КОММЕНТАРИЙ
Контекст и показатели, определяющие оценку рисков, постоянно меняются, как и наше понимание того, как выглядит прогресс команды безопасности. Невозможно измерить все, и то, что вы можете это измерить, не означает, что это важно. Из-за этого легко потеряться в деталях и упустить общую картину: улучшаемся ли мы в направлении?
Большая часть проблемы заключается в стандартной политике безопасности, которая стремится к совершенству, упуская при этом из виду достижимые цели. В нашей отрасли есть политика, которая гласит, например, что «все уязвимости высокого риска должны быть устранены в течение 10 дней» или «весь доступ пользователей должен проверяться ежеквартально». Предполагается, что вы будете стремиться к 100%, без разговоров о том, достижимо ли это и какие ресурсы потребуются для достижения этой цели.
Обычно команда безопасности достигает этой цели в 70% случаев, что считается неудачей. Команда часто тратит огромное количество ресурсов, пытаясь устранить разрыв, например, устраняя 70% критических уязвимостей и цель политики — 100%. В конечном итоге они могут перенапрячь ресурсы, стремясь к совершенству, тогда как эти ресурсы можно было бы лучше потратить в другом месте.
Нам, как отрасли, необходимо сделать шаг назад и переоценить политику и показатели, управляющие нашими программами, решая, реалистичны ли они и являются ли они вообще правильными измерениями. Вот три шага, которые необходимо предпринять для достижения этой цели.
1. Определите свою склонность к риску
Невозможно достичь совершенства во всех сферах риска. Службы безопасности могут в конечном итоге начать играть в «ударь крота» и потерять фокус на более тонких рисках. Необходимо провести обсуждение на деловом уровне, чтобы определить, где находятся самые большие риски безопасности организации и куда направить ресурсы, а также области, в которых ее руководители чувствуют себя комфортно с определенным уровнем риска. Критическая уязвимость, такая как MOVEit, например, может представлять собой приемлемый риск в одной области бизнеса, но не в другой области, где есть системы первого уровня с нулевым или минимальным допуском на воздействие на Триада ЦРУ конфиденциальности, целостности и доступности. Посмотрите, где находятся самые большие уязвимости в вашей отрасли, и типы атак, которые обычно нацелены на предприятия в вашей сфере, чтобы выполнить оценку рисков.
2. Ставьте гибкие и достижимые цели
Следующий шаг — установить достижимые политики безопасности на основе вашей оценки рисков, ориентированные на постепенный прогресс. Вы не можете перескочить с исправления 50% уязвимостей на 95% за одну ночь. Важно понимать, какие ресурсы потребуются для достижения вашей цели и от каких возможностей вы откажетесь, стремясь к полному обновлению вместо 85%. Возможно, не стоит вкладывать средства в закрытие этих последних нескольких пунктов.
Вместо того, чтобы ставить статическую цель и стремиться к совершенству, сосредоточьтесь на улучшении программы по сравнению с тем, где вы были раньше. Вам следует задаться следующими вопросами: движемся ли мы в правильном направлении? Программа улучшается? Снижаем ли мы риск в целом?
3. Регулярно проводите переоценку
Поскольку уязвимости и методы атак постоянно меняются, руководителям службы безопасности следует регулярно проводить обсуждения с более широким бизнесом для переоценки склонности к риску и политики безопасности. Как минимум, это следует делать ежегодно. Переоцените, соответствуют ли цели известным рискам и толерантности к риску, и примите осознанные решения относительно компромиссов.
Например, вы можете определить, что можно устранить 85% критических уязвимостей в течение 10 дней. Чтобы достичь 90%, X количество ресурсов, выраженное в таких терминах, как денежные вложения, время или люди, потребуется. Вы можете найти 85% приемлемым уровнем риска, если сопоставить его с этими дополнительными ресурсами.
