Coût de la complexité en matière de sécurité

Définition :

• L'état ou la qualité d'être complexe ou compliqué 
• Facteur intervenant dans un processus ou une situation complexe 

Si cette définition ressemble à une journée de votre vie dans le domaine de la sécurité, continuez à lire. En tant que professionnels de la sécurité, nous comprenons déjà cette définition de la complexité parce que nous sommes intimement familiers avec sa signification. Des vulnérabilités aux menaces en passant par les politiques, les alertes, les écosystèmes de sécurité et les produits eux-mêmes, toutes les facettes du secteur de la sécurité sont aujourd'hui compliquées. 

Certains diront que la complexité est nécessaire pour les programmes de lutte contre les menaces d'initiés et que c'est la complexité des éléments interconnectés, la nuance et le processus humain qui les rendent efficaces. S'il est vrai que les programmes de lutte contre les menaces d'initiés les plus matures combinent réellement la sécurité et le risque au plus haut niveau, ce qui les rend incroyablement complexes, une majorité d'organisations aujourd'hui n'ont pas de solution pour détecter, enquêter et répondre aux risques liés aux données causés par des initiés. Mimecast Incydr peut fournir la base qui facilite réellement la réduction de ce risque.

L'origine de la complexité

La complexité technique est au premier plan du défi de la complexité auquel sont confrontées les équipes de sécurité. Ce sont les outils mêmes, qui sont censés contribuer à rendre les programmes de lutte contre les menaces d'initiés plus efficaces, qui posent des problèmes, entraînant la dégradation de l'équipe chargée de la lutte contre les menaces d'initiés, ce qui nuit à son efficacité. Bien qu'il existe des équipes de sécurité capables de naviguer avec succès dans des systèmes complexes, il arrive souvent que des systèmes complexes échouent tout simplement. C'est là qu'une solution simple axée sur les cas d'utilisation comme Incydr peut réduire les risques.

L'histoire d'une réussite 

Dans certaines circonstances, la complexité peut être un gage de réussite pour une équipe de sécurité, et plus particulièrement pour un programme de lutte contre les menaces d'origine interne. Dans ces cas, le succès est dû à l'importance accordée aux mesures, au retour sur investissement et à la capacité de mesurer l'efficacité d'un programme de sécurité en termes d'atténuation des risques et de coûts opérationnels. Il convient d'adopter une approche réfléchie et ciblée pour utiliser des paramètres bien définis et objectifs afin de calculer l'efficacité de l'argent dépensé et de s'assurer que le coût de la complexité du programme ne dépasse jamais ses avantages. Il s'agit là d'une considération importante, tant en ce qui concerne les coûts techniques que les coûts liés aux personnes et aux processus.

Les organisations seraient bien avisées de s'assurer qu'elles disposent d'un moyen objectif de mesurer le succès, approuvé par la direction générale et les parties prenantes concernées. Cela lève toute ambiguïté sur la "valeur" de votre programme de lutte contre les menaces d'origine interne. Les indicateurs clés sur lesquels les équipes de sécurité s'appuient généralement pour mesurer la réduction des risques des programmes de lutte contre les menaces d'origine interne sont les suivants :

• Combien d'alertes recevons-nous ? 
• Combien d'alertes justifient réellement une enquête ?
• Combien d'enquêtes ont abouti à la réduction d'un risque réel ? 
• Combien d'alertes et d'enquêtes étaient des faux positifs ? 
• Nous sommes-nous améliorés au fil du temps ? 

