Todos os anos, muitos, acho que sim, definir alguns objetivos ambiciosos, por exemplo, perder peso. Ah, isso é eu, estamos falando de segurança. Então os objetivos no IB são colocados. Suponha reduzir o número de incidentes por dia de 23 a 18 ou 17%. Parece ser um objetivo lindo e necessário, mas para alcançá-lo, é necessário fazer uma série de etapas. E desde que mencionei perda de peso, então vamos tentar comparar esses dois processos entre si.
Então, queremos perder peso. Se você acredita em numerosos especialistas em fitness, o primeiro passo neste caminho será calculado calorias. Sim, é desagradável ver que o sanduíche de alimentação de sanduíche com salsicha de doutorado contém quase metade de toda a norma diária de calorias. Acredita-se que isso não apenas forma o hábito de nós, mas também desempenha um papel psicológico, que parece ver as muitas calorias extras, começaremos a nos preocupar e tentar reduzir o número deles. Mas é necessário necessário.
O mesmo problema e métricas IB. Quando começamos a contar todos os nossos cardumes, spam perdido, perdemos phishing, vulnerabilidades desapesadas, admitiu vazamentos, tempo de inatividade, desenhos perigosos no código do aplicativo, desbloqueados portas no ITU, etc., então começamos a formar um complexo condicional de inferioridade. E se ainda decidirmos visualizar todos os incidentes na forma de painéis e relatórios sobre o IB, a situação se tornará ainda pior. Em essência, nos perguntaremos em nossa uniformidade. E se os resultados do aplicativo para o controle de energia vejam somente você (de alguma forma, poucas pessoas usarem a função "Compartilhar" em tais aplicativos), o IB relatórios verá seu guia e começa a fazer perguntas que estamos com muito medo.
Acho que é por isso que muitas vezes não vejo projetos bem implementados para a medição e visualização do IB (e mal também). E no ano passado eu participei dos dez principais projetos para projetar ou auditar Socos (Cisco está ativamente envolvido em projetos). Eles não gostam de mostrar os resultados de seu trabalho, que no IB nem sempre são tão positivos.
Mas de volta às medições do seu "mau comportamento" (em saber ou no IB). É desagradável perceber que fazemos algo errado, mas é necessário e é de isso que a implementação do programa de medição do IB começa. No entanto, também é importante saber o que e como medir. Vamos voltar à perda de peso. Aqui consideramos calorias, mas é importante? É importante assumir que, especificamente, comemos e quanto essas calorias eram "ruins" ou "bons". E também as condições sob as quais comemos tudo. Suponha que reduzimos nossa dieta de 500 calorias. OK? Parece sim. Você pode escrever para o seu ativo. E se tivermos a redução da atividade nas mesmas "500 calorias"? Acontece nada em essência e não mudou. No gráfico, ficará linda, mas na realidade ... e eu ainda não tomo a situação no cálculo quando alguém conscientemente manipula os números.
Com incidentes todos iguais. Em si, o declínio no número de incidentes não significa nada. A razão para isso pode ser:
- Reduzindo o monitoramento da zona de revestimento
- Revisão do conceito de incidente
- Escondendo incidentes.
E você também pode ter uma diminuição no número total de incidentes, mas o crescimento de incidentes críticos. E finalmente, você pode simplesmente atacar você, o que indica o declínio na atividade de atacantes, mas não sobre a qualidade do seu sistema de proteção. E sim, pode ser o resultado do seu trabalho e terceirização SOC, bem como outras divisões da empresa (por exemplo,). Portanto, apenas um dígito não significa nada - é necessário entender seu ambiente, bem como compará-lo com outros números coletados ou calculados.
E, portanto, é tão importante medir suficientemente muitos indicadores diferentes, dos quais, em seguida, escolher o desejado - para diferentes tarefas, a diferentes períodos de tempo, para diferentes públicos-alvo. Afinal, as métricas são diferentes - operacionais, táticas e estratégicas. E, em alguns casos, com um grande número de níveis da hierarquia IB na organização, pode haver métricas executivas, etc. Portanto, o lançamento do programa de medição do IB deve ser lembrado que é necessário
- Medir tudo. Mais tarde
- Medir as coisas certas. Mais tarde
- Pegue as coisas certas
Mas comece com a medição de tudo (bem, ou muito).
E aqui me aproximei da época para a qual esta nota longa foi escrita. Decidi sucumbir à referência na moda, chamada de hitabização de IB (em russo) e lançar um novo canal de telegrama por métricas IB (cyber Security Metrics). Eu compartilho uma única métrica de IB todos os dias com sua breve descrição, fórmulas, fontes de dados, restrições, etc. Na verdade, é claro, não é uma guitrabização, mas como chamá-lo, eu não sei. No começo, pensei para fechar o catálogo métrico imediatamente e colocá-lo no GitHub, mas a hora de fazê-lo imediatamente e tudo, não. Mas em partes parecia-me bastante levantamento tarefa. No dia na métrica - até o final do ano, haverá 250 métricas diferentes de diferentes domínios IB - Resposta a incidentes, gerenciamento de vulnerabilidades, equipe vermelha, privacidade, gestão financeira, monitoramento de IB, conformidade, etc. Ao contrário do seu canal atual "Post Lukatsky", o novo incluí a oportunidade de comentários e discussões para que você possa discutir todas as métricas, compartilhar experiências, etc.
Portanto, seja bem-vindo ao novo canal de telegrama, que será um catálogo métrico regularmente preenchido no IB.
Fonte - Blog Alexei Lukatsky "Negócios sem perigo."
Material mais interessante em cisoclub.ru. Inscreva-se: Facebook | Vk |.. Twitter | Instagram | Telegrama | Zen | Mensageiro | ICQ New | YouTube | Pulso.