Hvorfor sikkerhetsberegninger ikke hjelper til med å forhindre tap av data

Rapportert tap av data på grunn av sikkerhetsbrudd bremser ikke i det minste, slik grafen nedenfor (høflighet av DataLossDB.org) påpeker. Dessuten inkluderer denne statistikken bare offentlig rapporterte brudd. Man kan bare forestille seg hvor mange sikkerhetsbrudd som ikke rapporteres av organisasjoner som ønsker å unngå offentlig gransking.


Og la du merke til hva som skjedde i løpet av 2009 - interessant er det ikke? Jeg blir fortalt at det var flere årsaker til fallet i rapporterte hendelser om tap av data. Den som ble mestet av mest var innføringen av sikkerhetsmålinger. Det virker som sikkerhetsmålinger ettersom verktøyet begynte å få reell troverdighet rundt den tiden. SANS Institute-papiret, Gathering Security Metrics and Reaping the Rewards, utgitt i løpet av 2009, nevner:

- Mange betydelige fordeler kan oppnås ved å sette i gang et sikkerhetsmetrikk-program, og det er liten grunn til forsinkelse. Ved begynnelsen krever det bare en liten investering som hovedsakelig består av tidsbruken til planlegging, innsamling av data og produksjon av hver rapport. Dette gjør et sikkerhetsmetrikk-program til et spennende prosjekt, spesielt i økonomiske utfordrende tider hvor finansiering kan være vanskelig å sikre. "

Hva er sikkerhetsberegninger?

Sikkerhetsberegninger blir ofte misforstått, og blir referert til som en måleprosess, og det er ikke tilfelle. Shirley C. Payne i SANS Institute-papiret, A Guide to Security Metrics, forklarer forskjellen:

Målinger gir enkelt-til-punkt-visninger av spesifikke, diskrete faktorer, mens beregninger er avledet ved å sammenligne to eller flere målinger som er tatt over tid til en forhåndsbestemt basislinje. Målinger genereres ved å telle; beregninger genereres fra analyse. Med andre ord, målinger er objektive rådata, og beregninger er enten objektive eller subjektive menneskelige tolkninger av disse dataene.

Deretter beskriver Shirley hva som vil bli betraktet som en "nyttig" beregning:

"Virkelig nyttige beregninger indikerer i hvilken grad sikkerhetsmål, for eksempel datakonfidensialitet, blir oppfylt, og de driver tiltak for å forbedre en organisasjons samlede sikkerhetsprogram."

Det er vanskelig å krangle med DataLossDB.org-grafen og hva ekspertene sa. Sikkerhetsberegninger gjør sitt for å redusere tap av data.

Antall tap av datatap begynte å øke igjen

Så hva skjedde i 2010 og etterpå? Hvorfor har antall tap av data tap oppover hvert år? Sikkerhetsmålinger skulle hjelpe. Sikkerhetsmålinger gjorde en ting for sikker, overbevise øverste ledelse om å bruke penger på nye sikkerhetsprogrammer som rapportert av både tekniske medier og analytikere - Gartner, for eksempel:

Mens den globale økonomiske nedgangen har satt press på IT-budsjettene, forventes sikkerhet fortsatt å være en prioritet gjennom 2016, ifølge Gartner, Inc. Verdensomspennende utgifter til sikkerhet forventes å øke til 60 milliarder dollar i 2012, opp 8, 4 prosent fra 55 milliarder dollar. i 2011. Gartner forventer at denne banen vil fortsette og nå 86 milliarder dollar i 2016. ”

Vi har sikkerhetsberegninger på plass, selskaper bruker penger på sikkerhet, og jeg tror ikke selskaper rapporterer sikkerhetsbrudd for moro skyld. Hva skjer?

Nok en gang er det ikke noe enkelt svar. Hvordan kan det være, bare tenk på alle de forskjellige variablene som kommer inn. Men siden vi diskuterer sikkerhetsberegninger, la oss se om denne rapporteringsmetodikken har noe med det å gjøre.

Ny rapport kan ha svaret

Mens jeg søkte etter informasjon om sikkerhetsmålinger, kom jeg over artikkelen, Are Security Metrics too Complicated for Management ?, av Shelley Boose fra Tripwire. I stykket nevnte Shelley en undersøkelse gjort av Ponemon Institute. Kommentarer til undersøkelsen sa Dr. Larry Ponemon, styreleder og grunnlegger av Ponemon Institute, :

"Selv om de fleste organisasjoner er avhengige av beregninger for forbedring av IT, kan mer enn halvparten av IT-fagfolk være bekymret for deres evne til å bruke beregninger for å kommunisere effektivt med toppledere om sikkerhet."