Afin d'être méticuleux en matière de mesure, il est essentiel que les organisations commencent par comprendre leur exposition actuelle aux risques liés aux données. Si vous ne connaissez pas vos vulnérabilités et les menaces les plus répandues, il est impossible de savoir si de nouveaux outils ou processus vous aideront à faire avancer les choses. Un produit comme Incydr peut vous aider à évaluer les risques et à accélérer et simplifier les enquêtes sur les menaces internes. Le risque de données mis en évidence par Incydrfournit aux équipes de sécurité les informations nécessaires pour réagir de manière appropriée. Lorsqu'il s'agit de répondre à une menace d'initié, il s'agit souvent d'une réponse humaine plutôt que d'un contrôle technique. Combinez la réponse à l'analyse des données disponibles sur les risques, et vous aurez les éléments critiques pour le succès d'un programme de lutte contre les menaces d'initiés.

Les organisations qui parviennent à gérer des piles de sécurité complexes ont tendance à désigner des groupes spécifiques pour gérer le DLP, le CASB et leur programme de lutte contre les menaces d'initiés. Cette approche peut s'avérer efficace car elle permet aux individus de se spécialiser, de sorte que la même personne qui rédige les règles du DLP ne doit pas également gérer le CASB, l'UEBA ou mener des enquêtes. Cette structure diversifiée supprime la complexité du travail de chaque personne. Le problème se pose pour les organisations qui ne disposent pas d'un budget ou d'une équipe de sécurité importants - la liste des rôles et des responsabilités ressemble à un ticket de caisse. Si vous n'avez pas le luxe d'éliminer la complexité des rôles et des responsabilités, cherchez des outils qui le font pour vous. Les plus de 250 indicateurs de risque d'Incydr vous permettent d'ignorer le bruit causé par les employés qui collaborent pour accomplir leur travail et de vous concentrer sur les situations à risque, telles que les départs d'employés et les employés à haut risque.

Le conte de fées

La plupart des organisations qui disposent d'outils de sécurité robustes, ou qui envisagent de les mettre en œuvre, ne disposent pas d'une équipe de sécurité suffisamment nombreuse pour assumer des rôles individualisés et spécialisés dans tous les domaines de la sécurité. Au contraire, la plupart des professionnels de la sécurité portent plusieurs casquettes, ont une liste de tâches interminable et, en réalité, trop de responsabilités pour qu'une seule personne puisse les gérer. 

Trop souvent, les dirigeants finissent par se concentrer sur des outils, des solutions avec des acronymes en guise de noms et certaines catégories de technologies dans le but de cocher une case ou de répondre à une réglementation mal définie. Le secteur de la cybersécurité, malgré tous ses avantages, a un problème de marketing. Trop souvent, nous voyons des outils commercialisés comme une panacée pour la protection des données : "déployez cet outil sur chaque point de terminaison et empêchez toutes vos données de quitter votre organisation !". Quiconque a passé du temps à essayer de mettre en œuvre de vastes efforts de protection des données connaît la douleur associée à ce raisonnement. Le déploiement n'est pas synonyme de protection. C'est dans cette perception de la protection que les initiatives DLP échouent et que les équipes de sécurité, déjà très sollicitées, se retrouvent à patauger dans des couches de complexité inutiles alors qu'elles tentent de tirer le meilleur parti de l'investissement de leur organisation.

Pour éviter cela, essayez d'implémenter une solution de protection des données qui peut vous donner une visibilité sur l'ensemble de votre exposition aux risques liés aux données (ou essayez avant d'acheter avec la preuve de valeur de 4 semaines d'Incydr). Cela vous permettra d'avoir une compréhension de base des vulnérabilités de votre organisation en matière d'exposition aux données et des menaces internes. Une fois que vous aurez cette base en place pour évaluer votre position de risque, vous serez dans une position avantageuse pour commencer à protéger vos données contre les menaces d'initiés de la manière la plus simple qui soit.

