CIBERSEGURIDAD

Haga bien su gestión de riesgos o pierda el mordisco

0 62 3 minutos de lectura


La gestión de riesgos, las políticas, el cumplimiento y el resto de las partes «aburridas» en las que la seguridad choca con los negocios son incapaces de generar sus propias métricas atómicas de resultados.

En declaraciones al analista de seguridad Conrad Constantine, dijo que estas áreas son «solo conjeturas», ya que el monitoreo y la respuesta de seguridad formalizados pueden generar métricas detalladas para todos estos procesos.

Dijo: “¿Tiene una política de seguridad? ¿Está monitoreando las violaciones de esa política en tiempo real? ¿Tiene procesos comerciales válidos que violan esa política debido a la naturaleza de la tecnología y el proceso? Su póliza debe servir al negocio, no al revés.

“La mitad de las cosas que reciben la respuesta de cinco alarmas resultan ser procesos de negocios rotos, marketing decide tomar el asunto en sus propias manos y contrata a una empresa externa para que brinde servicios de TI para un proyecto corto. Esto pasa por alto la gestión de riesgos y, de repente, nos entra el pánico porque los datos se dirigen a una parte externa de la que nunca habíamos oído hablar «.

Le pregunté a Constantine si esto significa que la gestión de riesgos no se está haciendo bien. Dijo que sí ‘gestionamos el riesgo’ en términos de evaluar el riesgo de algún elemento de gestión de cambios o una nueva implementación, y lo aprobamos o lo denegamos en función del riesgo percibido, nunca medimos los resultados de asumir ese riesgo.
“Este es mi ejemplo realmente simple: un grupo solicita un nuevo puerto abierto en el firewall. La gestión de riesgos lo aprueba. Muy bien … ¿ahora qué? ¿Fue una buena idea o no? Bueno, con un flujo de trabajo de monitoreo y respuesta decente implementado, comienza a ver la cantidad de alertas de seguridad que se generaron en este puerto abierto, ¿cuánto tiempo de analista se consumió para investigarlas? «

Preguntó cuántas veces una empresa toma «decisiones de riesgo» que terminan consumiendo más tiempo y recursos debido a efectos secundarios imprevistos, y con qué frecuencia estamos midiendo esos «efectos secundarios» del trabajo de investigación de seguridad.

“Hay una detección continua de desviaciones del cumplimiento, identificación de procesos comerciales fraudulentos y deshonestos que debilitan la postura de seguridad general”, dijo. “Métricas de ciclo cerrado del impacto en la seguridad de las decisiones de riesgo para mejorar la inteligencia empresarial y la eficiencia. ¿Cuántos minutos … horas? de trabajo por año, ¿crea el empleado promedio para el equipo de seguridad? «

Le pregunté qué quería decir con «gestionamos el riesgo», pero nunca midiendo los resultados de asumir ese riesgo. Dijo que este es uno de sus “pequeños conceptos de obra maestra” en el que ha estado trabajando durante años, diseñando procesos de flujo de trabajo de respuesta de investigación y forense de datos (DFIR) fundamentalmente diferentes, y el software para respaldarlos.

Dijo: “Esta idea de fusionar la gestión de riesgos y los flujos de trabajo DFIR (y los conjuntos de datos que los acompañan) es algo que comencé hace años en EMC. Por ejemplo, el departamento A solicita una solicitud de cambio de puerto en una solicitud de firewall que se dirige a la gestión de riesgos, evalúan el riesgo y emiten una decisión. Pero los resultados de esa decisión nunca se miden más.

“Aquí hay un enlace simple: ¿cuántos eventos ve el equipo de DFIR que atraviesan ese puerto recién abierto? La gestión de riesgos evalúa el futuro probable de una acción, pero rara vez mide el resultado real y aprende de ellos: siguen las « mejores prácticas » (nuevamente como una metodología única para todos), pero nadie parece estar creando información basada en datos. conocimiento de cómo esas decisiones de seguridad / realmente se desarrollan en su propio entorno «.

Se fue
n decir que la “ingeniería” de seguridad es un insulto para los ingenieros reales, ya que los ingenieros reales en cualquier otro discípulo pueden simular los resultados de sus diseños. “No hacemos eso, la ‘ingeniería’ de seguridad es fe ciega y ‘mejores prácticas’”, dijo.

«La única forma en que podemos acercarnos a la simulación es comenzar midiendo los resultados de las decisiones que tomamos, con la esperanza de encontrar algún nivel de correlación entre las acciones y los resultados».

Le pregunté a Constantine si realmente estamos midiendo esos ‘efectos secundarios’, y si podía cuantificar cuánto tiempo crea esto para el equipo de seguridad por año. “Algunas de mis cifras aproximadas de EMC dieron como resultado una cantidad de aproximadamente tres eventos por año, por empleado, para una inversión total de horas de analista de aproximadamente 35 minutos cada una. Hacemos el mismo tipo de métricas para el servicio de asistencia técnica / soporte de TI, también debemos comenzar a resolver esto por motivos de seguridad ”, dijo.

“En general, toda mi obsesión en este momento es trabajar en formas de bajar el listón para los socorristas de seguridad eficaces. Tal como están las cosas, cualquier persona con menos de las ’10, 000 horas ‘de experiencia suele ser más una desventaja que un beneficio «.

Concluyó diciendo que había liderado muchos equipos de DFIR y, como experto residente, por lo general terminaba teniendo que hacer muchos de los trabajos de los miembros junior para ellos inevitablemente, pero convirtiendo el campo de respuesta en un nivel en el que la gente de nivel de entrada puede realmente Ser efectivo fue su gran ballena blanca en estos días.


Conrad Constantine estaba hablando con Dan Raywood

Publicaciones relacionadas

Campaña de descarga automática dirigida a sitios web chinos, experimentos con exploits

Registro de usuario de RedDoorz a la venta por actor de amenazas en un foro de piratería

SOAR frente a operaciones de seguridad: ¿qué está pasando realmente?

Preocuparse por las amenazas cibernéticas cuando trabaja desde casa

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar