In che modo i professionisti della sicurezza misurano il loro successo? [chiuso]

Naviga le tue risposte
6

In che modo i professionisti della sicurezza misurano il loro successo e in che modo lo comunicano agli altri nelle loro organizzazioni?

Per come la vedo io, se non si verificano incidenti di sicurezza, allora il team di sicurezza sta facendo un buon lavoro, non c'era nessuna minaccia per cominciare, o è solo una questione di tempo prima che si verifichi un incidente. Se si verifica un incidente di sicurezza, chiaramente il team di sicurezza ha fallito.

Sembra che gli addetti alla sicurezza si trovino in una situazione di sconfitta: dover giustificare la loro esistenza quando i tempi sono buoni o spiegare perché hanno svolto il loro lavoro a un livello ragionevole quando le cose vanno male. È davvero così com'è?

    
posta qce88 23.07.2018 - 06:41
fonte

2 risposte

6

Molte persone, inclusi molti professionisti della sicurezza, vedono la sicurezza in termini binari: siamo sicuri o non lo siamo. Questa è una prospettiva ridicola da tutti i lati.

La sicurezza riguarda la comprensione, la misurazione e la gestione del rischio .

Per dirla in termini dell'obiettivo proposto di "successo":

  1. Non siamo stati sorpresi da una minaccia e dall'impatto che si è materializzato?
  2. Abbiamo monitorato e calcolato l'impatto delle minacce che conosciamo e l'efficacia delle nostre attenuazioni rispetto alle minacce e agli impatti che si sono materializzati?
  3. Abbiamo modificato le nostre attenuazioni in risposta alle minacce in evoluzione in modo che quando si materializzano, l'impatto è tollerabile?

Se possiamo dire "sì" a quelli, allora abbiamo avuto successo.

È così che si misura il successo di un programma di sicurezza di un'organizzazione, ed è così che si misura il successo personale di un professionista della sicurezza.

Inseguire lo stato di "sicuro" è un compito sciocco, soprattutto considerando la realtà degli 0 giorni e il fatto che l'operazione sicura di un'organizzazione è interamente affidata alle persone non di sicurezza (e persino le persone di sicurezza sbagliano a volte ).

Il percorso verso il successo riguarda rischio e resilienza .

    
risposta data 23.07.2018 - 08:53
fonte
0

Ci sono misurazioni positive e negative, dipende da come implementiamo le misure.

Alcuni esempi sono i seguenti:

Misure positive:

  1. Diminuzione degli incidenti segnalati - Diminuzione percentuale delle violazioni della sicurezza segnalate al desk assistenza
  2. Diminuzione dell'impatto degli incidenti di sicurezza - Riduzione percentuale dell'impatto delle violazioni e degli incidenti di sicurezza
  3. Aumento della conformità SLA - Aumento percentuale della conformità SLA alle clausole di sicurezza.

Misure negative:

  1. Conformità alla conformità e politica - Numero di violazioni degli incidenti Conformità & Politica
  2. Numero di misure preventive implementate - Numero di misure di sicurezza preventive implementate in risposta alle minacce alla sicurezza identificate
  3. Durata dell'implementazione - Durata dall'identificazione di una minaccia alla sicurezza all'implementazione di una contromisura adatta
  4. Numero di incidenti rilevanti per la sicurezza - Numero di incidenti di sicurezza identificati, classificati per categoria di gravità
  5. Numero di tempi di inattività relativi al servizio di sicurezza - Numero di incidenti di sicurezza che hanno causato interruzioni del servizio o disponibilità ridotta
  6. Numero di test di sicurezza Numero di test di sicurezza e addestramento effettuati
  7. Numero di carenze identificate durante i test di sicurezza - Numero di carenze identificate nei meccanismi di sicurezza che sono stati identificati durante i test

Fonte: link

    
risposta data 24.07.2018 - 02:54
fonte

Leggi altre domande sui tag

A cosa serve il campo opaco in Autenticazione accesso Digest HTTP? CSRF nell'architettura dei microservizi