サイバーセキュリティを理解する – GigaOm
昨年の Black Hat Europe で、私は上級セキュリティ アナリストの 1 人である Paul Stringflow と話をしました。会話のこのセクション (最初の部分はここからご覧いただけます) では、コストと効率のバランスと、組織全体のセキュリティ文化の調整について説明します。
ジョン: ポール、あらゆるところに問題があり、すべてを解決しなければならない環境では、私たちはさらに前進する必要があります。現在の新しいアーキテクチャでは、全体的なリスクについてより賢く考える必要があります。これはコスト管理とサービス管理に関連しており、ビジネスの観点から実際のリスクとエクスポージャの観点からアーキテクチャを分類できるようになります。
したがって、50 個のツールをすべて使用するには、まずセキュリティ体制を明確に把握する必要があると考えているため、そのためのツールを購入する必要があると確信しています。そうすれば、自分たちが何にさらされているかをより明確に把握できるようになるため、どのツールがそのスタンスに実際に反応するかを判断できるようになります。
ポール: ツールの購入は、ベンダーの希望と夢に遡ります。そのツールがすべてを解決してくれるのです。しかし、現実には、どの指標が重要であるかを理解するのは複雑であると思います。私たちが収集する情報と何が重要であるかを理解し、テクノロジーのリスクやビジネスへの影響とのバランスをとります。先ほど素晴らしい点を指摘されました。何かがリスクにさらされていてもその影響が最小限である場合、対応できる予算は限られています。では、どこで過ごすのでしょうか?費用対効果を最大限に高めたいと考えています。
つまり、ビジネスに対するリスクを理解することです。テクノロジーの観点からリスクを特定しましたが、それはビジネスにとってどの程度重要でしょうか?そしてそれは優先事項ですか?リスクに優先順位を付けると、それに対処する方法がわかります。あなたが求めていることには、解き明かすべきことがたくさんあります。私にとって、それは、セキュリティ管理がどこにあり、リスクがどこにあるのかを理解するための最初の作業を行うことです。私たちが組織として本当に大切にしていることは何でしょうか?重要な指標に戻りましょう。ノイズを遮断し、意思決定に役立つ指標を特定します。次に、それらの指標を測定しているかどうかを確認します。そこからリスクを評価し、リスクを軽減するために適切な管理を導入します。私たちはその姿勢管理業務を行っています。私たちが導入しているツールはそのスタンスに応えているでしょうか?これは物事の内部的な側面にすぎませんが、外部的なリスクもあります。これについてはまた別の話になりますが、プロセスは同じです。
では、私たちが持っているツールを見て、特定したリスクを軽減するのにどの程度効果があるのでしょうか?世の中にはリスク管理フレームワークがたくさんあるので、おそらく NIST などの適切なものが見つかるでしょう。自分に合ったフレームワークを見つけて、それを使用してツールがリスクを管理する方法を評価します。ギャップがある場合は、そのギャップを埋めるツールを見つけてください。
ジョン: そして、私がフレームワークについて考えていたのは、基本的に取り組むべき領域が 6 つあり、おそらく 7 番目の領域が組織にとって重要である可能性があるためです。しかし、少なくとも 6 つの領域をチェックボックスとして使用すると、「リスク対応に取り組んでいますか?」私は正しいことを実行しているでしょうか?パレート図ではありませんが、利益逓減に関するものです。最も簡単なものから最初に取り上げます。最も一般的な問題を解決するまで、すべてを解決しようとしないでください。それが人々が今やろうとしていることです。
ポール: そうですね、私がやっている別のポッドキャストを引用させてください。そこでは「テクノロジーの持ち帰り」を行っています。ええ、誰が知っていましたか?私はそれを取り入れようと考えました。しかし、この会話から得られるポイントを考えてみると、あなたの質問に戻って、「組織として何に注意すべきですか?」ということになると思います。おそらく出発点は一歩下がってみることだと思います。ビジネスとして、そのビジネスの IT リーダーとして、私はリスクがどのようなものかを本当に理解するために一歩下がっていますか?ビジネスに対するリスクは何ですか? 何を優先する必要がありますか?したがって、そのリスクに対する有効性を測定できるかどうかを評価する必要があります。私たちは多くの指標と多くのツールを持っています。それらのツールは、ビジネスにとって重要であると考えられるリスクを回避するのに効果的ですか?この2つの質問に答えると、私たちのスタンスが見えてきます。既存のツールは、私たちが直面する脅威に対処するために必要な種類の制御を提供しますか?文脈は巨大です。
ジョン: この点に関して、私は、たとえば Facebook のような組織が、特に顧客データに関するビジネス リスクに対してかなり高い許容度を持っていたことを思い出します。成長こそがすべてであり、どんな犠牲を払っても成長のみでした。したがって、彼らはそれを達成するためにリスクを管理する準備ができていました。結局のところ、それらのリスクを評価して引き受けることになります。その時点で、それはもはや技術的な話ではありません。
ポール: まさに、それはおそらく単なる技術的な会話ではありません。リスクとセキュリティに対処するプロジェクトの実施は、決して技術だけによって推進されるべきではありません。それは会社の運営方法や日々の仕事の流れに影響を与えます。なぜそれを行うのかを誰もが理解できなければ、セキュリティ プロジェクトは成功しません。年上の人たちから「邪魔だ、やめろ」と反発されすぎてしまいます。邪魔をする部門であってはなりません。しかし、安全は重要であるという文化が全社に必要です。セキュリティを優先しなければ、悪用されるのを待っている脆弱性が存在しないことを保証するための基本的な作業が行われていないため、全員が費やしたすべての労力が台無しになる可能性があります。
ジョン: セキュリティ製品の販売方法について、営業担当者とどれだけ会話したかを考えています。あなたは販売しましたが、他の人がそれをブロックしようとしているため、何も実装されません。現実には、会社は何かを達成するために努力し、それを実現するためにすべてが整っていることを確認する必要があります。
ポール: この仕事に 30 年以上携わってきて気づいたことの 1 つは、サプライヤーが企業にとってなぜ価値があるのか説明するのに苦労していることが多いということです。弊社の最高執行責任者 (COO) であるハワード・ホルトンは、この議論の大支持者です。営業担当者は、自分が実際に何をしているのか、会社の利益がどこにあるのかを人々に伝えるのが下手だということです。しかし、昨日彼が私に言ったことの一つは、彼のアプローチについてでした。私の知り合いの担当者は、オーケストレーションおよび自動化ツールを提供するベンダーで働いていますが、会議を始めると最初に行うのは、自動化が顧客にとって機能しなかった理由を尋ねることです。ソリューションを提示する前に、自動化の問題がどこにあるのかを時間をかけて理解してください。プロバイダーや他の人たちも、最初に「何がうまくいかないのか?」と尋ねるようになったらよかったのにと思います。おそらく、うまくいきそうなものを見つけるのがうまくなるでしょう。
ジョン: したがって、エンド ユーザーにとって重要なポイントは 2 つあります。それは、リスク管理に重点を置くこと、もう 1 つはセキュリティ メトリクスを簡素化して洗練することです。そしてベンダーにとって重要なのは、ソリューションを提示する前に顧客の課題を理解することです。サプライヤーは、顧客の問題やニーズに耳を傾けることで、単に顧客の希望を売り込むのではなく、関連性のある効果的なソリューションを提供できます。ありがとう、ポール!
The post Making Cybersecurity Sense – Part 2: Delivering a Profitable Response appeared first on Gigaom.