Le coût de la complexité

À l'opposé du paradoxe de la facilité, il y a la difficulté. La méthode traditionnelle présente des coûts élevés et une grande complexité en raison de deux facteurs principaux : 

1. L'heure

• La plupart des outils traditionnellement utilisés pour lutter contre les menaces internes requièrent beaucoup de temps du point de vue de la maintenance. Maintenir l'infrastructure, mettre à jour les agents, s'assurer que les agents ne provoquent pas de conflits sur les points d'extrémité. Tout cela demande du temps et des efforts. Plus une organisation dispose d'outils, plus l'équipe de sécurité doit passer de temps à les faire fonctionner. Nous avons tous entendu des histoires d'équipes qui dépensent constamment leurs ressources pour obtenir des outils permettant de ne pas nuire, ce qui vous empêche d'utiliser les outils aux fins prévues. 
• CONSEIL : atténuez ce problème en pensant d'abord à l'informatique dématérialisée. Vous réduirez ainsi le temps que vous consacrez à la gestion de l'infrastructure et vous disposerez des dernières mises à jour de sécurité et des dernières fonctionnalités des produits sans maintenance. Une solution "cloud-first", comme Incydr, peut être déployée en quelques jours plutôt qu'en plusieurs mois. Ainsi, votre équipe peut commencer à détecter, enquêter et répondre aux menaces internes dès que les agents des points finaux sont déployés. 

2. L'expertise

• Ces mêmes outils nécessitent également des ensembles de règles ou une programmation sophistiqués, qui génèrent beaucoup de bruit. Le concept de lassitude à l'égard des alertes est un problème important et bien documenté dans le secteur de la sécurité. Ce qui n'est pas bien connu, c'est la manière de résoudre ce problème. Il est certainement possible d'ajuster manuellement les alertes jusqu'à ce qu'elles soient très fidèles, mais cela demande des compétences et des mois (voire une année) de perfectionnement. 
• CONSEIL : Choisissez un outil qui n'est pas bruyant au départ. Incydr aborde la sécurité des données différemment des produits basés sur la classification et les règles. En surveillant toute l'activité des fichiers et en la mettant en corrélation avec des indicateurs de risque de haute fidélité (tels que l'activité d'exfiltration impliquant des fichiers dont l'extension et le contenu ne correspondent pas), Incydr est en mesure de détecter plus précisément les risques pour les données et de les classer par ordre de priorité.

Chaque produit a un coût total de possession, qui est calculé à partir de trois éléments : le coût du produit lui-même, l'infrastructure nécessaire pour le supporter et le coût des personnes et de leurs processus nécessaires pour le gérer. Le coût de la complexité entre en ligne de compte lorsque vous considérez les coûts de personnel. L'expertise en matière de sécurité est coûteuse et la constitution d'une grande équipe de professionnels de la sécurité talentueux et expérimentés entraînera de nombreux frais généraux. Après tout, la sécurité est un centre de coûts. Si votre équipe de sécurité est plus petite, vous pouvez économiser sur les coûts salariaux, mais vous vous retrouvez avec une petite mais puissante équipe de guerriers de la sécurité surchargés de travail et de travail. Lorsque les équipes de sécurité ne disposent pas de la bande passante ou de l'expertise nécessaire pour gérer efficacement les outils de sécurité de leur arsenal, leurs produits sont beaucoup plus susceptibles de devenir des produits d'étagère.

En fin de compte, ces décisions concernent le coût d'opportunité. Si vous investissez dans des salaires de sécurité élevés (sans parler du coût des produits de sécurité et de l'infrastructure de soutien), vous devez examiner attentivement si vous obtenez une valeur égale pour le produit. Si votre équipe de sécurité, coûteuse et hautement qualifiée, passe ses journées à mener des enquêtes et à atténuer les menaces internes, il y a fort à parier que vous êtes sur la bonne voie. Mais si cette équipe hautement qualifiée passe son temps à essayer de réparer un agent de point final défectueux, à naviguer dans un labyrinthe de défis de configuration ou à se débattre avec des interfaces utilisateur et des rapports médiocres, alors le coût nécessaire pour maintenir le produit l'emporte sur les avantages. Il est temps d'abandonner la complexité qui ne fait pas avancer les choses et d'envisager une approche plus simple.