Det är dags att sluta mäta säkerhet i absoluta tal

KOMMENTAR

Kontexten och måtten som styr riskbedömningar förändras ständigt, och det är också vår förståelse för hur framsteg ser ut som ett säkerhetsteam. Det går inte att mäta allt, och bara för att man kan mäta det betyder det inte att det är viktigt. Detta gör det lätt att gå vilse i detaljerna och missa helheten: Förbättrar vi oss i riktning?

En stor del av problemet är standardsäkerhetspolicyn, som syftar till perfektion samtidigt som man tappar ur sikte uppnåbara mål. I vår bransch har vi policyer som till exempel säger "alla högrisksårbarheter måste åtgärdas inom 10 dagar" eller "all användaråtkomst måste granskas kvartalsvis." Antagandet är att du kommer att sträva efter 100%, utan samtal om huruvida detta är möjligt och vilka resurser som skulle krävas för att nå det målet.

Vanligtvis kommer ett säkerhetsteam att nå det målet 70 % av tiden, vilket anses vara ett misslyckande. Ett team spenderar ofta ett överdrivet antal resurser på att försöka överbrygga gapet, till exempel genom att åtgärda dessa 70 % av kritiska sårbarheter och policyns mål på 100 %. De kan sluta anstränga resurser för att sträva efter perfektion när dessa resurser kan användas bättre någon annanstans.

Som bransch måste vi ta ett steg tillbaka och omvärdera de policyer och mätvärden som styr våra program, och avgöra om de är realistiska och om de ens är de rätta måtten. Här är tre steg att ta för att uppnå detta.

1. Bestäm din riskaptit

Det är omöjligt att uppnå perfektion inom alla riskområden. Säkerhetsteam kan sluta spela mullvad och tappa fokus på mer subtila risker. Det måste finnas ett samtal på affärsnivå för att definiera var organisationens största säkerhetsrisker ligger och var man ska ägna resurser, samt områden där dess chefer är bekväma med en viss risknivå. En kritisk sårbarhet som MOVEit, till exempel, skulle kunna representera en acceptabel risk i ett område av ett företag, men inte i ett annat område som har nivå ett-system med noll till minimal hänsyn till påverkan på CIA-triaden av konfidentialitet, integritet och tillgänglighet. Titta på var de största sårbarheterna finns inom din bransch och vilka typer av attacker som vanligtvis riktar sig mot företag i ditt område för att göra en riskbedömning.

2. Sätt flexibla, uppnåbara mål

Nästa steg är att sätta upp möjliga säkerhetspolicyer, baserat på din riskbedömning, som fokuserar på stegvisa framsteg. Du kan inte hoppa från att korrigera 50 % av sårbarheterna till 95 % över en natt. Det är viktigt att förstå vilka resurser som krävs för att nå ditt mål och vilka möjligheter du kommer att ge upp genom att sikta på total patchning kontra 85 %. Det kanske inte är värt investeringen att stänga de sista punkterna.

Istället för att sätta ett statiskt mål och sträva efter perfektion, fokusera på att förbättra programmet i förhållande till var du var tidigare. Frågorna du bör ställa dig är: Går vi i rätt riktning? Blir programmet bättre? Minskar vi riskerna totalt sett?

3. Omvärdera regelbundet

Eftersom sårbarheter och attackmetoder alltid förändras, bör säkerhetsledare hålla diskussioner regelbundet med den bredare verksamheten för att omvärdera riskaptiten och säkerhetspolicyer. Detta bör åtminstone göras årligen. Omvärdera om målen är i linje med kända risker och risktolerans, och fatta medvetna beslut om avvägningarna.

Till exempel kan du bestämma att det är möjligt att åtgärda 85 % av kritiska sårbarheter inom 10 dagar. För att komma till 90 %, X mängd resurser, uttryckt i termer som monetära investeringar, tid eller människor, kommer att krävas. Du kan tycka att 85 % är en acceptabel risknivå när den vägs mot dessa ytterligare resurser.

Sikta på framsteg, inte perfektion

Beslut om risk ska inte fattas i ett vakuum. Det är därför säkerhetsledare måste ha dessa samtal med andra företagsledare och styrelse. Summan av kardemumman: Perfektion kan sällan uppnås i den här branschen, och att sikta på det absoluta kan göra mer skada än nytta. Fokusera istället på att göra framsteg. Sätt upp realistiska mål, ta små steg för att nå dit och fortsätt att höja ribban tills du har nått den optimala nivån av riskreducering.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes