Il costo della complessità nella sicurezza

Definizione:

• Lo stato o la qualità di essere intricato o complicato. 
• Un fattore coinvolto in un processo o in una situazione complicata 

Se questa definizione assomiglia a un giorno della sua vita di lavoro nella sicurezza, continui a leggere. Come professionisti della sicurezza, comprendiamo già questa definizione di complessità, perché ne conosciamo intimamente il significato. Dalle vulnerabilità e dalle minacce alle politiche, agli avvisi, agli ecosistemi di sicurezza e ai prodotti stessi, ogni aspetto del settore della sicurezza oggi è complicato. 

Alcuni sostengono che la complessità sia necessaria per i programmi di minaccia insider e che sia l'intricatezza degli elementi interconnessi, le sfumature e il processo delle persone associate a renderli efficaci. Sebbene sia vero che i programmi di minaccia insider più maturi combinano davvero sicurezza e rischio al massimo livello, il che li rende incredibilmente complessi, la maggior parte delle organizzazioni oggi non dispone di una soluzione per rilevare, indagare e rispondere al rischio dei dati causato dagli insider. Mimecast Incydr può fornire la base che rende effettivamente facile ridurre questo rischio.

Dove inizia la complessità

La complessità tecnica è in prima linea nella sfida della complessità che i team di sicurezza devono affrontare. Sono proprio gli strumenti, che dovrebbero contribuire a rendere più efficaci i programmi di minaccia insider, a introdurre problemi che portano al degrado del team di minaccia insider, ostacolandone l'efficacia. Sebbene esistano team di sicurezza in grado di navigare con successo attraverso sistemi complessi e intricati, spesso i sistemi complessi falliscono. È qui che una soluzione semplice e focalizzata sui casi d'uso come Incydr può ridurre il rischio.

La storia di successo 

In una serie specifica di circostanze, la complessità può portare al successo di un team di sicurezza e, più specificamente, di un programma di minacce interne. Il successo in questi casi è dovuto all'attenzione per le metriche, il ROI e la capacità di misurare l'efficacia di un programma di sicurezza sia in termini di mitigazione del rischio che di costi operativi. Deve esserci un approccio riflessivo e mirato all'utilizzo di metriche ben definite e oggettive per calcolare l'efficacia del denaro speso, al fine di garantire che il costo della complessità del programma non superi mai i benefici. Si tratta di una considerazione importante sia per quanto riguarda i costi tecnici sia per quanto riguarda i costi delle persone e dei processi.

Le organizzazioni farebbero bene ad assicurarsi di avere un metodo oggettivo per misurare il successo, concordato dalla leadership esecutiva e dagli stakeholder interessati. Questo elimina ogni futura ambiguità sul "valore" del suo programma di minacce interne. Le metriche chiave su cui si basano i team di sicurezza di successo per misurare la riduzione del rischio dei programmi di minacce insider includono:

• Quanti avvisi stiamo ricevendo? 
• Quanti avvisi giustificano effettivamente un'indagine?
• Quante indagini hanno portato alla riduzione del rischio reale? 
• Quanti avvisi e indagini erano falsi positivi? 
• Siamo migliorati nel tempo? 

Per essere meticolosi nella misurazione, è fondamentale che le organizzazioni inizino con la comprensione della loro attuale esposizione al rischio dei dati. Senza sapere quali vulnerabilità avete e quali minacce sono più pervasive, non c'è modo di sapere se nuovi strumenti o processi possono aiutare a spostare l'ago della bilancia. Un prodotto come Incydr può aiutarla a valutare il rischio e ad accelerare e semplificare le indagini sulle minacce interne. I dati di rischio evidenziati da Incydrforniscono ai team di sicurezza le informazioni necessarie per rispondere in modo appropriato. Quando si tratta di rispondere alle minacce interne, spesso si tratta di una risposta umana piuttosto che di un controllo tecnico. Combinando la risposta con l'analisi dei dati di rischio disponibili, si ottengono i componenti critici per il successo di un programma sulle minacce interne.

Le organizzazioni che hanno successo nella gestione di stack di sicurezza complessi tendono a designare gruppi specifici per gestire DLP, CASB e il loro programma di minacce interne. Questo approccio può essere efficace perché consente alle persone di specializzarsi, in modo che la stessa persona che scrive le regole nel DLP non debba anche gestire il CASB, l'UEBA o svolgere le indagini. Questa struttura diversificata elimina la complessità dal lavoro di ogni individuo. La sfida è per le organizzazioni che non dispongono di un budget o di un team di sicurezza enorme - l'elenco dei ruoli e delle responsabilità si legge come uno scontrino CVS. Se non ha il lusso di eliminare la complessità dei ruoli e delle responsabilità, cerchi strumenti che lo facciano per lei. Gli oltre 250 indicatori di rischio di Incydr facilitano l'eliminazione del rumore inavvertitamente causato dai dipendenti che collaborano per portare a termine il loro lavoro e si concentrano invece sulle situazioni veramente ad alto rischio, come i dipendenti in partenza e i dipendenti ad alto rischio.

La storia cautelativa

La maggior parte delle organizzazioni che hanno, o stanno pensando di implementare, solidi set di strumenti di sicurezza, non dispongono di un team di sicurezza abbastanza grande per ruoli individualizzati e specializzati in tutti i domini di sicurezza. Piuttosto, la maggior parte dei professionisti della sicurezza indossa più cappelli e ha una lista di cose da fare infinita e, realisticamente, troppe responsabilità da gestire per una sola persona. 

