Cómo medir la eficacia de la seguridad empresarial
El mayor desafío en seguridad es no conocer el valor de la seguridad.
El negocio se puede medir por las ventas y el número de usuarios; la operación y el mantenimiento se pueden medir mediante indicadores de estabilidad, como el número de fallas de I+D se puede medir por el número de vulnerabilidades, el número de servidores y la escalabilidad; y patentes.
Sin embargo, es difícil reflejar la seguridad de los datos y los efectos ofensivos y defensivos básicos dentro de la empresa.
Los problemas que enfrenta la seguridad de los datos y la seguridad básica suelen ser incidentes. Es muy probable que no hagas nada y sigas estando bien durante un año.
Quizás has invertido mucho esfuerzo y dinero, pero aún tienes muchos problemas.
Por lo tanto, nos resulta difícil utilizar un único indicador de evento para medir la calidad de la seguridad de los datos. Esta es también la razón por la que muchos profesionales de la industria de la seguridad no trabajan lo suficiente.
También les resulta difícil explicar a sus jefes por qué gastaron el dinero, pero aún así no pueden garantizar que no pasará nada.
Con el tiempo, han surgido dos malos hábitos en la industria:
Primero, tienen miedo de hacerle saber al jefe que hay un problema.
Muchas empresas guardan el informe en un cajón después de completar la prueba de penetración. También hay algunos incidentes reportados externamente, algunos de los cuales son graves, pero mientras el jefe no lo sepa, lo hará en secreto. tratarlo y blanquearlo como pacífico.
En segundo lugar, nadie quiere asumir responsabilidades.
Muchos proveedores de seguridad sólo son responsables de las funciones del equipo que venden, pero no de los efectos, porque en realidad no pueden asumir la responsabilidad, por lo que al final, nadie es responsable.
Muchos clientes piensan que si compran equipos y servicios no pasará nada y podrán darle trabajo a su jefe.
En realidad, son dos cosas diferentes, porque todo el mundo apuesta a la suerte y ya nadie es responsable de la seguridad.
2. La Ley del Bosque Oscuro de Seguridad Empresarial
La Ley del Bosque Oscuro es muy adecuada para la seguridad empresarial: una vez expuesta al público, los piratas informáticos estarán muy interesados en usted y lo descubrirán. muchos de tus problemas.
Por ejemplo, durante la Copa del Mundo, los sitios web de lotería fueron severamente atacados; durante el período en que el dinero caliente inundó la industria de las microfinanzas P2P, toda la industria de las microfinanzas P2P fue atacada con mucha frecuencia.
Ahora que el dinero caliente está invirtiendo en la transmisión en vivo y en el disfrute del ciclismo, se puede esperar que esta industria pronto experimente el bautismo de los piratas informáticos.
Es difícil saber cuándo te visitará un hacker. Si aún no ha tenido un problema de seguridad, su negocio no es lo suficientemente grande.
Entonces, volvamos a la pregunta más fundamental: ¿cómo medir la eficacia de la seguridad de los datos empresariales y la ofensiva y defensa básica?
3. Dos indicadores centrales de la seguridad empresarial
El objetivo final de la seguridad de los datos empresariales es que los atacantes no los roben y el otro no interrumpa el negocio. .
Entonces, cuando se trata de seguridad empresarial, usted es el responsable final de estos dos resultados.
No podemos garantizar que nunca se produzcan incidentes de seguridad, pero debemos asegurarnos de que todo el riesgo de seguridad de la empresa tienda a converger en un lapso de tiempo suficientemente largo.
De hecho, también hemos observado que con la expansión del negocio empresarial, los incidentes de seguridad que originalmente eran de baja probabilidad se han convertido gradualmente en la norma.
En cuanto a los efectos de seguridad, existen dos indicadores clave: uno es el número de vulnerabilidades y el otro es el número de incidentes de seguridad.
En el largo plazo, estos dos indicadores deberían converger. Esto también es responsabilidad del equipo de seguridad o CSO.
4. ¿Cómo demostrar que estos dos indicadores son fiables y válidos?
Como CSO, hago muchas cosas y gasto mucho dinero con la esperanza de que la cantidad de vulnerabilidades e incidentes de seguridad converjan gradualmente.
Pero el número de incidentes de seguridad está relacionado con la suerte (incluida la Ley del Bosque Oscuro), y el número de vulnerabilidades se basa en la capacidad de descubrimiento. Si la capacidad de descubrimiento es débil, la cantidad de vulnerabilidades no indicará gran parte del problema.
Por lo que es necesario encontrar una regla estándar como medida.
En la actualidad, parece que los medios de inspección más eficaces son a través de servicios de pruebas públicos y la recopilación de información de seguridad externa.
Por ejemplo, el Centro de Respuesta a Emergencias (SRC) establecido por grandes empresas. Pidiendo ayuda a la comunidad de seguridad, ofreciendo recompensas pagadas a los sombreros blancos por presentar vulnerabilidades desde el exterior.
La cantidad y calidad de las vulnerabilidades descubiertas de esta manera pueden ser decenas de veces mayores que las de las pruebas de penetración tradicionales. Los sombreros blancos entraron en tropel, simulando exactamente escenarios de ataque en redes reales.
Lo que tenemos que hacer es garantizar la seguridad de la versión beta pública y operar esta relación comunitaria de manera efectiva a largo plazo.
Basado en esta idea de pruebas públicas, existen tres indicadores que pueden medir la solidez y eficacia de las capacidades de seguridad de una empresa:
El primero es el número de vulnerabilidades reportadas externamente. obtenido a través de pruebas públicas y SRC
El segundo es que el número de vulnerabilidades y ataques percibidos por el sistema de percepción en nuestro sistema de seguridad se corresponde uno a uno con los indicadores anteriores;
El tercero es la defensa en nuestro sistema de seguridad. El número de vulnerabilidades y ataques contra los que el sistema puede defenderse eficazmente corresponden a los dos primeros indicadores respectivamente.
A través de la convergencia gradual de estos tres indicadores, todo nuestro trabajo de seguridad puede guiarse de manera efectiva.