Làm sao để sếp bạn chi tiền cho an ninh mạng?

Có lẽ bạn là một trong những người nghi ngờ các tin tặc đang gõ cửa các tổ chức kỹ thuật số của bạn. Bạn có lẽ phải. Nhưng có bao giờ bạn cố gắng để thuyết phục đội ngũ quản lý của bạn mà tổ chức nên chi tiêu nhiều hơn cho các biện pháp an ninh? Nếu bạn là một thông tin Chief Security Officer, bạn có thể có, ngay cả khi đó là phần tồi tệ nhất trong công việc của bạn. Nếu tổ chức của bạn đã bao giờ bị vi phạm, hoặc bạn đã làm tốt việc của mình, hay chỉ là may mắn, nhưng không thấy sự cần thiết phải cải thiện. Tiếng kêu “khải huyền ảo là ở bàn tay” sẽ chỉ giúp cho một thời gian ‘. Lập luận rằng nó sẽ chỉ phải tin tưởng bạn trên này quá. Và nếu tổ chức của bạn cuối cùng đã bị hack, nó là để đổ lỗi cho nó là quá muộn …

Làm thế nào để thuyết phục các lời khuyên bảo mật thông tin quản lý, giống như bất kỳ chính sách, một vấn đề lập kế hoạch và phân tích chi phí và ảnh hưởng của các biện pháp? Bạn tạo ra một khuôn mẫu và điều này là chính xác những gì ông đã làm RAND Corporation. “Sự tiến thoái lưỡng nan của Defender. Vẽ một đường đến an ninh” (June 2015) là một nghiên cứu thực hiện cho Juniper Networks. Mô tả các cuộc phỏng vấn với 18 của CISO, một nghiên cứu tài liệu, công cụ bảo mật trong sử dụng và mô hình của họ. Mặc dù cơ sở thực nghiệm của họ là rất mỏng để cung cấp một cái nhìn tổng quan về thực trạng an toàn thông tin nói chung, các mô hình là một công cụ hữu ích để phân tích của riêng bạn.

Nó hoạt động rất đơn giản; bạn điền vào một bảng câu hỏi và các mô hình tính toán như thế nào chi tiêu trong bảo mật CNTT (đào tạo, các công cụ, biện pháp để tách liên kết, vv) cân đối với chi phí của một cuộc tấn công máy tính đó là điển hình xảy ra trong một tổ chức như của bạn (kích thước, giá trị dữ liệu, khả năng phục hồi, vv). Dĩ nhiên những tính toán này là xa thực tế, như mô hình chỉ dựa trên nhiều giả định ảnh hưởng đến kết quả. Tốt nhất nó là một cách để giải thích các lực lượng trong lĩnh vực này, với đó bạn có thể so sánh tổ chức cho người khác. Nhưng chuyển và chuyển một số giá trị, nó cung cấp một cái nhìn rõ ràng hơn về những ảnh hưởng của lựa chọn chính sách. Ngoài ra, như nhiều người trả lời được kết hợp, nhiều dữ liệu được thu thập và, cuối cùng, mô hình sẽ làm việc như là một chuẩn mực tốt so sánh chiến lược để các đồng nghiệp của bạn.

Sau đó, một lần nữa, nếu bạn thực sự nhận thức của phần mềm độc hại, bạn sẽ không phải điền vào một bảng câu hỏi trực tuyến về chính sách bảo mật, phải không? Nó chỉ có thể được kiểm tra xâm nhập, cố gắng kỹ sư xã hội theo cách của mình vào tổ chức của bạn … Sau đó, không chỉ đọc báo cáo, vì nó vẫn có thể có ích.

Trước khi tìm hiểu cách những người khác đang làm để CISO. Ví dụ, những gì bạn sợ nhất, đó là hiệu quả của một cuộc tấn công không gian mạng có thể có trên danh tiếng của tổ chức mình. Vì vậy, vấn đề không phải là bao nhiêu hay loại dữ liệu có thể bị mất, nhưng chỉ có một thực tế rằng dữ liệu bị mất trong tất cả và khách hàng có thể mất niềm tin. Hơn nữa, hầu hết trong số họ không tin tưởng vào một nguồn duy nhất cho các công cụ của họ và tốt hơn trải rủi ro của họ. Hoặc này: “tính toán rủi ro thường được tô điểm bởi các sự kiện gần đây”, trong khi “. Các mối nguy hại nhất là những người không được mong đợi” Nghe có vẻ quen thuộc?

Thứ hai, báo cáo cung cấp một cái nhìn tổng quan thú vị tại sao các phần mềm phát triển với nhiều lỗ hổng – một trong những nguồn cho phép tin tặc để nhập. Đổi mới và khả năng sử dụng vẫn phản đối an ninh, cả với những người viết phần mềm, cũng như thời gian sử dụng. Trong ngắn hạn: nó rẻ hơn để chỉ xây dựng trên phần mềm phát hiện sớm và di chuyển bản vá sau đó bắt đầu từ xây dựng đầu phần mềm an toàn hơn. Vì vậy, hãy dành một chút ‘thêm về phần mềm an toàn, chắc chắn sẽ tạo ra một lợi nhuận tốt về đầu tư trong dài hạn.

Thứ ba, theo tài liệu của các mô hình, kích thước. Các tổ chức lớn dường như có một bề mặt tấn công lớn hơn, nhưng nền kinh tế của quy mô đã dạy cho chúng ta biết rằng nó có thể hữu ích để có nhân viên chuyên trách để đối phó với các cuộc tấn công. Organizatons nhỏ mặt khác có thể có nguy cơ bội chi thuê nhân viên an ninh mới và họ nên đặt tiền của họ vào một số công cụ mà chỉ có thể đủ để giữ hacker ra.

Các mô hình RAND giúp sắp xếp chính sách an ninh và để định lượng các chi phí và lợi ích của các biện pháp chính sách cho cả CISO và CEO. Nhưng chúng ta không quên những khía cạnh chất lượng. Chuyện của những người đã bị vi phạm, làm thế nào và tại sao, chỉ có thể là một giá trị để cải thiện các chính sách bảo mật, và nó chi phí bạn không có gì nhiều hơn thời gian của bạn. Mô hình không đưa vào tài khoản, nhưng chỉ là về dù nó hoạt động hay không, chỉ có thể là một điểm khởi đầu tốt để làm việc đó.

Đây là một bài viết trên blog của khách. Các quan điểm thể hiện trong bài viết này là những suy nghĩ ban đầu được công bố bởi Chris van ‘t Hof Tek Tok. Những quan điểm này là của ông.