Güvenliği Mutlak Değerlerle Ölçmeyi Durdurmanın Zamanı Geldi


YORUM

Risk değerlendirmelerine rehberlik eden bağlam ve ölçümler sürekli değişiyor ve bir güvenlik ekibi olarak ilerlemenin nasıl göründüğüne dair anlayışımız da değişiyor. Her şeyi ölçmek mümkün değildir ve ölçebiliyor olmanız onun önemli olduğu anlamına gelmez. Bu, ayrıntılarda kaybolmayı ve büyük resmi gözden kaçırmayı kolaylaştırır: Yönsel olarak gelişiyor muyuz?

Sorunun büyük bir kısmı, ulaşılabilir hedefleri gözden kaçırırken mükemmelliği hedefleyen standart güvenlik politikasıdır. Sektörümüzde, örneğin “tüm yüksek riskli güvenlik açıklarının 10 gün içinde ele alınması gerekir” veya “tüm kullanıcı erişiminin üç ayda bir gözden geçirilmesi gerekir” diyen politikalarımız vardır. Varsayım şu ki, bunun ulaşılabilir olup olmadığı ve bu hedefe ulaşmak için hangi kaynakların gerekli olacağı hakkında hiçbir konuşma yapmadan, %100 için çabalayacaksınız.

Genellikle bir güvenlik ekibi bu hedefe yüzde 70 oranında ulaşır ve bu da başarısızlık olarak kabul edilir. Bir ekip genellikle, örneğin kritik güvenlik açıklarının %70'ini ve politikanın %100 hedefini ele alarak açığı kapatmaya çalışırken çok büyük miktarda kaynak harcar. Kaynaklar başka yerlerde daha iyi harcanabilecekken mükemmelliği hedeflemek için kaynakları zorlayabilirler.

Sektör olarak bir adım geriye gitmemiz ve programlarımıza yön veren politikaları ve ölçümleri yeniden değerlendirmemiz, bunların gerçekçi olup olmadığına ve hatta doğru ölçümler olup olmadığına karar vermemiz gerekiyor. Bunu başarmak için atmanız gereken üç adım var.

1. Risk İştahınızı Belirleyin

Tüm risk alanlarında mükemmelliğe ulaşmak imkansızdır. Güvenlik ekipleri sonunda köstebek vurma oyunu oynayabilir ve daha ince risklere odaklanmayı kaybedebilir. Kuruluşun en büyük güvenlik risklerinin nerede bulunduğunu ve kaynakların nereye tahsis edileceğinin yanı sıra yöneticilerin belirli bir düzeyde risk konusunda rahat oldukları alanları tanımlamak için iş düzeyinde bir görüşme yapılması gerekir. Örneğin, MOVEit gibi kritik bir güvenlik açığı, işin bir alanında kabul edilebilir bir riski temsil edebilir, ancak işletme üzerinde sıfır ila minimum düzeyde etki payı olan birinci kademe sistemlere sahip başka bir alanda bu riski temsil edemez. CIA üçlüsü gizlilik, bütünlük ve kullanılabilirlik. Bir risk değerlendirmesi yapmak için sektörünüzdeki en büyük güvenlik açıklarının nerede olduğuna ve genellikle alanınızdaki işletmeleri hedef alan saldırı türlerine bakın.

2. Esnek, Ulaşılabilir Hedefler Belirleyin

Bir sonraki adım, risk değerlendirmenize dayalı olarak artan ilerlemeye odaklanan ulaşılabilir güvenlik politikaları belirlemektir. Güvenlik açıklarının %50'sini yamalamaktan %95'ine bir gecede geçemezsiniz. Hedefinize ulaşmak için gereken kaynakları ve %85 yerine toplam yamalamayı hedefleyerek hangi fırsatlardan vazgeçeceğinizi anlamak önemlidir. Bu son birkaç noktayı kapatmak yatırıma değmeyebilir.

Statik bir hedef belirlemek ve mükemmelliği hedeflemek yerine, programı daha önce bulunduğunuz noktaya göre geliştirmeye odaklanın. Sormanız gereken sorular şunlardır: Doğru yönde mi ilerliyoruz? Program gelişiyor mu? Genel olarak riski azaltıyor muyuz?

3. Düzenli Olarak Yeniden Değerlendirin

Güvenlik açıkları ve saldırı yöntemleri her zaman değiştiğinden, güvenlik liderleri risk iştahını ve güvenlik politikalarını yeniden değerlendirmek için daha geniş işletme birimleriyle düzenli olarak görüşmelerde bulunmalıdır. En azından bu her yıl yapılmalıdır. Hedeflerin bilinen riskler ve risk toleransıyla uyumlu olup olmadığını yeniden değerlendirin ve ödünler konusunda bilinçli kararlar alın.

Örneğin, kritik güvenlik açıklarının %85'ini 10 gün içinde gidermenin mümkün olduğunu belirleyebilirsiniz. %90'a ulaşmak için, X gibi terimlerle ifade edilen kaynak miktarı parasal yatırım, zaman veya insanlar, Gerekli olacak. Bu ek kaynaklarla karşılaştırıldığında %85'in kabul edilebilir bir risk düzeyi olduğunu görebilirsiniz.

Mükemmelliği Değil İlerlemeyi Hedefleyin

Riske ilişkin kararlar bir boşlukta alınmamalıdır. Bu nedenle güvenlik liderlerinin bunlara sahip olması gerekir. diğer iş dünyası liderleri ve yönetim kuruluyla yapılan görüşmeler. Sonuç olarak: Bu sektörde mükemmelliğe nadiren ulaşılabilir ve bu mutlakı hedeflemek yarardan çok zarar getirebilir. Bunun yerine ilerleme kaydetmeye odaklanın. Gerçekçi hedefler belirleyin, oraya ulaşmak için küçük adımlar atın ve optimum risk azaltma seviyesine ulaşana kadar çıtayı yükseltmeye devam edin.





Source link