Qual è la corretta priorità / mix di (persone, strumenti e tecnologia, processi) per ottimizzare la difesa?

Dipende. Tutto dipende da cosa stai proteggendo, dal tuo budget e da molti altri tipi di contesto.

Detto questo, se fossi in me, inizierei con le persone. Gli strumenti e le tecnologie sono inutili senza persone. Se non hai le persone giuste per attuare la tua strategia di sicurezza, sei un hosed. Una volta che hai persone di cui ti fidi, loro possono consigliarti su dove gli strumenti e le tecnologie e il processo potrebbero aiutare, e puoi fare l'analisi costi-benefici per ognuno per determinare se adottarli.

"Defense In Depth", come filosofia, suggerirebbe di integrare la sicurezza delle informazioni in tutta l'organizzazione: in tutte le aree funzionali, le soluzioni tecnologiche e le pratiche commerciali. Detto questo, un tale approccio deve essere bilanciato. In definitiva, lo sforzo dipenderà dall'organizzazione in questione. L'esercito, ad esempio, integra "opsec" (sicurezza operativa) praticamente a tutti gli aspetti del suo funzionamento, mentre un ristorante probabilmente non ha idea della sicurezza oltre a ciò che viene loro richiesto dal proprio processore di schede.

Quindi, alla fine, cambierà molto su molti fattori.

Iniziamo con questa citazione di Tate (che ha chiesto la domanda StackExchange), "I lettori di blog di lunga data dovrebbero sapere che non mi baso su strumenti per difendere la mia impresa. Faccio affidamento sulle persone prima, seguito da strumenti, quindi processi ", Richard Bejtlich

Questo è giusto. È quasi esattamente giusto. L'unica cosa che cambierei è che gli strumenti e i processi devono essere strategizzati simultaneamente e che è possibile ridimensionare il processo con altre persone (iniziando con almeno uno, anche se, ovviamente!).

Ad esempio, supponiamo che tu stia cercando di avviare un programma Pen Test. Hai bisogno di un tester a tempo pieno. Quel tester deve lavorare attraverso una catena di valori del processo (o catene). Tali catene di valore sono costituite da tecniche (ad es. Whitebox, graybox e blackbox) e tecniche secondarie (ad esempio, mobile, web, rete e così via). Uno strumento (o strumenti) può essere associato a ciascuna tecnica secondaria. Quando devi ridimensionare, aggiungi semplicemente più persone.

Un recente Cloak & L'episodio di Swagger su YouTube ha fatto diversi commenti che coprono questa domanda. La discussione su persone e strumenti inizia intorno ai 47 minuti, ma la parte migliore è la formula di Ali su "cosa possono permettersi le org" (a partire da 55 minuti) dove afferma che possiamo permetterci solo persone + 1 in strumenti.

Mi piacciono entrambe queste idee. Nel libro "IT Security Metrics", gli autori (Lance Hayden, et al) discutono il personale per gli incidenti usando una distribuzione di Poisson, così come altri metodi per l'outsourcing, e infine includono anche un enorme pezzo sulla definizione dei processi con l'integrazione delle persone - - tutto trattato nel capitolo 9. Questa è un'altra fonte da verificare.