昨年の Black Hat Europe で、私は上級セキュリティ アナリストの 1 人である Paul Stringflow と話をしました。会話のこの部分 (最初の部分はここからご覧いただけます) では、コストと効率のバランス、および組織全体のセキュリティ文化の調整について説明します。
色: それで、ポール、あらゆるところに問題があり、すべてを解決しなければならない環境では、私たちはそれを超えて進まなければなりません。現在の新しいアーキテクチャでは、全体的なリスクについてより賢く考える必要があります。これはコスト管理とサービス管理、つまりビジネスの観点から実際のリスクとエクスポージャーの観点からアーキテクチャをランク付けする機能に関係しています。
そこで、このためのツールを購入する必要があるのではないかと想像しています。50 個のツールを突破するには、まずセキュリティ状況を明確に把握する必要があると考えているからです。その後、どのツールがこのポーズに実際に反応するかを決定できます。これは、私たちがどの程度露出されているかをより明確に把握できるためです。
プール: ツールの購入はベンダーの希望と夢に遡ります。このツールがすべてを解決します。しかし、現実には、どのような指標が重要であるかを理解することが重要だと思います。収集した情報を理解し、何が重要であるかを理解し、技術的リスクやビジネスへの影響とのバランスをとります。あなたは以前、素晴らしい点を指摘しました。何かがリスクにさらされていてもその影響が最小限である場合、対応できる予算は限られているということです。それで、どこでたむろしますか?あなたは最大限の「コストパフォーマンス」を求めています。
つまり、ビジネスに対するリスクを理解することです。技術的な観点からリスクを特定しましたが、それはビジネスにとってどの程度重要なのでしょうか?そしてそれは優先事項ですか?リスクに優先順位を付けたら、それに対処する方法を見つけることができます。あなたが尋ねることの中には、解き明かすべきことがたくさんあります。私にとって、それはセキュリティ管理がどこにあり、リスクがどこにあるのかを理解するための最初の作業を行うことです。組織として私たちにとって本当に重要なことは何でしょうか?重要な指標に戻り、ノイズを排除し、意思決定に役立つ指標を特定します。次に、それらの指標を測定するかどうかを確認します。そこからリスクを評価し、リスクを軽減するために適切な管理を導入します。私たちはこの姿勢管理業務を行っています。私たちが持っているツールはこの立場に応えられるでしょうか?これは物事の内部的な側面にすぎませんが、外部のリスクもあります。これはまったく別の話ですが、プロセスは同じです。
では、私たちが持っているツールを見て、私たちが特定したリスクを軽減するのにどの程度効果があるのでしょうか?リスク管理フレームワークはたくさんあるので、NIST など、適切なものが見つかるでしょう。自分に合ったフレームワークを見つけて、それを使用してツールがリスクを管理する方法を評価します。ギャップがある場合は、そのギャップを埋めるツールを探します。
色: そして、私がこのフレームワークについて考えたのは、基本的に取り組むべき領域が 6 つあり、おそらく 7 番目の領域が組織にとって重要である可能性があるからです。しかし、少なくとも 6 つのドメインに関しては、マークは次のように書いています。私は正しいことについて言及していますか?これはパレート図ではなく、利益逓減に関するものです。最初に最も簡単なものから取り上げます。最も一般的な問題を解決するまで、すべてを解決しようとしないでください。それが今人々がやろうとしていることです。
プール: そうですね、私がやっている別のポッドキャストを引用させてください。そこでは「テクノロジーの持ち帰り」を行っています。はい、誰が知っていましたか?つなげてみようと思いました。しかし、この会話の意味を考えてみると、あなたの質問に戻りますが、組織として何を考慮すべきでしょうか?おそらく出発点は一歩下がってみることだと思います。ビジネスとして、このビジネスの IT リーダーとして、リスクがどのようなものかを本当に理解するために一歩下がっているでしょうか?ビジネスリスクとはどのようなもので、何を優先すべきでしょうか?次に、このリスクに対する当社の有効性を測定できるかどうかを評価する必要があります。多くの指標とツールを入手できます。これらのツールは、ビジネスにとって重要と考えられるリスクを回避するのに効果的ですか?これら 2 つの質問に答えたら、自分の姿勢を見てみましょう。設置されているツールは、直面する脅威に対処するために必要な制御を提供しますか?文脈は巨大です。
色: この点に関して、私は、たとえば Facebook のような組織が、特に顧客データに関するビジネス リスクに対してかなり高い許容度を持っていたことを思い出します。成長がすべてでした。どんな犠牲を払っても成長だけが必要でした。したがって、彼らはこれを達成するためにリスクを管理することに積極的でした。最終的には、それらのリスクを評価し、引き受けることになります。現時点では、これはもはや技術的な話ではありません。
プール: その通り。それはおそらく単なる技術的な会話ではありません。リスクとセキュリティに対処するプロジェクトを実現するには、純粋に技術主導で行うべきではありません。これは会社の運営方法や日々の仕事の流れに影響を与えます。あなたがそれを行う理由に誰もが同意しなければ、セキュリティ プロジェクトは成功しません。目上の人から「邪魔だ、やめろ」と反発されすぎてしまいます。邪魔するだけの部署であってはいけません。しかし、安全は重要であるという文化が社内全体に必要です。セキュリティを優先しなければ、悪用されるのを待っている脆弱性がないことを保証するための基本的な作業が行われていないため、誰もが行っているすべての大変な作業が台無しになる可能性があります。
色: セキュリティ製品の販売方法についてベンダーと何度話し合ったかを思い出します。あなたはそれを販売しましたが、誰もがそれをブロックしようとしたため、何も投稿されませんでした。彼らはそれを気に入らなかったのです。現実には、社会は何かに向かって取り組み、それを実現するためにすべてが調整されるようにする必要があります。
プール: 30 年以上この仕事をしてきて気づいたことの 1 つは、サプライヤーがなぜ自社がビジネスにとって価値があるのかを説明するのに苦労していることが多いということです。弊社の最高執行責任者 (COO) であるハワード・ホルトンは、この主張の熱烈な支持者です。サプライヤーは、自分たちが実際に何をしているのか、ビジネス上の利益がどこにあるのかを人々に伝えるのが下手だというものです。しかし、昨日彼が私に言ったことの一つは、彼らの態度についてでした。私の知り合いの担当者の 1 人は、オーケストレーションおよび自動化ツールを提供するベンダーで働いていますが、会議を始めると最初に行うのは、自動化が顧客にとって機能しなかった理由を尋ねることです。ソリューションを提示する前に、彼は時間をかけて自動化の問題がどこにあるのかを理解しました。プロバイダーも他の人も同様に、私たちの多くがこれを行ったことがあれば、最初に「何がうまくいっていないのですか?」と尋ねたとしたら。おそらく、うまくいくものを見つけるのがうまくなるでしょう。
色: したがって、エンドユーザーには 2 つの選択肢があります。リスク管理に重点を置くことと、セキュリティ対策を簡素化して洗練することです。そしてサプライヤーにとって重要なのは、ソリューションを提供する前に顧客の課題を理解することです。サプライヤーは、顧客の問題やニーズに耳を傾けることで、単に顧客の希望を売り込むのではなく、適切で効果的なソリューションを提供できます。ありがとう、ポール!
この投稿「サイバーセキュリティの理解 – パート 2: 費用対効果の高い対応の提供」は、Gigaom に最初に掲載されました。
