Cada ano, moitos, creo que así, establece algúns obxectivos ambiciosos, por exemplo, para perder peso. Ah, que isto é eu, estamos falando de seguridade. Póñanse os obxectivos en IB. Supoña reducir o número de incidentes por día de 23 a 18 ou 17%. Parece ser un obxectivo fermoso e necesario, pero para logralo, é necesario facer unha serie de pasos. E desde que mencionei a perda de peso, tratemos de comparar estes dous procesos entre si.
Entón, queremos perder peso. Se cres numerosos expertos en fitness, o primeiro paso neste camiño calcularase calorías. Si, é desagradable ver que o bocadillo comedor de bocadillos con salchicha de doutoramento contén case a metade de toda a norma de calorías diarias. Crese que isto non só forma o hábito de nós, senón que tamén ten un papel psicolóxico, que parece ver as moitas calorías extra, comezaremos a preocuparse por iso e tratar de reducir o seu número. Pero é necesario necesario.
O mesmo problema e métricas IB. Cando comezamos a contar a todos os nosos bancos, SPAM perdido, Phishing perdido, vulnerabilidades sen pesos, fugas admitidas, tempo de inactividade, debuxos perigosos no código de aplicación, portos desbloqueados en ITU, etc., entón comezamos a formar un complexo condicional de inferioridade. E se aínda decidimos visualizar todos os incidentes en forma de paneis e informes sobre IB, a situación será aínda peor. En esencia, preguntaremos na nosa uniformidade. E se os resultados da aplicación para o control de enerxía só se ven (de algunha maneira poucas persoas usan a función "compartir" en tales aplicacións), os informes de IB ven a súa guía e comeza a facer preguntas que temos moito medo.
Creo que é por iso que moitas veces non vexo proxectos ben implementados para a medición e visualización de IB (e malo tamén). E o ano pasado participei nos dez primeiros proxectos para deseñar ou auditar socos (Cisco está activamente implicado en proxectos). Non lles gusta mostrar os resultados do seu traballo, que en IB non sempre son tan positivos.
Pero de volta ás medidas do seu "mal comportamento" (en se está comendo ou en IB). É desagradable darse conta de que facemos algo mal, pero é necesario e é a partir disto que comeza a implementación do programa de medición do IB. Non obstante, tamén é importante saber que e como medir. Volvemos á perda de peso. Aquí consideramos calorías, pero é importante? É importante supoñer que especificamente comemos e canto estas calorías eran "malas" ou "boas". E tamén as condicións en que comemos todo. Supoña que reducimos a nosa dieta de 500 calorías. Bo? Parece que si. Podes escribilo no teu activo. E se temos unha actividade reducida sobre a mesma "500 calorías"? Non resulta nada en esencia e non cambiou. No gráfico, parecerá fermoso, pero en realidade ... e aínda non tomo a situación no cálculo cando alguén manipula conscientemente os números.
Con incidentes todo o mesmo. En si mesmo, o descenso no número de incidentes non significa nada. A razón para isto pode ser:
- Reducir a monitorización da zona de revestimento
- Revisión do concepto de incidente
- Ocultar incidentes.
E tamén pode ter unha diminución do número total de incidentes, pero o crecemento dos incidentes críticos. E, finalmente, pode simplemente atacalo, o que indica o descenso da actividade dos atacantes, pero non sobre a calidade do seu sistema de protección. E si, pode ser o resultado do seu traballo e outsourcing SOC, así como outras divisións da empresa (por exemplo, el). Polo tanto, só un díxito non significa nada - é necesario entender o seu ambiente, así como comparalo con outros números recollidos ou calculados.
E, polo tanto, é tan importante medir suficientemente moitos indicadores diferentes, dos cales e, a continuación, elixir o desexado - para diferentes tarefas, en diferentes períodos de tempo, para diferentes audiencias obxecto de aprendizaxe. Despois de todo, as métricas son diferentes: operativas, tácticas e estratéxicas. E nalgúns casos, cun gran número de niveis da xerarquía IB na organización, pode haber métricas executivas, etc. Polo tanto, o lanzamento do Programa de Medición IB debe lembrar que é necesario
- Medir todo. Máis tarde
- Mide as cousas correctas. Máis tarde
- Tome as cousas correctas
Pero comeza coa medición de todo (ben ou moito).
E aquí achegouse o tempo para o que se escribiu esta longa nota. Eu decidir sucumbe á referencia de moda, chamado Hithabization de IB (en ruso), e lanzar unha nova canle Telegram por métricas IB (Cyber Security Metrics). Vou compartir unha única métrica de IB todos os días coa súa breve descrición, fórmulas, fontes de datos, restricións, etc. De feito, isto é, por suposto, non unha güithabización, senón como chamalo, non sei. Ao principio pensei pechar o catálogo métrico de inmediato e poñelo en GitHub, pero o tempo de facelo de inmediato e todo, non. Pero en partes parecíame unha tarefa moi levantada. O día na métrica - a finais de ano haberá 250 métricas diferentes de diferentes dominios IB - resposta a incidentes, xestión de vulnerabilidades, equipo vermello, privacidade, xestión de finanzas, seguimento IB, cumprimento, etc. A diferenza da súa actual canle "Post Lukatsky", o novo que incluíu a oportunidade de comentarios e discusións para que poida discutir cada métrica, compartir experiencias, etc.
Entón, benvido á nova canle de telegrama, que será un catálogo métrico enche regular en IB.
Fonte - Blog Alexei Lukatsky "negocio sen perigo".
Material máis interesante sobre CISOCLUB.RU. Subscríbete a Estados Unidos: Facebook | VK | Twitter | Instagram | Telegram | Zen | Mensaxeiro | ICQ Novo | YouTube | Pulse.