COMMENTARY
บริบทและตัวชี้วัดที่เป็นแนวทางในการประเมินความเสี่ยงมีการเปลี่ยนแปลงอยู่ตลอดเวลา และความเข้าใจของเราเกี่ยวกับความก้าวหน้าของทีมรักษาความปลอดภัยก็เช่นกัน ไม่สามารถวัดทุกสิ่งได้ และเพียงเพราะคุณสามารถวัดได้ไม่ได้หมายความว่าสิ่งสำคัญ สิ่งนี้ทำให้ง่ายต่อการหลงลืมรายละเอียดและพลาดภาพรวม: เรากำลังปรับปรุงทิศทางหรือไม่?
ปัญหาส่วนใหญ่คือนโยบายความปลอดภัยมาตรฐานซึ่งมีจุดมุ่งหมายเพื่อความสมบูรณ์แบบในขณะที่มองข้ามเป้าหมายที่ทำได้ ในอุตสาหกรรมของเรา เรามีนโยบายที่ระบุว่า “ช่องโหว่ที่มีความเสี่ยงสูงทั้งหมดจะต้องได้รับการแก้ไขภายใน 10 วัน” หรือ “การเข้าถึงของผู้ใช้ทั้งหมดจะต้องได้รับการตรวจสอบทุกไตรมาส” สมมติฐานคือคุณจะมุ่งมั่นเพื่อ 100% โดยไม่มีการสนทนาว่าสิ่งนี้สามารถทำได้หรือไม่ และต้องใช้ทรัพยากรใดบ้างเพื่อให้บรรลุเป้าหมายนั้น
โดยปกติแล้วทีมรักษาความปลอดภัยจะบรรลุเป้าหมายนั้น 70% ของเวลา ซึ่งถือว่าล้มเหลว ทีมมักจะใช้ทรัพยากรจำนวนมากเกินไปเพื่อพยายามปิดช่องว่าง เช่น โดยจัดการกับช่องโหว่ที่สำคัญ 70% และเป้าหมายของนโยบาย 100% พวกเขาอาจลงเอยด้วยการใช้ทรัพยากรที่ตึงเครียดเพื่อมุ่งสู่ความสมบูรณ์แบบ เมื่อทรัพยากรเหล่านั้นสามารถนำไปใช้ที่อื่นได้ดีกว่า
ในฐานะอุตสาหกรรม เราจำเป็นต้องย้อนกลับไปประเมินนโยบายและตัวชี้วัดที่ขับเคลื่อนโปรแกรมของเราอีกครั้ง โดยตัดสินใจว่านโยบายและตัวชี้วัดเหล่านั้นเป็นไปตามความเป็นจริงหรือไม่ และถือเป็นการวัดผลที่ถูกต้องหรือไม่ ต่อไปนี้เป็นสามขั้นตอนในการดำเนินการเพื่อให้บรรลุเป้าหมายนี้
1. กำหนดความเสี่ยงของคุณ ความอยากอาหาร
เป็นไปไม่ได้ที่จะบรรลุความสมบูรณ์แบบในทุกด้านที่มีความเสี่ยง ทีมรักษาความปลอดภัยอาจลงเอยด้วยการตีตัวตุ่นและสูญเสียความสนใจไปที่ความเสี่ยงที่ละเอียดอ่อนกว่านี้ จำเป็นต้องมีการสนทนาระดับธุรกิจเพื่อกำหนดว่าจุดใดที่ความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดขององค์กรอยู่ที่ใด และจุดใดที่จะทุ่มเททรัพยากร ตลอดจนประเด็นที่ผู้บริหารรู้สึกสบายใจกับความเสี่ยงในระดับหนึ่ง ตัวอย่างเช่น ช่องโหว่ที่สำคัญ เช่น MOVEit อาจแสดงถึงความเสี่ยงที่ยอมรับได้ในพื้นที่หนึ่งของธุรกิจ แต่ไม่ใช่ในอีกพื้นที่หนึ่งที่มีระบบระดับเทียร์ 1 โดยมีค่าเผื่อผลกระทบต่อ CIA สามกลุ่ม การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ดูว่าจุดอ่อนที่ใหญ่ที่สุดในอุตสาหกรรมของคุณอยู่ที่จุดใด และประเภทของการโจมตีที่มักกำหนดเป้าหมายไปที่ธุรกิจในพื้นที่ของคุณเพื่อทำการประเมินความเสี่ยง
2. ตั้งเป้าหมายที่ยืดหยุ่นและบรรลุได้
ขั้นตอนต่อไปคือการกำหนดนโยบายความปลอดภัยที่สามารถทำได้ โดยอิงจากการประเมินความเสี่ยงของคุณ ซึ่งมุ่งเน้นไปที่ความก้าวหน้าแบบค่อยเป็นค่อยไป คุณไม่สามารถกระโดดจากการแก้ไขช่องโหว่ 50% เป็น 95% ในชั่วข้ามคืนได้ สิ่งสำคัญคือต้องเข้าใจทรัพยากรที่ต้องใช้เพื่อให้บรรลุเป้าหมาย และโอกาสที่คุณจะเสียไปโดยตั้งเป้าไปที่การแพตช์ทั้งหมดเทียบกับ 85% อาจไม่คุ้มค่ากับการลงทุนเพื่อปิดจุดสุดท้ายเหล่านั้น
แทนที่จะตั้งเป้าหมายคงที่และมุ่งสู่ความสมบูรณ์แบบ ให้มุ่งเน้นไปที่การปรับปรุงโปรแกรมให้สัมพันธ์กับจุดที่คุณเคยอยู่มาก่อน คำถามที่คุณควรถามคือ เรากำลังเดินไปในทิศทางที่ถูกต้องหรือไม่? โปรแกรมดีขึ้นมั้ย? เรากำลังลดความเสี่ยงโดยรวมหรือไม่?