Troppo spesso, la leadership senior finisce per concentrarsi su strumenti, soluzioni con acronimi al posto dei nomi e su determinate categorie tecnologiche per il gusto di spuntare una casella o di rispondere a una normativa non ben definita. Il settore della cybersecurity, pur con tutti i suoi vantaggi, ha un problema di marketing. Troppo spesso, vediamo strumenti commercializzati come una panacea per la protezione dei dati: "Distribuisci questo strumento su ogni endpoint e impedisci a tutti i tuoi dati di lasciare la tua organizzazione!". Chiunque abbia trascorso del tempo a cercare di implementare un'ampia attività di protezione dei dati conosce il dolore associato a questa linea di ragionamento. L'implementazione non equivale alla protezione. Questa percezione della protezione è il punto in cui le iniziative DLP falliscono, e i team di sicurezza, già poco impegnati, si ritrovano a dover affrontare inutili livelli di complessità nel tentativo di sfruttare al meglio l'investimento dell'organizzazione.

Per evitarlo, provi ad implementare una soluzione di protezione dei dati in grado di darle visibilità su tutta l' esposizione al rischio dei dati (o provi prima di acquistare con la prova di valore di 4 settimane di Incydr). Questo le fornirà una comprensione di base delle vulnerabilità dell'esposizione dei dati della sua organizzazione e delle minacce interne. Una volta che avrà questa base per valutare la sua posizione di rischio, si troverà in una posizione vantaggiosa per iniziare a proteggere i suoi dati dalle minacce insider in modo semplice.

Il costo della complessità

All'estremo opposto del paradosso della via facile, c'è la via difficile. La via difficile ha costi e complessità elevati a causa di due fattori principali che vi contribuiscono: 

1. Il tempo

• La maggior parte degli strumenti tradizionalmente utilizzati per risolvere le minacce insider richiede una grande quantità di tempo dal punto di vista della manutenzione. Mantenere l'infrastruttura, aggiornare gli agenti, assicurarsi che gli agenti non causino conflitti sugli endpoint. Tutto questo richiede tempo e impegno. Più strumenti ha un'organizzazione, più tempo deve dedicare il team di sicurezza per mantenerli in funzione. Abbiamo tutti sentito le storie di team che spendono costantemente le loro risorse solo per ottenere strumenti che non facciano danni, il che impedisce di utilizzare gli strumenti per lo scopo previsto. 
• SUGGERIMENTO: Si attenui a questo problema pensando al cloud-first. In questo modo ridurrà il tempo dedicato alla gestione dell'infrastruttura e potrà disporre degli ultimi aggiornamenti di sicurezza e delle funzionalità del prodotto senza manutenzione. Una soluzione cloud-first, come Incydr, può essere implementata in giorni anziché in mesi. Questo assicura che il suo team possa iniziare a rilevare, indagare e rispondere alle minacce interne non appena gli agenti endpoint vengono distribuiti. 

2. Competenza

• Questi stessi strumenti richiedono anche sofisticate regole o programmazioni, che generano molto rumore. Il concetto di stanchezza da allerta è un grosso problema ed è ben documentato nel settore della sicurezza. Ciò che non è ben noto è come risolverlo. È certamente possibile sintonizzare manualmente gli avvisi fino ad ottenere un'alta fedeltà, ma questo richiede abilità e mesi (o addirittura un anno) per essere perfezionato. 
• SUGGERIMENTO: scelga uno strumento che non sia rumoroso all'inizio. L'approccio di Incydr alla sicurezza dei dati è diverso da quello dei prodotti basati sulla classificazione e sui criteri. Monitorando tutta l'attività dei file e correlandola con indicatori di rischio ad alta fedeltà (come l'attività di esfiltrazione che coinvolge file in cui l'estensione e il contenuto non corrispondono), Incydr è in grado di rilevare in modo più accurato e di dare priorità al rischio per i dati.

Ogni prodotto ha un costo totale di proprietà, che si calcola in base a tre elementi: il costo del prodotto stesso, l'infrastruttura necessaria per supportarlo e il costo delle persone e dei loro processi necessari per gestirlo. Il costo della complessità entra in gioco quando si considerano i costi delle persone. Le competenze in materia di sicurezza sono costose e la creazione di un grande team di professionisti della sicurezza di talento e con esperienza comporterà un notevole dispendio di risorse. Dopo tutto, la sicurezza è un centro di costo. Se il suo team di sicurezza è più piccolo, può risparmiare sui costi salariali, ma si ritrova con un piccolo ma potente team di guerrieri della sicurezza sovraccarichi di lavoro e sovraestesi. Quando i team di sicurezza non hanno la larghezza di banda o l'esperienza per gestire efficacemente gli strumenti di sicurezza nel loro arsenale, è molto più probabile che i loro prodotti diventino merce da scaffale.

Alla fine della giornata, queste decisioni riguardano il costo opportunità. Se sta investendo in stipendi di sicurezza ad alto costo (per non parlare del costo dei prodotti di sicurezza e dell'infrastruttura di supporto), deve valutare attentamente se sta ottenendo lo stesso valore dal prodotto. Se il suo costoso team di sicurezza altamente qualificato passa la giornata a condurre indagini e a mitigare le minacce interne, è probabile che sia sulla strada giusta. Ma se questo team altamente qualificato passa il suo tempo a cercare di riparare un agente endpoint non funzionante, a navigare in un labirinto di sfide di configurazione o a lottare con interfacce utente e reportistica scadenti, allora il costo necessario per mantenere il prodotto supera i benefici. È tempo di abbandonare la complessità che non sposta l'ago della bilancia e di considerare un approccio più semplice.