Đã đến lúc ngừng đo lường an ninh một cách tuyệt đối

COMMENTARY

Bối cảnh và số liệu hướng dẫn đánh giá rủi ro liên tục thay đổi và hiểu biết của chúng tôi về tiến trình của một nhóm bảo mật cũng như vậy. Không thể đo lường được mọi thứ và chỉ vì bạn có thể đo lường được không có nghĩa là nó quan trọng. Điều này khiến bạn dễ bị lạc vào các chi tiết và bỏ lỡ bức tranh lớn hơn: Chúng ta có đang cải thiện theo hướng không?

Một phần lớn của vấn đề là chính sách bảo mật tiêu chuẩn, vốn hướng tới sự hoàn hảo trong khi đánh mất các mục tiêu có thể đạt được. Trong ngành của chúng tôi, chúng tôi có các chính sách quy định, ví dụ: “tất cả các lỗ hổng có nguy cơ cao phải được giải quyết trong vòng 10 ngày” hoặc “tất cả quyền truy cập của người dùng phải được xem xét hàng quý”. Giả định là bạn sẽ phấn đấu đạt 100% mà không cần thảo luận về việc liệu điều này có đạt được hay không và cần những nguồn lực nào để đạt được mục tiêu đó.

Thông thường, đội bảo mật sẽ đạt được mục tiêu đó trong 70% thời gian, điều này được coi là thất bại. Một nhóm thường dành một lượng lớn tài nguyên để cố gắng thu hẹp khoảng cách, chẳng hạn như bằng cách giải quyết 70% lỗ hổng nghiêm trọng đó và mục tiêu của chính sách là 100%. Cuối cùng, họ có thể phải sử dụng quá nhiều nguồn lực để hướng đến sự hoàn hảo trong khi những nguồn lực đó có thể được chi tiêu tốt hơn ở nơi khác.

Với tư cách là một ngành, chúng ta cần lùi lại một bước và đánh giá lại các chính sách cũng như số liệu định hướng các chương trình của mình, quyết định xem chúng có thực tế hay không và liệu chúng có phải là thước đo phù hợp hay không. Dưới đây là ba bước cần thực hiện để đạt được điều này.

1. Xác định mức độ chấp nhận rủi ro của bạn

Không thể đạt được sự hoàn hảo trong mọi lĩnh vực rủi ro. Các đội bảo mật cuối cùng có thể chơi trò đánh đòn và mất tập trung vào những rủi ro tinh vi hơn. Cần phải có một cuộc trò chuyện ở cấp độ doanh nghiệp để xác định rủi ro bảo mật lớn nhất của tổ chức nằm ở đâu và nơi nào cần dành nguồn lực, cũng như các lĩnh vực mà giám đốc điều hành của tổ chức cảm thấy thoải mái với một mức độ rủi ro nhất định. Ví dụ: một lỗ hổng nghiêm trọng như MOVEit có thể gây ra rủi ro có thể chấp nhận được trong một lĩnh vực của doanh nghiệp, nhưng không phải ở một khu vực khác có hệ thống cấp một với mức cho phép từ 0 đến tối thiểu đối với tác động đến Bộ ba CIA về tính bảo mật, tính toàn vẹn và tính sẵn sàng. Xem xét các lỗ hổng lớn nhất nằm ở đâu trong ngành của bạn và các loại tấn công thường nhắm vào các doanh nghiệp trong lĩnh vực của bạn để thực hiện đánh giá rủi ro.

2. Đặt mục tiêu linh hoạt, có thể đạt được

Bước tiếp theo là thiết lập các chính sách bảo mật có thể đạt được, dựa trên đánh giá rủi ro của bạn, tập trung vào tiến trình gia tăng. Bạn không thể nhảy từ vá 50% lỗ hổng lên 95% chỉ sau một đêm. Điều quan trọng là phải hiểu các nguồn lực cần thiết để đạt được mục tiêu của bạn và những cơ hội nào bạn sẽ từ bỏ khi hướng tới mục tiêu vá tổng thể so với 85%. Có thể không đáng để đầu tư để đóng những điểm cuối cùng đó.

Thay vì đặt mục tiêu cố định và hướng đến sự hoàn hảo, hãy tập trung vào việc cải thiện chương trình so với vị trí của bạn trước đây. Những câu hỏi bạn nên đặt ra là: Chúng ta có đang đi đúng hướng không? Chương trình có được cải thiện không? Chúng ta có đang giảm thiểu rủi ro tổng thể không?

3. Đánh giá lại thường xuyên

Vì các lỗ hổng và phương thức tấn công luôn thay đổi nên các nhà lãnh đạo bảo mật nên tổ chức thảo luận thường xuyên với doanh nghiệp rộng hơn để đánh giá lại khẩu vị rủi ro và các chính sách bảo mật. Ít nhất, việc này nên được thực hiện hàng năm. Đánh giá lại liệu các mục tiêu có phù hợp với những rủi ro đã biết và mức độ chấp nhận rủi ro hay không, đồng thời đưa ra quyết định sáng suốt về sự đánh đổi.

Ví dụ: bạn có thể xác định có thể giải quyết được 85% lỗ hổng nghiêm trọng trong vòng 10 ngày. Để đạt được 90%, X lượng tài nguyên, được thể hiện dưới dạng như đầu tư tiền tệ, thời gian hoặc con người, sẽ được yêu cầu. Bạn có thể thấy 85% là mức rủi ro có thể chấp nhận được khi so sánh với các nguồn lực bổ sung đó.

Hướng tới sự tiến bộ chứ không phải sự hoàn hảo

Các quyết định về rủi ro không nên được thực hiện trong chân không. Đây là lý do tại sao các nhà lãnh đạo an ninh phải có những thứ này cuộc trò chuyện với các lãnh đạo doanh nghiệp khác và hội đồng quản trị. Điểm mấu chốt: Sự hoàn hảo hiếm khi đạt được trong ngành này và việc hướng tới sự tuyệt đối đó có thể gây hại nhiều hơn là có lợi. Thay vào đó, hãy tập trung vào việc đạt được tiến bộ. Đặt mục tiêu thực tế, thực hiện các bước nhỏ để đạt được mục tiêu đó và tiếp tục nâng cao tiêu chuẩn cho đến khi bạn đạt đến mức giảm thiểu rủi ro tối ưu.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cybersecurity-analytics/time-to-stop-measuring-security-in-absolutes