COMENTARIU
Contextul și valorile care ghidează evaluările riscurilor se schimbă în mod constant, la fel și înțelegerea noastră despre cum arată progresul ca echipă de securitate. Nu este posibil să măsori totul și doar pentru că poți măsura asta nu înseamnă că este important. Acest lucru face ușor să vă pierdeți în detalii și să pierdeți imaginea de ansamblu: ne îmbunătățim direcțional?
O mare parte a problemei este politica de securitate standard, care vizează perfecțiunea, pierzând din vedere obiectivele realizabile. În industria noastră avem politici care spun, de exemplu, „toate vulnerabilitățile cu risc ridicat trebuie abordate în termen de 10 zile” sau „toate accesul utilizatorilor trebuie revizuit trimestrial”. Presupunerea este că veți depune eforturi pentru 100%, fără a discuta dacă acest lucru este realizabil și ce resurse ar fi necesare pentru a atinge acest obiectiv.
De obicei, o echipă de securitate va atinge acel obiectiv în 70% din timp, ceea ce este considerat un eșec. O echipă cheltuiește adesea un număr enorm de resurse încercând să reducă decalajul, de exemplu, abordând acele 70% dintre vulnerabilitățile critice și obiectivul politicii de 100%. Ei pot ajunge să forțeze resursele pentru a urmări perfecțiunea atunci când acele resurse ar putea fi cheltuite mai bine în altă parte.
Ca industrie, trebuie să facem un pas înapoi și să reevaluăm politicile și valorile care conduc programele noastre, hotărând dacă sunt realiste și dacă sunt chiar măsurătorile potrivite. Iată trei pași de urmat pentru a realiza acest lucru.
1. Determină-ți apetitul pentru risc
Este imposibil să obții perfecțiunea în toate domeniile de risc. Echipele de securitate pot ajunge să joace joc de cârtiță și să-și piardă concentrarea asupra riscurilor mai subtile. Trebuie să existe o conversație la nivel de afaceri pentru a defini unde se află cele mai mari riscuri de securitate ale organizației și unde să aloce resurse, precum și domeniile în care directorii săi se simt confortabil cu un anumit nivel de risc. O vulnerabilitate critică, cum ar fi MOVEit, de exemplu, ar putea reprezenta un risc acceptabil într-o zonă a unei afaceri, dar nu într-o altă zonă care are sisteme de nivel 1, cu alocație de la zero până la minim pentru un impact asupra triada CIA de confidențialitate, integritate și disponibilitate. Priviți unde se află cele mai mari vulnerabilități din industria dvs. și tipurile de atacuri care vizează de obicei companiile din spațiul dvs. pentru a efectua o evaluare a riscurilor.
2. Stabiliți obiective flexibile și realizabile
Următorul pas este să stabiliți politici de securitate realizabile, bazate pe evaluarea riscului dvs., care se concentrează pe progresul incremental. Nu poți sări peste noapte de la patch-ul a 50% dintre vulnerabilități la 95%. Este important să înțelegeți resursele de care va fi nevoie pentru a vă atinge obiectivul și la ce oportunități veți renunța, urmărind patch-ul total față de 85%. Poate că nu merită investiția pentru a închide ultimele puncte.
În loc să setați un obiectiv static și să urmăriți perfecțiunea, concentrați-vă pe îmbunătățirea programului în raport cu locul în care vă aflați înainte. Întrebările pe care ar trebui să le puneți sunt: Ne mișcăm în direcția corectă? Se îmbunătățește programul? Reducem riscul în general?
3. Reevaluați în mod regulat
Deoarece vulnerabilitățile și metodele de atac se schimbă mereu, liderii de securitate ar trebui să țină discuții regulate cu afacerile mai largi pentru a reevalua apetitul pentru risc și politicile de securitate. Cel puțin, acest lucru ar trebui făcut anual. Reevaluați dacă obiectivele sunt aliniate cu riscurile cunoscute și toleranța la risc și luați decizii conștiente cu privire la compromisuri.
De exemplu, puteți determina că este posibil să abordați 85% dintre vulnerabilitățile critice în decurs de 10 zile. Pentru a ajunge la 90%, X cantitatea de resurse, exprimată în termeni precum investiții monetare, timp sau oameni, va fi necesar. S-ar putea să găsiți că 85% este un nivel acceptabil de risc atunci când sunt cântăriți în raport cu acele resurse suplimentare.
