КОМЕНТАР
Контекст і показники, які визначають оцінку ризиків, постійно змінюються, а також наше розуміння того, як виглядає прогрес як команди безпеки. Неможливо виміряти все, і те, що ви можете це виміряти, не означає, що це важливо. Це дозволяє легко загубитися в деталях і упустити ширшу картину: чи вдосконалюємося ми напряму?
Значною частиною проблеми є стандартна політика безпеки, яка прагне досконалості, втрачаючи з поля зору досяжні цілі. У нашій галузі ми маємо політику, яка говорить, наприклад, «усі вразливості з високим ризиком мають бути усунені протягом 10 днів» або «усі доступи користувачів мають переглядатися щокварталу». Припускається, що ви будете прагнути до 100%, без жодних розмов про те, чи це досяжно та які ресурси знадобляться для досягнення цієї мети.
Зазвичай команда безпеки досягає цієї мети в 70% випадків, що вважається невдачею. Команда часто витрачає величезну кількість ресурсів, намагаючись усунути прогалину, наприклад, усунувши ці 70% критичних вразливостей і ціль політики – 100%. Вони можуть зрештою витратити ресурси на досягнення досконалості, коли ці ресурси краще витратити деінде.
Як індустрія, ми повинні зробити крок назад і переоцінити політику та показники, які керують нашими програмами, вирішити, чи вони реалістичні та чи є навіть правильними вимірюваннями. Ось три кроки, щоб досягти цього.
1. Визначте свою схильність до ризику
Неможливо досягти досконалості у всіх сферах ризику. Команди служби безпеки можуть закінчитися тим, що грають у шахрайство і втратять увагу на більш тонких ризиках. Необхідно провести розмову на бізнес-рівні, щоб визначити, де є найбільші ризики для безпеки організації та куди спрямувати ресурси, а також сфери, у яких її керівництво відчуває певний рівень ризику. Наприклад, така критична вразливість, як MOVEit, може представляти прийнятний ризик в одній сфері бізнесу, але не в іншій, де є системи першого рівня з нульовим або мінімальним дозволом на вплив на Тріада ЦРУ конфіденційності, цілісності та доступності. Подивіться, де у вашій галузі є найбільші вразливі місця та типи атак, які зазвичай спрямовані на підприємства у вашому просторі, щоб виконати оцінку ризику.
2. Ставте гнучкі, досяжні цілі
Наступним кроком є встановлення досяжних політик безпеки на основі вашої оцінки ризиків, які зосереджуються на поступовому прогресі. Ви не можете перейти від виправлення 50% вразливостей до 95% за одну ніч. Важливо розуміти, які ресурси знадобляться для досягнення вашої мети та від яких можливостей ви відмовитеся, прагнучи до повного виправлення проти 85%. Можливо, не варто інвестувати, щоб закрити останні кілька пунктів.
Замість того, щоб ставити статичну мету та прагнути досконалості, зосередьтеся на вдосконаленні програми порівняно з тим, на чому ви були раніше. Питання, які ви повинні задати: чи рухаємося ми в правильному напрямку? Чи покращується програма? Чи зменшуємо ми ризик загалом?
3. Регулярно переоцінюйте
Оскільки вразливі місця та методи атак постійно змінюються, керівники безпеки повинні регулярно обговорювати з більш широким бізнесом, щоб переоцінити схильність до ризику та політику безпеки. Як мінімум, це потрібно робити щорічно. Переоцініть, чи відповідають цілі відомим ризикам і толерантності до них, і прийміть свідомі рішення щодо компромісів.
Наприклад, ви можете визначити, що можна усунути 85% критичних вразливостей протягом 10 днів. Щоб досягти 90%, X кількість ресурсів, виражена такими термінами, як грошові інвестиції, час або люди, буде потрібно. Ви можете вважати 85% прийнятним рівнем ризику, якщо зважити ці додаткові ресурси.