Det var nok for meg. Jeg kontaktet Shelley og ba om mer informasjon om undersøkelsen. hun henviste meg til denne Ponemon-rapporten. Av umiddelbar interesse for meg var delen om sikkerhetsberegninger (PDF-nedlasting). Det startet med et smell: "Sikkerhetsberegninger - viktig, men fremdeles ikke effektiv for å kommunisere risiko."

Det ser ut til at jeg kanskje har funnet minst en grunn til at tap av hendelser med data fortsatt øker.

Kartleggingsmetodikk

En ting jeg alltid setter pris på ved Ponemon Institute er deres vilje til å offentliggjøre metodikken de brukte i undersøkelser, og denne er intet unntak (PDF-nedlasting):

"En samplingsramme på 24 550 individer av amerikanske organisasjoner og 18 012 av britiske individer som jobber i IT-drift, IT-sikkerhet, forretningsdrift, compliance / internrevisjon og bedriftsrisikostyring ble valgt for denne undersøkelsen."


42 562 undersøkte personer skal gi en anstendig prøvetaking. La oss nå komme til spørsmålene om undersøkelsen.

Undersøkelsen sier

Spørsmål 1 : Hvor viktig er beregninger for å oppnå en moden risikobasert sikkerhetsstyringsprosess? (Blå svar er fra USA og røde svar er fra Storbritannia i alle grafene.)


Et stort flertall av de spurte bestred ikke viktigheten av sikkerhetsberegninger som en sentral ytelsesindikator.

Spørsmål 2 : Tror du at bedriftens eksisterende beregninger er riktig tilpasset forretningsmessige mål?


Svaret på dette spørsmålet kan gi oss et innblikk i hvorfor sikkerhetsberegninger ikke fungerer som de skal. Over 50 prosent av de spurte sa enten "nei eller var usikre" om sikkerhetsmålinger stemmer overens med forretningsmessige mål. Rapporten venter et gjetning om hvorfor: ”En potensiell medvirkende faktor i denne frakoblingen er at sikkerhetsfagfolk tradisjonelt har sett beregninger som verdifulle målinger av operasjonell ytelse, mens ledere har en tendens til å evaluere sikkerhet basert på kostnader. Ingen av disse tilnærmingene er godt tilpasset til å kommunisere effektiviteten til risikobaserte sikkerhetsprogrammer. ”

Spørsmål 3 : Vennligst ranger effektiviteten din i å formidle alle relevante fakta om sikkerhetsrisikoen til seniorledere.


Et annet hint om hvorfor sikkerhetsberegninger kanskje ikke fungerer, nær 50 prosent av de spurte føler at de ikke er effektive når det gjelder å formidle sikkerhetsrisikoen overfor øverste ledelse. Det neste spørsmålet går til hjertets sak og spør hvorfor respondentene ikke lager beregninger som blir forstått. Svarene kan overraske deg.

Spørsmål 4 : Hvis nei eller usikker, hvorfor? Med andre ord, hvorfor lager du ikke beregninger som er godt forstått av toppledere?


At nær 50 prosent av de spurte syntes informasjon gitt av sikkerhetsberegninger var for teknisk, eller at andre avdelingsspørsmål hadde forrang, var nok til at de som redigerte rapporten, kunne kommentere:

"På samme måte er det ikke akseptabelt for finansdirektører å si at de er for opptatt med å utarbeide økonomiske rapporter for styret eller topplederteamet. I løpet av en nær fremtid vil det ikke være akseptabelt for senior IT-ledere å være for opptatt til å utarbeide forståelig sikkerhet rapporter. Sikkerhetsfagfolk må finne eller opprette beregninger som er bredere forstått av bedriftsledere. ”

Siste tanker

Undersøkelsen ser ut til å ha funnet frakoblingen - virksomhet snakker kontra IT snakker. Forretningsmålinger som ledere er kjent med har en tendens til å reflektere strategiske mål, og prioritere kostnader fremfor mindre håndfaste sikkerhetsgevinster. Der sikkerhetsmålinger favoriserer driftsmål, og prioriterer tekniske forbedringer fremfor forretningsforutsetninger.

Jeg lar rapporten ha det siste ordet:

Å finne meningsfulle måter for å lykkes med å bygge bro over dette kommunikasjonsgapet er avgjørende for bredere vedtak av risikobaserte sikkerhetsprogrammer. Arbeidet med denne innsatsen ligger helt klart hos IT-sikkerhets- og risikopersonell.

© Copyright 2021 | pepebotifarra.com