IT knowledge base
CTRL+F per cercare la tua parola chiave

Se non sei coinvolto nella gestione delle risorse, non hai sicurezza delle informazioni

Ciao, Habr! Presento alla vostra attenzione la traduzione dell'articolo " Se non fai gestione continuativa non fai sicurezza " di Daniel Miessler.
Più un'azienda può dire sui suoi beni, meglio fa con la sicurezza. Più l'inventario è complesso e operativo, maggiore è il livello di maturità dell'organizzazione in materia di sicurezza delle informazioni. Ne sono convinto da 15 anni, consultando centinaia di clienti aziendali.
Ma prova come dipendente o consulente a tempo pieno a ottenere un individuo assunto per costruire e mantenere un sistema di gestione delle risorse. Nella maggior parte dei casi, ti guarderanno come se chiedessi di dipingere le pareti con vernice invisibile. Le loro espressioni diranno: "Guarda, non so da dove vieni, ma qui non abbiamo soldi extra da sprecare in stupide attività amministrative".
Questo è il significato del loro aspetto, il che è ridicolo considerando dove vengono spesi i soldi. Le aziende sostengono i costi dei cookie d'ufficio, inviano le persone a corsi di formazione e conferenze inutili e versano milioni in campagne di marketing che non possono essere legate alle vendite. Ma spendere i soldi per avere una lista di cosa stiamo effettivamente proteggendo? No. Troppo caro. Spreco di acqua pulita.
La gestione delle risorse è probabilmente la componente più importante di un programma di sicurezza, ma conosco quasi zero aziende che hanno un dipendente dedicato per questo.
Le persone continuano a fare domande inutili sulle violazioni. Smettila di chiedere certificati di conformità, regolamenti o diplomi. Non importa. Chiediamoci invece quale di queste società aveva una quotazione di asset con oltre il 60% di copertura e meno di 30 giorni di rilevanza. Penso che più del 99% delle aziende che hanno affrontato un incidente grave o una violazione negli ultimi cinque anni non disponesse di un tale elenco dei propri sistemi, dati e produttori. Mi piacerebbe sentire da qualcuno che mi sbaglio.
Per la maggior parte delle aziende, la cosa migliore che possono fare per il loro programma di sicurezza è assumere un individuo per mantenere un inventario quasi in tempo reale delle risorse dell'azienda.
E visto che qui stiamo giocando con il fuoco, facciamo un'altra domanda: qual è il costo della conformità ai requisiti dei regolatori nel campo della sicurezza delle informazioni, se può essere ottenuto senza sapere dove sono i tuoi dati e quali sistemi usi avere? Come è possibile? È come se la casa automobilistica avesse superato il crash test senza fornire l'auto.
Dimentica tutto ciò che sapevi sulla sicurezza delle informazioni. Buttalo nel water. Tutte le normative, scanner di sicurezza, gestione delle vulnerabilità e audit. Chiamiamolo "non-cattivo-a-avere" .
Un indicatore della maturità del team di sicurezza sono le risposte alle domande:
  • Cosa è attualmente disponibile su Internet?
  • Quanti sistemi hai in totale?
  • Dove sono i tuoi dati?
  • Quanti produttori usi?
  • Che tipo di dati vengono elaborati sulle apparecchiature di quali produttori?
Se ti guardano come un ariete davanti a un nuovo cancello, non stanno facendo una vera sicurezza. Se non sanno cosa stanno proteggendo, è solo un'auto costosa e rotta che brucia i soldi dell'azienda.
Sono un insegnante che non conta gli studenti in un viaggio pericoloso, un comandante militare che ha perso le sue unità di combattimento e un genitore che non ha idea di cosa stia facendo il loro bambino. In una parola, sono persi . E un fiasco è inevitabile. Ciò non significa che non conoscano la sicurezza o che non abbiano un team ben coordinato. Questa è una trappola in cui cadono molte grandi squadre.
Se vogliamo conoscere il reale livello di sicurezza, utilizziamo un'unica metrica per l'intero settore: "Accuratezza e tempestività dell'inventario degli asset" . Puoi iniziare con qualcosa del genere:
  • A: 90% di precisione, o 1 settimana di vita
  • B: 80% di precisione, o 1 mese fa
  • C: precisione del 70%, o 2 mesi fa
  • D: precisione del 60%, o 3 mesi fa
  • E: precisione del 50% (o meno), o 1 anno fa
Ora fissa un obiettivo per ogni responsabile del team di sicurezza per ottenere una precisione del 95% con aggiornamenti giornalieri/settimanali per 6 mesi. E il prezzo sarà semplicemente lo stipendio di 1-3 persone assunte per completare questo compito. Ciò ridurrà le violazioni della sicurezza e rappresenterà una frazione della discarica per i prodotti che acquistiamo e distribuiamo ogni anno.
Non sto dicendo che sia facile, o che l'ho sempre fatto in modo eccellente prima. Io, come molti, non l'ho sempre preso abbastanza sul serio. Ma se non vuoi pagare una o più persone per occuparti di gestione patrimoniale a tempo pieno, non sei sulla strada del fallimento: hai già fallito. Naturalmente, non sto chiedendo di abbandonare altre importanti misure di protezione. Ma io dico che questa dovrebbe essere una priorità per migliorare la sicurezza, e puoi pagarla con soldi che vengono spesi in modo inefficiente per altre cose.
Autore originale : Daniel Miessler

Circa l'autore

Daniel Miessler è un professionista della sicurezza dei dati e scrittore nato, cresciuto e residente nel nord della California:

La mia principale passione intellettuale nella vita si riduce a questo:

  1. Studio di principi interessanti dell'ordine mondiale: loro identificazione, descrizione e documentazione.
  2. Risolvere problemi del mondo reale utilizzando la conoscenza strutturata.
  3. Condividere e discutere con gli altri sia i modelli stessi che la loro applicabilità per cambiare il mondo.


In altre parole, mi piace trovare schemi nelle cose, creare modelli di come funziona il mondo, discutere, condividere e utilizzare queste informazioni per migliorare la vita in un modo o nell'altro.