3. ประเมินซ้ำอย่างสม่ำเสมอ
เนื่องจากช่องโหว่และวิธีการโจมตีมีการเปลี่ยนแปลงอยู่เสมอ ผู้นำด้านความปลอดภัยจึงควรหารือกับธุรกิจในวงกว้างเป็นประจำเพื่อประเมินความเสี่ยงและนโยบายด้านความปลอดภัยอีกครั้ง อย่างน้อยที่สุดควรทำเป็นประจำทุกปี ประเมินอีกครั้งว่าเป้าหมายสอดคล้องกับความเสี่ยงที่ทราบและการยอมรับความเสี่ยงหรือไม่ และทำการตัดสินใจอย่างมีสติเกี่ยวกับการแลกเปลี่ยน
ตัวอย่างเช่น คุณอาจพิจารณาว่าสามารถแก้ไขช่องโหว่ที่สำคัญได้ถึง 85% ภายใน 10 วัน เพื่อให้ได้ 90% X จำนวนทรัพยากร ซึ่งแสดงในรูปของเช่น การลงทุนทางการเงิน เวลา หรือผู้คน จะต้อง คุณอาจพบว่า 85% เป็นระดับความเสี่ยงที่ยอมรับได้เมื่อเปรียบเทียบกับแหล่งข้อมูลเพิ่มเติมเหล่านั้น
มุ่งสู่ความก้าวหน้า ไม่ใช่ความสมบูรณ์แบบ
การตัดสินใจเกี่ยวกับความเสี่ยงไม่ควรกระทำในสุญญากาศ นี่คือสาเหตุที่ผู้นำด้านความปลอดภัยต้องมีสิ่งเหล่านี้ การสนทนากับผู้นำทางธุรกิจและคณะกรรมการ- ประเด็นสำคัญ: ความสมบูรณ์แบบนั้นหาได้ยากในอุตสาหกรรมนี้ และการมุ่งเป้าไปที่ความสมบูรณ์แบบนั้นอาจส่งผลเสียมากกว่าผลดี ให้มุ่งเน้นไปที่การสร้างความก้าวหน้าแทน ตั้งเป้าหมายที่สมจริง ก้าวเล็กๆ เพื่อไปให้ถึงจุดนั้น และยกระดับมาตรฐานต่อไปจนกว่าคุณจะถึงระดับที่เหมาะสมที่สุดของการลดความเสี่ยง
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 10
- 7
- 95%
- a
- เกี่ยวกับเรา
- แน่นอน
- ยอมรับได้
- เข้า
- ทำได้
- บรรลุ
- เพิ่มเติม
- ที่อยู่
- จ่าหน้า
- ที่อยู่
- กับ
- จุดมุ่งหมาย
- การเล็ง
- จุดมุ่งหมาย
- ชิด
- ทั้งหมด
- เสมอ
- จำนวน
- an
- และ
- ทุกๆปี
- อื่น
- ความอยากอาหาร
- เป็น
- AREA
- พื้นที่
- AS
- ขอให้
- การประเมินผล
- การประเมินผล
- ข้อสมมติ
- At
- โจมตี
- การโจมตี
- ความพร้อมใช้งาน
- กลับ
- บาร์
- ตาม
- BE
- เพราะ
- ก่อน
- ดีกว่า
- ใหญ่
- ที่ใหญ่กว่า
- ที่ใหญ่ที่สุด
- ด้านล่าง
- ที่กว้างขึ้น
- ธุรกิจ
- ผู้นำทางธุรกิจ
- ธุรกิจ
- แต่
- by
- CAN
- บาง
- เปลี่ยนแปลง
- ปิดหน้านี้
- สบาย
- อย่างธรรมดา
- ความลับ
- ที่ใส่ใจ
- ไม่หยุดหย่อน
- สิ่งแวดล้อม
- การสนทนา
- ได้
- วิกฤติ
- วัน
- กำลังตัดสินใจ
- การตัดสินใจ
- ถือว่า
- กำหนด
- รายละเอียด
- กำหนด
- ทิศทาง
- การอภิปราย
- do
- doesn
- ทำ
- ง่าย
- ที่อื่น ๆ
- ปลาย
- แม้