Țintește progresul, nu perfecțiunea
Deciziile cu privire la risc nu trebuie luate în vid. Acesta este motivul pentru care liderii de securitate trebuie să aibă acestea conversații cu alți lideri de afaceri și cu consiliul de administrație. Concluzia: perfecțiunea este rareori atinsă în această industrie, iar urmărirea acestui absolut poate face mai mult rău decât bine. În schimb, concentrează-te pe a face progrese. Stabiliți obiective realiste, faceți pași mici pentru a ajunge acolo și continuați să ridicați ștacheta până când ajungeți la nivelul optim de diminuare a riscurilor.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 10
- 7
- 95%
- a
- Despre Noi
- Absolut
- acceptabil
- acces
- realizabil
- Obține
- Suplimentar
- adresa
- adresat
- adresare
- împotriva
- urmări
- Urmarind
- isi propune
- aliniat
- TOATE
- mereu
- sumă
- an
- și
- Anual
- O alta
- apetit
- SUNT
- ZONĂ
- domenii
- AS
- solicitând
- evaluare
- evaluări
- presupunere
- At
- ataca
- Atacuri
- disponibilitate
- înapoi
- bar
- bazat
- BE
- deoarece
- înainte
- Mai bine
- Mare
- mai mare
- Cea mai mare
- De jos
- mai larg
- afaceri
- Lideri de afaceri
- întreprinderi
- dar
- by
- CAN
- sigur
- schimbarea
- Închide
- confortabil
- în mod obișnuit
- confidențialitate
- conştient
- mereu
- context
- Conversație
- ar putea
- critic
- Zi
- Decidând
- Deciziile
- considerate
- defini
- detalii
- Determina
- direcţie
- discuții
- do
- nu
- făcut
- uşor
- în altă parte
- capăt
- Chiar
- tot
- exemplu
- directori
- și-a exprimat
- Eșec
- puțini
- Găsi
- flexibil
- Concentra
- Pentru
- din
- decalaj
- obține
- Da
- scop
- Goluri
- bine
- călăuzitor
- rău
- Avea
- aici
- Risc ridicat
- Lovit
- deţine
- HTTPS
- Impactul
- important
- imposibil
- îmbunătățirea
- in
- incrementală
- industrie
- instanță
- in schimb
- integritate
- investiţie
- IT
- ESTE
- jpg
- a sari
- doar
- A pastra
- cunoscut
- Nume
- Liderii
- Nivel
- minciună
- ca
- Linie
- ll
- Uite
- Se pare
- pierde
- care pierde
- pierdut
- făcut
- face
- FACE
- Efectuarea
- Mai..
- însemna
- măsura
- măsurători
- măsurare
- Metode
- Metrici
- minim
- minim
- rata
- atenuare
- mai mult
- în mişcare
- trebuie sa
- Nevoie
- nevoilor
- următor
- Nu.
- număr
- of
- de multe ori
- on
- ONE
- Oportunităţi
- optimă
- or
- organizație
- Altele
- al nostru
- global
- peste noapte
- parte
- patching
- oameni
- perfecţiune
- Efectua
- imagine
- Plato
- Informații despre date Platon
- PlatoData
- joc
- puncte
- Politicile
- Politica
- posibil
- Problemă
- Program
- Programe
- Progres
- trimestrial
- Întrebări
- ridicare
- rareori
- RE
- atins
- realist
- reducerea
- reevaluează
- regulat
- relativ
- reprezenta
- necesar
- Resurse
- revizuite
- dreapta
- Risc
- apetit pentru risc
- evaluare a riscurilor
- Riscurile
- s
- Spune
- securitate
- politicile de securitate
- riscuri de securitate
- set
- instalare
- să
- Vedere
- mic
- So
- Spaţiu
- petrece
- uzat
- standard
- static
- director
- Pas
- paşi
- Stop
- lupta
- sisteme
- Lua
- Ţintă
- echipă
- echipe
- termeni
- decât
- acea
- Acolo.
- Acestea
- ei
- acest
- aceste
- trei
- Nivelul
- Nivelul unu
- timp
- la
- toleranță
- Total
- încercat
- Tipuri
- înţelege
- înţelegere
- până la
- Utilizator
- Vid
- Ve
- Impotriva
- Vulnerabilitățile
- vulnerabilitate
- we
- BINE
- au fost
- whack-a-aluniță
- Ce
- cand
- dacă
- care
- în timp ce
- de ce
- voi
- cu
- în
- valoare
- ar
- Tu
- Ta
- zephyrnet
- zero
