By: Christine Vanderpool
September 19, 2019
Nemrég megkérdezték tőlem, hogy miért ugrott meg az incidensriasztások száma az aktuális hónapban.
Amíg a válaszomat adtam, észrevettem, hogy a számok “miért” emelkedésének okaira összpontosítok, és nyilvánvalóvá vált számomra, hogy amikor a kockázatokat magyarázom, hajlamos vagyok arra összpontosítani, hogy miért fordulhat elő egy kockázat.
Úgy vélem, ez a gondolkodásmódomnak köszönhető. Még akkor is, amikor beszélek vagy megkérek valakit, hogy tegyen meg valamit, arra összpontosítok, hogy “mi a jó neki”, mert úgy gondolom, hogy végső soron a legtöbb embernek motivációra van szüksége, mielőtt cselekedne. Minden dolog mögött kell, hogy legyen egy ok, és ha megértjük az okot, akkor foglalkozhatunk az eszközökkel és a lehetőségekkel, amelyek ezt az indítékot cselekvőképes lehetőséggé teszik.”
Amikor egy bűncselekményt elkövetnek és a tárgyaláson értékelik, az ügyésznek meg kell adnia a bűncselekmény elkövetésével gyanúsítottak eszközeit, indítékát és lehetőségét. Valakinek a bűncselekmény elkövetésére való képessége az eszköz. Az, hogy valaki miért követ el bűncselekményt, az az indíték. A bűncselekmény elkövetésének esélye vagy az erőforrások rendelkezésre állása a lehetőség.
CISO-ként így gondolkodunk a kockázatokról és azok kezeléséről. Ez nem jelenti azt, hogy az egyik gondolkodásmód jobb, mert a teljes hatékonysághoz mindhárom tényezőt figyelembe kell venni, de mindenki a másik kettő valamelyikét fogja alapértelmezettnek tekinteni. Ha Ön CISO, a kérdés a következő: Ön eszköz, motívum vagy lehetőség CISO?
Az “eszköz” CISO
Ha Ön olyan CISO, aki a kockázat “eszközére” összpontosít, akkor nagy valószínűséggel egy erős technikai alapokkal és háttérrel rendelkező, magasan technikai CISO. Az Ön agya hajlamos azonnal arra gondolni, hogy egy támadást “hogyan” hajtanának végre. Ön a technikai eszközök felé húz, amelyekkel a támadás megtörténne vagy megtörténhetne. Az Ön megközelítése azokra az eszközökre és folyamatokra összpontosít, amelyekkel védekezni lehet az eszközök ellen. Ha ezt visszavezetjük a NIST öt területéhez, akkor az Ön fő kerékvágása, vagy az, hogy hová szeretne összpontosítani, a “védelem és felderítés” területeire fog esni. Ez egy nagyon fontos terület, amelyre összpontosítani kell, mert ha valakinek van indítéka és lehetősége, de nincsenek eszközei a bűncselekmény végrehajtásához, fel kell tennie magának a kérdést, hogy megtörténik-e egyáltalán a támadás?
A “Motívum” CISO
Ahol van akarat, ott mindig lesz mód. Így fog gondolkodni az “indíték” CISO. Ez a fajta elme arra fog összpontosítani, hogy miért történhet meg egy támadás. Az a CISO, aki inkább a “miért”-re összpontosít, a támadás pszichológiájára fog koncentrálni. Ez a személy a NIST modell azonosító területére összpontosít. Minden lehetséges “miért”-et megnéz, majd meghatározza az eszközöket és a lehetőséget annak érdekében, hogy megvédje, felderítse vagy reagáljon egy ilyen támadásra. Ez a személy általában úgy véli, hogy nem lehetséges minden módszert vagy lehetőséget megismerni, ezért ahelyett, hogy megpróbálná mindet megállítani, azt állítja meg, ami a legvalószínűbb az alapján, hogy mi lenne a támadás végrehajtásának legvalószínűbb oka. Ha megérti a miértet, akkor meglátja, hogyan lenne képes valaki megszervezni egy támadást, és megakadályozza, hogy ezt megtehesse.”
A “lehetőség” CISO
Amikor egy ajtó bezárul, valaki más kinyit egy ablakot. Ez a “lehetőség” CISO gondolkodásmódja. Ez a fajta biztonsági vezető arra a gondolatra összpontosít, hogy egy macskát többféleképpen is meg lehet nyúzni. Azokra a kockázatokra összpontosítanak, amelyek nem csak a saját hatáskörükben és ellenőrzésük alatt állnak, hanem azokra is, amelyek azon túl vannak. A hangsúly a támadó rendelkezésére álló összes erőforrás elérhetőségén lesz. Ez a CISO más szervezetek reagálására és helyreállítására fog összpontosítani annak érdekében, hogy biztosítsa, hogy minden adatot összegyűjtenek a különböző rendelkezésre álló erőforrásokról vagy támadási lehetőségekről. Mások tapasztalataiból merítenek, és azokat alkalmazzák, hogy leszűkítsék a támadás során felhasználható rendelkezésre álló erőforrásokat. Vedd el valakitől a lehetőséget, hogy rosszat tegyen, és nem fog ártani.”
A tökéletes védelem
A valóságban nincs tökéletes bűncselekmény, és fordítva, nincs tökéletes védelem sem. Mindhárom tényezőt figyelembe kell venni a biztonsági stratégia kidolgozásakor, és a CISO-nak mindháromra összpontosítania kell. Fontos, hogy biztonsági vezetőként önmaga határozza meg, hogy melyik a preferált, vagy alapértelmezett fókusza egy kockázatnak, mert így azonosítani tudja, hogy hol van szüksége munkatársakra a másik kettő pótlására vagy a másik kettőre való összpontosításra. Ez olyan, mint egy háromszög. Nincs helyes vagy helytelen látószög. Egy tapasztalt CISO képes lesz mindhárom aspektust látni és azonosítani a stratégiája kialakításakor. Képes lesz megfogalmazni, hogy a program hogyan kezeli az eszközöket, az indítékot és a lehetőséget reális és megvalósítható kifejezésekkel és módokon.
Az egyik fókusz nem jobb, mint a másik, mindegyik egyformán fontos. Ez csupán egy gondolkodási mód és annak azonosítása, hogy milyen módon szeretné először megvizsgálni a kockázatot.