Стремитесь к прогрессу, а не к совершенству
Решения о риске не должны приниматься в вакууме. Вот почему руководители служб безопасности должны иметь эти беседы с другими бизнес-лидерами и советом директоров. Итог: в этой отрасли совершенство редко достижимо, и стремление к этому абсолюту может принести больше вреда, чем пользы. Вместо этого сосредоточьтесь на достижении прогресса. Ставьте реалистичные цели, делайте небольшие шаги для их достижения и продолжайте поднимать планку, пока не достигнете оптимального уровня снижения рисков.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 10
- 7
- 95%
- a
- О нас
- Absolute
- приемлемый
- доступ
- достижимый
- Достигать
- дополнительный
- адрес
- адресованный
- адресация
- против
- цель
- Стремясь
- Цель
- выровненный
- Все
- всегда
- количество
- an
- и
- Ежегодно
- Другой
- аппетит
- МЫ
- ПЛОЩАДЬ
- области
- AS
- спрашивающий
- оценки;
- оценки
- предположение
- At
- атаковать
- нападки
- свободных мест
- назад
- бар
- основанный
- BE
- , так как:
- до
- Лучшая
- большой
- больший
- Крупнейшая
- Дно
- шире
- бизнес
- Бизнес лидеры
- бизнес
- но
- by
- CAN
- определенный
- изменения
- Закрыть
- удобный
- обычно
- конфиденциальность
- сознательный
- постоянно
- контекст
- Разговор
- может
- критической
- Дней
- Решение
- решения
- считается
- определять
- подробнее
- Определять
- направление
- обсуждение
- do
- Безразлично
- сделанный
- легко
- в другом месте
- конец
- Даже
- многое
- пример
- руководителей высшего звена.
- выраженный
- Ошибка
- несколько
- Найдите
- гибкого
- Фокус
- Что касается
- от
- разрыв
- получить
- Дайте
- цель
- Цели
- хорошо
- руководящий
- вред
- Есть
- здесь
- высокий риск
- Удар
- держать
- HTTPS
- Влияние
- важную
- что она
- улучшение
- in
- дополнительный
- промышленность
- пример
- вместо
- целостность
- инвестиций
- IT
- ЕГО
- JPG
- Прыгать
- всего
- Сохранить
- известный
- Фамилия
- Лидеры
- уровень
- ложь
- такое как
- линия
- ll
- посмотреть
- ВЗГЛЯДЫ
- терять
- потери
- потерянный
- сделанный
- сделать
- ДЕЛАЕТ
- Создание
- Май..
- значить
- проводить измерение
- размеры
- измерение
- методы
- Метрика
- минимальный
- минимальный
- скучать
- смягчение
- БОЛЕЕ
- перемещение
- должен
- Необходимость
- потребности
- следующий
- нет
- номер
- of
- .
- on
- ONE
- Возможности
- оптимальный
- or
- организация
- Другое
- наши
- общий
- всю ночь
- часть
- Заделка
- Люди
- совершенство
- Выполнять
- картина
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игры
- пунктов
- сборах
- политика
- возможное
- Проблема
- FitPartner™
- Программы
- Прогресс
- ежеквартальный
- Вопросы
- привлечение
- редко
- RE
- достиг
- реалистичный
- снижение
- переоценить
- регулярно
- относительный
- представлять
- обязательный
- Полезные ресурсы
- отзывы
- правую
- Снижение
- склонность к риску
- оценка риска
- рисках,
- s
- сообщили
- безопасность
- политики безопасности
- риски безопасности
- набор
- установка
- должен
- достопримечательность
- небольшой
- So
- Space
- проводит
- потраченный
- стандарт
- статический
- рулевое управление
- Шаг
- Шаги
- Stop
- стараться
- системы
- взять
- цель
- команда
- команды
- terms
- чем
- который
- Ассоциация
- Там.
- Эти
- они
- этой
- те
- три
- ярус
- Первый уровень
- время
- в
- терпимость
- Всего
- пытается
- Типы
- понимать
- понимание
- до
- Информация о пользователе
- вакуум
- Ve
- Против
- Уязвимости
- уязвимость
- we
- ЧТО Ж
- были
- удар-а-моль
- Что
- когда
- будь то
- который
- в то время как
- зачем
- будете
- в
- стоимость
- бы
- Ты
- ВАШЕ
- зефирнет
- нуль