Af: Christine Vanderpool
September 19, 2019
Jeg blev for nylig spurgt, hvorfor der har været en stigning i antallet af hændelsesalarmer i den aktuelle måned.
Som jeg gav mit svar, bemærkede jeg, at jeg fokuserede på årsagerne bag “hvorfor” tallene var steget, og det blev tydeligt for mig, at når jeg forklarer risici, har jeg en tendens til at fokusere på motivet til, hvorfor en risiko kan opstå.
Jeg tror, at dette skyldes min måde at tænke på. Selv når jeg taler eller beder nogen om at gøre noget, fokuserer jeg på “hvad der er i det for dem”, fordi jeg tror, at de fleste mennesker i sidste ende har brug for at blive motiveret, før de handler. Der skal være en grund bag alle ting, og hvis vi forstår grunden, kan vi tage fat på de midler og muligheder, der lader dette motiv være en handlemulighed.
Når en forbrydelse begås og vurderes i en retssag, bliver anklageren bedt om at angive midlerne, motivet og muligheden for den mistænkte for at begå lovovertrædelsen. En persons evne til at begå en forbrydelse er midlet. Årsagen til, at en person begår en forbrydelse, er motivet. Muligheden eller tilgængeligheden af ressourcer til at begå forbrydelsen er muligheden.
Det er sådan, vi som CISO’er tænker på risici og på, hvordan vi skal håndtere dem. Det betyder ikke, at én måde at tænke på er bedre, for for for at være fuldt ud effektiv skal man tage hensyn til alle tre faktorer, men alle vil som standard vælge en af de to andre faktorer. Hvis du er CISO, er spørgsmålet: Er du en CISO, der fokuserer på midlerne, motivet eller mulighederne?
Den CISO, der fokuserer på “midlerne”
Hvis du er en CISO, der fokuserer på “midlerne” i forbindelse med en risiko, er du højst sandsynligt en meget teknisk CISO med et stærkt teknisk fundament og en stærk teknisk baggrund. Dit sind vil have en tendens til straks at tænke på “hvordan” et angreb vil blive udført. Du vil koncentrere dig om de tekniske midler, hvormed et angreb ville eller kunne finde sted. Din tilgang vil fokusere på de værktøjer og processer, der kan bruges til at beskytte mod disse midler. Hvis man knytter dette tilbage til NIST’s fem områder, vil man primært fokusere på “beskytte og opdage”-områderne. Det er et meget vigtigt område at fokusere på, for hvis nogen har et motiv og en mulighed, men ingen midler til at udføre deres forbrydelse, må man spørge sig selv, om angrebet overhovedet ville finde sted.
Den “motiverede” CISO
Hvor der er en vilje, vil der altid være en vej. Det er den måde, som den “motiverede” CISO vil tænke på. Denne type tankegang vil fokusere på, hvorfor et angreb kan finde sted. En CISO, der foretrækker at fokusere på “hvorfor”, vil koncentrere sig om psykologien bag et angreb. Denne person fokuserer på identifikationsområdet i NIST-modellen. De vil se på hvert muligt “hvorfor” og vil derefter bestemme midlerne og mulighederne for at beskytte, opdage eller reagere på et sådant angreb. Denne person mener normalt, at der ikke er nogen mulig måde at kende alle metoder eller muligheder på, så i stedet for at forsøge at stoppe det hele, stopper vedkommende det mest sandsynlige baseret på, hvad der ville være den mest sandsynlige årsag til, at et angreb ville blive udført. Hvis du forstår hvorfor, så vil du se, hvordan nogen ville være i stand til at orkestrere et angreb og blokere deres evne til at gøre det.
Den “Mulige” CISO
Når en dør lukker, åbner en anden et vindue. Dette er tankegangen hos CISO’en med “muligheder”. Denne type sikkerhedsleder vil fokusere på tanken om, at der er mere end én måde at flå en kat på. De vil fokusere på de risici, der ikke kun ligger inden for deres eget ansvarsområde og kontrol, men også på de risici, der ligger uden for deres eget ansvarsområde og kontrol. Fokus vil være på tilgængeligheden af alle de ressourcer, som angriberen har til rådighed. Denne CISO vil fokusere på andre organisationers reaktion og inddrivelse for at sikre, at de indsamler alle data om de forskellige tilgængelige ressourcer eller muligheder for et angreb. De trækker på andres erfaringer og anvender dem til at indsnævre de tilgængelige ressourcer, der kan anvendes i et angreb. Fjern nogens mulighed for at gøre noget ondt, og de vil ikke gøre nogen skade.
Det perfekte forsvar
I virkeligheden findes der ingen perfekt kriminalitet, og omvendt findes der heller ikke noget perfekt forsvar. Alle tre faktorer skal tages i betragtning, når der udvikles en sikkerhedsstrategi, og en CISO skal fokusere på alle tre. Det er vigtigt, at du som sikkerhedsleder selv identificerer, hvad der er dit foretrukne eller standardfokus på en risiko, fordi du så kan identificere, hvor du har brug for personale til at udfylde eller fokusere på de to andre. Det er som en trekant. Der er ingen korrekt eller forkert vinkel at se på den. En erfaren CISO vil være i stand til at se og identificere alle tre facetter i udformningen af sin strategi. De vil være i stand til at formulere, hvordan programmet tager fat på midler, motiv og muligheder på realistiske og gennemførlige vilkår og måder.
Det ene fokus er ikke bedre end det andet, de er alle lige vigtige. Det er blot en måde at tænke på og identificere den måde, man foretrækker at se på en risiko først.