Прагніть до прогресу, а не досконалості
Рішення про ризик не слід приймати у вакуумі. Ось чому лідери безпеки повинні мати їх бесіди з іншими бізнес-лідерами та правлінням. Підсумок: у цій галузі рідко можна досягти досконалості, і прагнення до цього абсолюту може принести більше шкоди, ніж користі. Натомість зосередьтеся на прогресі. Ставте реалістичні цілі, робіть невеликі кроки, щоб досягти їх, і продовжуйте піднімати планку, доки не досягнете оптимального рівня зменшення ризику.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes
- : має
- :є
- : ні
- :де
- $UP
- 1
- 10
- 7
- 95%
- a
- МЕНЮ
- абсолют
- прийнятний
- доступ
- досяжна
- Achieve
- Додатковий
- адреса
- адресований
- адресація
- проти
- мета
- прицілювання
- Цілі
- вирівняні
- ВСІ
- завжди
- кількість
- an
- та
- Щорічно
- Інший
- апетит
- ЕСТЬ
- ПЛОЩА
- області
- AS
- запитувач
- оцінка
- оцінки
- припущення
- At
- атака
- нападки
- наявність
- назад
- бар
- заснований
- BE
- оскільки
- перед тим
- Краще
- Великий
- більший
- найбільший
- дно
- ширше
- бізнес
- Бізнес-лідери
- підприємства
- але
- by
- CAN
- певний
- заміна
- близько
- зручний
- зазвичай
- конфіденційність
- свідомий
- постійно
- контекст
- Розмова
- може
- критичний
- Днів
- Вирішивши
- рішення
- вважається
- визначати
- деталі
- Визначати
- напрям
- обговорення
- do
- байдуже
- зроблений
- легко
- в іншому місці
- кінець
- Навіть
- все
- приклад
- керівництво
- виражений
- Провал
- кілька
- знайти
- гнучкий
- Сфокусувати
- для
- від
- розрив
- отримати
- Давати
- мета
- Цілі
- добре
- керівництво
- шкодити
- Мати
- тут
- високий ризик
- хіт
- тримати
- HTTPS
- Impact
- важливо
- неможливе
- поліпшення
- in
- зростаючий
- промисловість
- екземпляр
- замість
- цілісність
- інвестиції
- IT
- ЙОГО
- JPG
- стрибати
- просто
- тримати
- відомий
- останній
- Лідери
- рівень
- брехня
- як
- Лінія
- ll
- подивитися
- ВИГЛЯДИ
- втрачати
- програш
- втрачений
- made
- зробити
- РОБОТИ
- Робить
- Може..
- значити
- вимір
- вимірювання
- вимір
- методика
- Метрика
- мінімальний
- мінімальний
- нудьгувати
- пом'якшення
- більше
- переміщення
- повинен
- Необхідність
- потреби
- наступний
- немає
- номер
- of
- часто
- on
- ONE
- Можливості
- оптимальний
- or
- організація
- Інше
- наші
- загальний
- за ніч
- частина
- Виправлення
- Люди
- досконалість
- Виконувати
- картина
- plato
- Інформація про дані Платона
- PlatoData
- ігри
- точок
- Політика
- політика
- це можливо
- Проблема
- програма
- програми
- прогрес
- щоквартальний
- питань
- залучення
- рідко
- RE
- досяг
- реалістичний
- зниження
- переоцінити
- регулярно
- відносний
- представляти
- вимагається
- ресурси
- відгуки
- право
- Risk
- апетит до ризику
- оцінка ризику
- ризики
- s
- say
- безпеку
- політики безпеки
- ризики для безпеки
- комплект
- установка
- Повинен
- зір
- невеликий
- So
- Простір
- витрачає
- відпрацьований
- standard
- статичний
- рульове управління
- Крок
- заходи
- Стоп
- прагнути
- Systems
- Приймати
- Мета
- команда
- команди
- terms
- ніж
- Що
- Команда
- Там.
- Ці
- вони
- це
- ті
- три
- ярус
- Перший рівень
- час
- до
- терпимість
- Усього:
- намагається
- Типи
- розуміти
- розуміння
- до
- користувач
- Вакуум
- Ve
- Проти
- Уразливості
- вразливість
- we
- ДОБРЕ
- були
- вдарити-крот
- Що
- коли
- Чи
- який
- в той час як
- чому
- волі
- з
- в
- вартість
- б
- Ти
- вашу
- зефірнет
- нуль