque você pode medir não significa que seja importante. Isso torna mais fácil se perder nos detalhes e perder o panorama geral: estamos melhorando direcionalmente?

Uma grande parte do problema é a política de segurança padrão, que visa a perfeição enquanto perde de vista os objetivos alcançáveis. Na nossa indústria temos políticas que dizem, por exemplo, “todas as vulnerabilidades de alto risco devem ser resolvidas no prazo de 10 dias” ou “todo o acesso dos utilizadores deve ser revisto trimestralmente”. A suposição é que você se esforçará 100%, sem nenhuma conversa sobre se isso é viável e quais recursos seriam necessários para atingir essa meta.

Normalmente, uma equipe de segurança atingirá essa meta em 70% das vezes, o que é considerado um fracasso. Uma equipe muitas vezes gasta uma quantidade enorme de recursos tentando preencher a lacuna, por exemplo, abordando esses 70% de vulnerabilidades críticas e a meta da política de 100%. Podem acabar por esgotar os recursos para alcançar a perfeição, quando esses recursos poderiam ser mais bem gastos noutro local.

Como indústria, precisamos de dar um passo atrás e reavaliar as políticas e métricas que orientam os nossos programas, decidindo se são realistas e se são mesmo as medidas corretas. Aqui estão três etapas a serem seguidas para conseguir isso.

1. Determine seu apetite pelo risco

É impossível alcançar a perfeição em todas as áreas de risco. As equipes de segurança podem acabar brincando e perder o foco em riscos mais sutis. É necessário haver uma conversa a nível empresarial para definir onde residem os maiores riscos de segurança da organização e onde dedicar recursos, bem como áreas em que os seus executivos se sentem confortáveis ​​com um determinado nível de risco. Uma vulnerabilidade crítica como o MOVEit, por exemplo, pode representar um risco aceitável numa área de um negócio, mas não noutra área que tenha sistemas de nível um com margem zero ou mínima para um impacto no Tríade da CIA confidencialidade, integridade e disponibilidade. Veja onde estão as maiores vulnerabilidades em seu setor e os tipos de ataques que geralmente atingem empresas em seu espaço para realizar uma avaliação de risco.

2. Estabeleça metas flexíveis e alcançáveis

O próximo passo é definir políticas de segurança viáveis, com base na sua avaliação de riscos, que se concentrem no progresso incremental. Você não pode passar da correção de 50% das vulnerabilidades para 95% da noite para o dia. É importante entender os recursos necessários para atingir sua meta e de quais oportunidades você abrirá mão ao almejar a correção total versus 85%. Pode não valer a pena o investimento para fechar esses últimos pontos.

Em vez de definir uma meta estática e buscar a perfeição, concentre-se em melhorar o programa em relação a onde você estava antes. As perguntas que você deveria fazer são: Estamos caminhando na direção certa? O programa está melhorando? Estamos reduzindo o risco em geral?

3. Reavalie regularmente

Dado que as vulnerabilidades e os métodos de ataque estão sempre a mudar, os líderes de segurança devem manter discussões regulares com o negócio em geral para reavaliar a apetência pelo risco e as políticas de segurança. No mínimo, isso deve ser feito anualmente. Reavalie se as metas estão alinhadas com os riscos conhecidos e a tolerância ao risco e tome decisões conscientes sobre as compensações.

Por exemplo, você pode determinar que é possível resolver 85% das vulnerabilidades críticas em 10 dias. Para chegar a 90%, X quantidade de recursos, expressa em termos como investimento monetário, tempo ou pessoas, será necessário. Você pode achar que 85% é um nível de risco aceitável quando comparado com esses recursos adicionais.

Apontar para o progresso, não para a perfeição

As decisões sobre riscos não devem ser tomadas no vácuo. É por isso que os líderes de segurança devem ter estes conversas com outros líderes empresariais e o conselho. Resumindo: a perfeição raramente é alcançável nesta indústria, e almejar esse absoluto pode fazer mais mal do que bem. Em vez disso, concentre-se em fazer progresso. Estabeleça metas realistas, dê pequenos passos para chegar lá e continue elevando o nível até atingir o nível ideal de mitigação de riscos.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes