Пришло время перестать измерять безопасность в абсолютных цифрах

КОММЕНТАРИЙ

Контекст и показатели, определяющие оценку рисков, постоянно меняются, как и наше понимание того, как выглядит прогресс команды безопасности. Невозможно измерить все, и то, что вы можете это измерить, не означает, что это важно. Из-за этого легко потеряться в деталях и упустить общую картину: улучшаемся ли мы в направлении?

Большая часть проблемы заключается в стандартной политике безопасности, которая стремится к совершенству, упуская при этом из виду достижимые цели. В нашей отрасли есть политика, которая гласит, например, что «все уязвимости высокого риска должны быть устранены в течение 10 дней» или «весь доступ пользователей должен проверяться ежеквартально». Предполагается, что вы будете стремиться к 100%, без разговоров о том, достижимо ли это и какие ресурсы потребуются для достижения этой цели.

Обычно команда безопасности достигает этой цели в 70% случаев, что считается неудачей. Команда часто тратит огромное количество ресурсов, пытаясь устранить разрыв, например, устраняя 70% критических уязвимостей и цель политики — 100%. В конечном итоге они могут перенапрячь ресурсы, стремясь к совершенству, тогда как эти ресурсы можно было бы лучше потратить в другом месте.

Нам, как отрасли, необходимо сделать шаг назад и переоценить политику и показатели, управляющие нашими программами, решая, реалистичны ли они и являются ли они вообще правильными измерениями. Вот три шага, которые необходимо предпринять для достижения этой цели.

1. Определите свою склонность к риску

Невозможно достичь совершенства во всех сферах риска. Службы безопасности могут в конечном итоге начать играть в «ударь крота» и потерять фокус на более тонких рисках. Необходимо провести обсуждение на деловом уровне, чтобы определить, где находятся самые большие риски безопасности организации и куда направить ресурсы, а также области, в которых ее руководители чувствуют себя комфортно с определенным уровнем риска. Критическая уязвимость, такая как MOVEit, например, может представлять собой приемлемый риск в одной области бизнеса, но не в другой области, где есть системы первого уровня с нулевым или минимальным допуском на воздействие на Триада ЦРУ конфиденциальности, целостности и доступности. Посмотрите, где находятся самые большие уязвимости в вашей отрасли, и типы атак, которые обычно нацелены на предприятия в вашей сфере, чтобы выполнить оценку рисков.

2. Ставьте гибкие и достижимые цели

Следующий шаг — установить достижимые политики безопасности на основе вашей оценки рисков, ориентированные на постепенный прогресс. Вы не можете перескочить с исправления 50% уязвимостей на 95% за одну ночь. Важно понимать, какие ресурсы потребуются для достижения вашей цели и от каких возможностей вы откажетесь, стремясь к полному обновлению вместо 85%. Возможно, не стоит вкладывать средства в закрытие этих последних нескольких пунктов.

Вместо того, чтобы ставить статическую цель и стремиться к совершенству, сосредоточьтесь на улучшении программы по сравнению с тем, где вы были раньше. Вам следует задаться следующими вопросами: движемся ли мы в правильном направлении? Программа улучшается? Снижаем ли мы риск в целом?

3. Регулярно проводите переоценку

Поскольку уязвимости и методы атак постоянно меняются, руководителям службы безопасности следует регулярно проводить обсуждения с более широким бизнесом для переоценки склонности к риску и политики безопасности. Как минимум, это следует делать ежегодно. Переоцените, соответствуют ли цели известным рискам и толерантности к риску, и примите осознанные решения относительно компромиссов.

Например, вы можете определить, что можно устранить 85% критических уязвимостей в течение 10 дней. Чтобы достичь 90%, X количество ресурсов, выраженное в таких терминах, как денежные вложения, время или люди, потребуется. Вы можете найти 85% приемлемым уровнем риска, если сопоставить его с этими дополнительными ресурсами.

Стремитесь к прогрессу, а не к совершенству

Решения о риске не должны приниматься в вакууме. Вот почему руководители служб безопасности должны иметь эти беседы с другими бизнес-лидерами и советом директоров. Итог: в этой отрасли совершенство редко достижимо, и стремление к этому абсолюту может принести больше вреда, чем пользы. Вместо этого сосредоточьтесь на достижении прогресса. Ставьте реалистичные цели, делайте небольшие шаги для их достижения и продолжайте поднимать планку, пока не достигнете оптимального уровня снижения рисков.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes