Čas je, da nehamo meriti varnost v absolutnih vrednostih

KOMENTAR

Kontekst in meritve, ki usmerjajo ocene tveganja, se nenehno spreminjajo, prav tako pa se spreminja tudi naše razumevanje napredka varnostne ekipe. Vsega ni mogoče izmeriti in samo zato, ker lahko izmeriš, še ne pomeni, da je pomembno. Tako se zlahka izgubimo v podrobnostih in zgrešimo širšo sliko: Ali se smerno izboljšujemo?

Velik del problema predstavlja standardna varnostna politika, ki stremi k popolnosti, medtem ko izpred oči izgublja dosegljive cilje. V naši panogi imamo politike, ki na primer pravijo, da je treba "vse ranljivosti z visokim tveganjem odpraviti v 10 dneh" ali "vse uporabniške dostope je treba pregledati četrtletno." Predpostavka je, da si boste prizadevali za 100 %, brez pogovorov o tem, ali je to dosegljivo in kakšna sredstva bi bila potrebna za dosego tega cilja.

Običajno bo varnostna ekipa ta cilj dosegla v 70 % primerov, kar se šteje za neuspeh. Ekipa pogosto porabi preveliko število virov, da poskuša zapolniti vrzel, na primer tako, da odpravi tistih 70 % kritičnih ranljivosti in cilj politike je 100 %. Morda bodo na koncu obremenili vire, da bi si prizadevali za popolnost, ko bi te vire lahko bolje porabili drugje.

Kot industrija moramo narediti korak nazaj in ponovno ovrednotiti politike in meritve, ki usmerjajo naše programe, ter se odločiti, ali so realistični in ali so sploh prave meritve. Tukaj so trije koraki, da to dosežete.

1. Določite svojo nagnjenost k tveganju

Nemogoče je doseči popolnost na vseh področjih tveganja. Varnostne ekipe se lahko na koncu zaigrajo in se izgubijo osredotočenost na subtilnejša tveganja. Potreben je pogovor na poslovni ravni, da se opredeli, kje so največja varnostna tveganja organizacije in kam nameniti vire, pa tudi področja, na katerih so vodstveni delavci zadovoljni z določeno stopnjo tveganja. Kritična ranljivost, kot je na primer MOVEit, bi lahko predstavljala sprejemljivo tveganje na enem področju podjetja, ne pa tudi na drugem področju, ki ima sisteme prve stopnje z ničelnim do minimalnim dovoljenjem za vpliv na triada CIA zaupnosti, celovitosti in razpoložljivosti. Oglejte si, kje so največje ranljivosti v vaši industriji in vrste napadov, ki običajno ciljajo na podjetja v vašem prostoru, da izvedete oceno tveganja.

2. Postavite prilagodljive, dosegljive cilje

Naslednji korak je določitev dosegljivih varnostnih politik na podlagi vaše ocene tveganja, ki se osredotočajo na postopen napredek. Ne morete skočiti s krpanja 50 % ranljivosti na 95 % čez noč. Pomembno je razumeti vire, ki bodo potrebni za dosego vašega cilja, in katerim priložnostim se boste odpovedali, če si boste prizadevali za popolno popravilo v primerjavi s 85 %. Morda se ne splača vlagati v zapiranje zadnjih nekaj točk.

Namesto postavljanja statičnega cilja in stremljenja k popolnosti se osredotočite na izboljšanje programa glede na to, kje ste bili prej. Vprašanja, ki bi si jih morali zastaviti, so: Ali se premikamo v pravo smer? Se program izboljšuje? Ali na splošno zmanjšamo tveganje?

3. Redno ponovno ocenjevajte

Ker se ranljivosti in metode napadov vedno spreminjajo, bi se morali vodje varnosti redno pogovarjati s širšim podjetjem, da ponovno ocenijo nagnjenost k tveganju in varnostne politike. To je treba storiti vsaj enkrat letno. Ponovno ocenite, ali so cilji usklajeni z znanimi tveganji in toleranco do tveganja, ter se zavestno odločite glede kompromisov.

Na primer, lahko ugotovite, da je mogoče odpraviti 85 % kritičnih ranljivosti v 10 dneh. Da bi dosegli 90%, X količina sredstev, izražena z izrazi, kot so denarna naložba, čas ali ljudje, bo potrebno. Morda boste ugotovili, da je 85 % sprejemljiva stopnja tveganja, če jo primerjate s temi dodatnimi viri.

Ciljajte na napredek, ne na popolnost

Odločitve o tveganju ne bi smele biti sprejete v vakuumu. Zato jih morajo imeti vodje varnosti pogovori z drugimi vodji podjetij in upravnim odborom. Bistvo: popolnost je v tej panogi redko dosegljiva in stremljenje k temu absolutu lahko povzroči več škode kot koristi. Namesto tega se osredotočite na napredek. Postavite si realistične cilje, naredite majhne korake, da jih dosežete, in dvigujte lestvico, dokler ne dosežete optimalne ravni zmanjšanja tveganja.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes