By: Christine Vanderpool
19. syyskuuta 2019
Minulta kysyttiin hiljattain, miksi vaaratilanneilmoituksissa on ollut piikki kuluvan kuukauden aikana.
Vastausta antaessani huomasin, että keskityin syihin, jotka johtuvat siitä, ”miksi” luvut olivat nousseet, ja minulle kävi selväksi, että kun selitän riskejä, minulla on taipumus keskittyä motiiviin, jonka vuoksi riski saattaisi toteutua.
Uskon, että tämä johtuu tavastani ajatella. Jopa puhuessani tai pyytäessäni jotakuta tekemään jotakin, keskityn siihen, ”mitä hyötyä siitä on heille”, koska uskon, että viime kädessä useimmat ihmiset tarvitsevat motivaatiota ennen kuin he toimivat. Kaiken takana on oltava syy, ja jos ymmärrämme syyn, voimme puuttua keinoihin ja mahdollisuuksiin, jotka jättävät tuon motiivin toteuttamiskelpoiseksi.
Kun rikos on tehty ja sitä arvioidaan oikeudenkäynnissä, syyttäjää pyydetään esittämään rikoksesta epäillyn keinot, motiivi ja mahdollisuus. Jonkun kyky tehdä rikos on keino. Se, miksi joku tekee rikoksen, on motiivi. Mahdollisuus tai resurssien saatavuus rikoksen tekemistä varten on mahdollisuus.
Näin me CISO:na ajattelemme riskejä ja niiden käsittelyä. Se ei tarkoita, että yksi ajattelutapa olisi parempi, sillä ollakseen täysin tehokas on otettava huomioon kaikki kolme tekijää, mutta kaikki päätyvät oletusarvoisesti johonkin kahdesta muusta. Jos olet CISO, kysymys kuuluu: oletko keinojen, motiivien vai mahdollisuuksien CISO?
Keinojen CISO
Jos olet CISO, joka keskittyy riskin ”keinoihin”, olet todennäköisesti hyvin tekninen CISO, jolla on vahva tekninen perusta ja tausta. Mielesi pyrkii välittömästi miettimään, miten hyökkäys toteutettaisiin. Kiinnität huomiosi teknisiin keinoihin, joilla hyökkäys tapahtuisi tai voisi tapahtua. Lähestymistapasi keskittyy välineisiin ja prosesseihin, joita voidaan käyttää keinoja vastaan suojautumiseen. Jos kytket tämän takaisin NIST:n viiteen osa-alueeseen, pääpainopisteesi tai se, mihin haluat keskittyä, on ”suojaamisen ja havaitsemisen” osa-alueilla. Tämä on erittäin tärkeä alue, johon kannattaa keskittyä, sillä jos jollakulla on motiivi ja tilaisuus, mutta ei keinoja rikoksen toteuttamiseen, on kysyttävä itseltään, tapahtuisiko hyökkäys edes?
The ”Motive” CISO
Where there is a will, there will always be a way. Näin ajattelee ”motiivinen” CISO. Tämäntyyppinen mieli keskittyy siihen, miksi hyökkäys saattaa tapahtua. CISO, joka keskittyy mieluummin ”miksi”, keskittyy hyökkäyksen psykologiaan. Tämä henkilö keskittyy NIST-mallin tunnistamisalueeseen. Hän tarkastelee jokaista mahdollista ”miksi” ja määrittää sitten keinot ja mahdollisuudet suojautua hyökkäykseltä, havaita se tai reagoida siihen. Tämä henkilö uskoo yleensä, ettei ole mahdollista tuntea kaikkia keinoja tai mahdollisuuksia, joten sen sijaan, että hän yrittäisi pysäyttää kaiken, hän pysäyttää sen, mikä on todennäköisintä sen perusteella, mikä olisi hyökkäyksen todennäköisin syy. Jos ymmärrät syyn, ymmärrät, miten joku voisi järjestää hyökkäyksen ja estää hänen kykynsä tehdä se.
”Mahdollisuuden” CISO
Kun ovi sulkeutuu, joku muu avaa ikkunan. Tämä on ”tilaisuuden” CISO:n ajattelutapa. Tämäntyyppinen tietoturvajohtaja keskittyy ajatukseen, että on olemassa useampi kuin yksi tapa nylkeä kissa. Hän keskittyy riskeihin, jotka eivät ole vain hänen omalla vastuualueellaan ja valvonnassaan, vaan myös riskeihin, jotka ovat sen ulkopuolella. Painopisteenä on kaikkien hyökkääjän käytettävissä olevien resurssien saatavuus. Tämä CISO keskittyy muiden organisaatioiden vastaamiseen ja toipumiseen varmistaakseen, että he keräävät kaikki tiedot erilaisista käytettävissä olevista resursseista tai hyökkäysmahdollisuuksista. Hän hyödyntää muiden kokemuksia ja soveltaa niitä hyökkäyksessä mahdollisesti käytettävien resurssien rajaamiseen. Ota joltakulta pois mahdollisuus tehdä pahaa, niin hän ei tee pahaa.
Täydellinen puolustus
Todellisuudessa ei ole olemassa täydellistä rikosta eikä päinvastoin täydellistä puolustusta. Kaikki kolme tekijää on otettava huomioon turvallisuusstrategiaa kehitettäessä, ja CISO:n on keskityttävä kaikkiin kolmeen. On tärkeää tunnistaa itse turvallisuusjohtajana, mikä on ensisijainen tai oletusarvoinen painopisteesi riskin suhteen, koska sen jälkeen voit tunnistaa, missä tarvitset henkilöstöä täydentämään tai keskittymään kahteen muuhun. Se on kuin kolmio. Ei ole olemassa oikeaa tai väärää kulmaa tarkastella sitä. Kokenut CISO pystyy näkemään ja tunnistamaan kaikki kolme puolta strategiansa suunnittelussa. Hän pystyy ilmaisemaan, miten ohjelmassa käsitellään keinoja, motiiveja ja mahdollisuuksia realistisin ja toteuttamiskelpoisin termein ja tavoin.
Yksi painopiste ei ole toista parempi, vaan ne ovat kaikki yhtä tärkeitä. Se on vain tapa ajatella ja tunnistaa se tapa, jolla haluat ensin tarkastella riskiä.