Chaque année, beaucoup, je le pense, définir des objectifs ambitieux, par exemple, pour perdre du poids. Oh, c'est moi, nous parlons de la sécurité. Les objectifs sur IB sont donc mis. Supposons de réduire le nombre d'incidents par jour de 23 à 18 ou 17%. Il semble être un objectif magnifique et nécessaire, mais pour y parvenir, il est nécessaire de faire un certain nombre de mesures. Et depuis que j'ai mentionné la perte de poids, essayons ensuite de comparer ces deux processus entre eux.
Donc, nous voulons perdre du poids. Si vous croyez de nombreux experts de fitness, la première étape sur ce chemin sera calculée de calories. Oui, il est désagréable de voir que le sandwich à manger sandwich avec une saucisse de doctorat contient près de la moitié de la norme de calories quotidienne. On pense que cela constitue non seulement l'habitude de nous, mais joue également un rôle psychologique, qui semble voir les nombreuses calories supplémentaires, nous commencerons à s'inquiéter de cela et d'essayer de réduire leur nombre. Mais c'est nécessaire.
Le même problème et les mêmes métriques IB. Lorsque nous commençons à compter tous nos bancs, spams manqués, phishing manqués, vulnérabilités non déposées, fuites admis, temps d'arrêt, conceptions dangereuses du code de l'application, ports déverrouillés sur l'UIT, etc., nous commençons ensuite à former un complexe conditionnel d'infériorité. Et si nous décidons toujours de visualiser tous les incidents sous forme de tableaux de bord et de rapports sur IB, la situation deviendra encore pire. En substance, nous serons posés dans notre uniformité. Et si les résultats de la demande de contrôle de l'alimentation ne voient que vous seul (peu de personnes utilisent la fonction «Partager» dans ces applications), les rapports IB voyagent votre guide et cela commence à poser des questions que nous avons très peur.
Je pense que c'est la raison pour laquelle je ne vois pas souvent des projets bien implémentés pour la mesure et la visualisation de l'IB (et des mauvaises). Et l'année dernière, j'ai participé aux dix premiers projets de conception ou d'audit SOCOS (Cisco est activement engagé dans de tels projets). Ils n'aiment pas montrer les résultats de leur travail, qui dans IB ne sont pas toujours aussi positifs.
Mais revenez aux mesures de votre "mauvais comportement" (dans la mesure de consommation ou de IB). Il est désagréable de se rendre compte que nous faisons quelque chose de mal, mais c'est nécessaire et c'est à ce sujet que la mise en œuvre du programme de mesure de l'IB commence. Cependant, il est également important de savoir quoi et comment mesurer. Revenons à la perte de poids. Nous considérons ici des calories, mais est-ce important? Il est important de supposer que nous avons expressément mangé et combien ces calories étaient "mauvaises" ou "bonnes". Et aussi les conditions dans lesquelles nous avons tout mangé. Supposons que nous ayons réduit notre régime de 500 calories. D'accord? Il semble oui. Vous pouvez l'écrire à votre atout. Et si nous avons réduit l'activité sur les mêmes "500 calories"? Il ne quitte rien d'essence et n'a pas changé. Sur la carte, il sera beau, mais en réalité ... et je ne prends pas encore la situation dans le calcul lorsque quelqu'un manipule consciemment les chiffres.
Avec des incidents de la même manière. En soi, le déclin du nombre d'incidents ne signifie rien. La raison de cela peut être:
- Réduire la surveillance de la zone de revêtement
- Révision du concept d'incident
- Cacher des incidents.
Et vous pouvez également avoir une diminution du nombre total d'incidents, mais la croissance des incidents critiques. Enfin, vous pouvez simplement vous attaquer, ce qui indique la baisse de l'activité des attaquants, mais pas sur la qualité de votre système de protection. Et oui, cela peut être le résultat de votre travail et de votre sous-traitance SOC, ainsi que d'autres divisions de la société (par exemple). Par conséquent, une seule chiffre ne signifie rien - il est nécessaire de comprendre son environnement, ainsi que de la comparer à d'autres numéros collectés ou calculés.
Et par conséquent, il est si important de mesurer suffisamment de nombreux indicateurs différents, qui choisissent ensuite les tâches souhaitées - pour différentes tâches, à différentes périodes, pour différents publics cibles. Après tout, les métriques sont différentes - opérationnelles, tactiques et stratégiques. Et dans certains cas, avec un grand nombre de niveaux de la hiérarchie de l'OI de l'Organisation, il peut y avoir des métriques exécutifs, etc. Par conséquent, le lancement du programme de mesure de l'IB doit être rappelé qu'elle est nécessaire
- Mesurer tout. Plus tard
- Mesurer les bonnes choses. Plus tard
- Prendre les bonnes choses
Mais commencez par la mesure de tout (bien ou beaucoup).
Et ici, j'ai abordé le temps pour lequel cette longue note a été écrite. J'ai décidé de succomber à la référence à la mode, appelée l'altitude de l'IB (en russe) et de lancer un nouveau canal de télégramme par des métriques IB (métriques de cyber-sécurité). Je partagerai une seule métrique de IB tous les jours avec sa brève description, formules, sources de données, restrictions, etc. En fait, cela n'est bien sûr pas une guithabisation, mais comment l'appeler, je ne sais pas. Au début, j'ai pensé à fermer immédiatement le catalogue métrique et pose-le sur GitHub, mais le temps de le faire immédiatement et tout, non. Mais dans des parties, il me semblait assez de soulever une tâche de levage. Le jour de la métrique - d'ici la fin de l'année, il y aura 250 métriques différentes de différents domaines IB - Réponse aux incidents, la gestion des vulnérabilités, l'équipe rouge, la confidentialité, la gestion des finances, la surveillance de la BCI, la conformité, etc. Contrairement à son canal actuel "Post Lukatsky", le nouveau, j'ai inclus l'occasion de commentaires et de discussions afin de pouvoir discuter de chaque métrique, partager des expériences, etc.
Alors bienvenue au nouveau canal de télégramme, qui sera un catalogue métrique régulièrement rempli sur IB.
Source - Blog Alexei Lukatsky "Entreprise sans danger".
Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.