- ทุกอย่าง
- ตัวอย่าง
- ผู้บริหารระดับสูง
- แสดง
- ความล้มเหลว
- สองสาม
- หา
- มีความยืดหยุ่น
- โฟกัส
- สำหรับ
- ราคาเริ่มต้นที่
- ช่องว่าง
- ได้รับ
- ให้
- เป้าหมาย
- เป้าหมาย
- ดี
- ที่แนะนำ
- อันตราย
- มี
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- มีความเสี่ยงสูง
- ตี
- ถือ
- HTTPS
- ส่งผลกระทบ
- สำคัญ
- เป็นไปไม่ได้
- การปรับปรุง
- in
- ที่เพิ่มขึ้น
- อุตสาหกรรม
- ตัวอย่าง
- แทน
- ความสมบูรณ์
- การลงทุน
- IT
- ITS
- jpg
- กระโดด
- เพียงแค่
- เก็บ
- ที่รู้จักกัน
- ชื่อสกุล
- ผู้นำ
- ชั้น
- โกหก
- กดไลก์
- Line
- ll
- ดู
- LOOKS
- สูญเสีย
- แพ้
- สูญหาย
- ทำ
- ทำ
- ทำให้
- การทำ
- อาจ..
- หมายความ
- วัด
- วัด
- การวัด
- วิธีการ
- ตัวชี้วัด
- ต่ำสุด
- ขั้นต่ำ
- พลาด
- การบรรเทา
- ข้อมูลเพิ่มเติม
- การย้าย
- ต้อง
- จำเป็นต้อง
- ความต้องการ
- ถัดไป
- ไม่
- จำนวน
- of
- มักจะ
- on
- ONE
- โอกาส
- ดีที่สุด
- or
- organizacja
- อื่นๆ
- ของเรา
- ทั้งหมด
- ค้างคืน
- ส่วนหนึ่ง
- ปะ
- คน
- ความสมบูรณ์
- ดำเนินการ
- ภาพ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- จุด
- นโยบาย
- นโยบาย
- เป็นไปได้
- ปัญหา
- โครงการ
- โปรแกรม
- ความคืบหน้า
- รายไตรมาส
- คำถาม
- การยก
- ไม่ค่อยมี
- RE
- ถึง
- เหมือนจริง
- ลด
- ประเมินใหม่
- สม่ำเสมอ
- ญาติ
- แสดง
- จำเป็นต้องใช้
- แหล่งข้อมูล
- สุดท้าย
- ขวา
- ความเสี่ยง
- ความเสี่ยง
- การประเมินความเสี่ยง
- ความเสี่ยง
- s
- กล่าว
- ความปลอดภัย
- นโยบายความปลอดภัย
- ความเสี่ยงด้านความปลอดภัย
- ชุด
- การตั้งค่า
- น่า
- สายตา
- เล็ก
- So
- ช่องว่าง
- ใช้เวลา
- การใช้จ่าย
- มาตรฐาน
- คงที่
- การขับขี่
- ขั้นตอน
- ขั้นตอน
- หยุด
- มุ่งมั่น
- ระบบ
- เอา
- เป้า
- ทีม
- ทีม
- เงื่อนไขการใช้บริการ
- กว่า
- ที่
- พื้นที่
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- เหล่านั้น
- สาม
- ชั้น
- ชั้นหนึ่ง
- เวลา
- ไปยัง
- ความอดทน
- รวม
- พยายาม
- ชนิด
- เข้าใจ
- ความเข้าใจ
- จนกระทั่ง
- ผู้ใช้งาน
- สูญญากาศ
- Ve
- กับ
- ช่องโหว่
- ความอ่อนแอ
- we
- ดี
- คือ
- ตีตัวตุ่น
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- ทำไม
- จะ
- กับ
- ภายใน
- คุ้มค่า
- จะ
- คุณ
- ของคุณ
- ลมทะเล
- เป็นศูนย์