Конечные показатели безопасности не всегда полностью детерминированы или имеют прямую причинно-следственную связь: например, вы можете все сделать правильно, но вас все равно взломают, или же все сделали неверно, но по счастливому случаю избежали хакерской атаки, пишет Tech News World.
Таким образом, задача обеспечения безопасности заключается в увеличении шансов на желаемые результаты при уменьшении шансов на нежелательные. Есть два последствия: первый – это трюизм, который каждый практикующий изучает на ранних этапах, — трудно рассчитать отдачу от инвестиций в обеспечение безопасности. Второй — неочевидный дисбаланс шансов особенно опасен.
Постепенное разрушение
Если вам кажется, что это снижение эффективности контроля/противодействия безопасности надумано, существует ряд моментов, когда эффективность может постепенно падать.
Во-первых, учтите, что распределение персонала не является статичным, а члены команды — не взаимозаменяемы. Так, сокращение штата может привести к тому, что у данного инструмента или элемента управления будет меньше точек соприкосновения, что, в свою очередь, уменьшит его полезность в вашей программе. Перераспределение обязанностей может повлиять на эффективность, когда один инженер менее квалифицирован или имеет меньший опыт, чем другой.
Аналогичным образом, изменения в самой технологии могут повлиять на эффективность. Помните воздействие, которое переход на виртуализацию оказал на развертывание системы обнаружения вторжений несколько лет назад? В этом случае изменение технологии (виртуализация) снизило способность существующего элемента управления (IDS) работать так, как ожидалось.
Есть также естественное разрушение: рассмотрим распределение бюджета. Организация, которая не пострадала от взлома, может попытаться сэкономить на затратах на технологии или не сможет инвестировать таким образом, чтобы идти в ногу с развитием технологий.
Руководство может прийти к выводу, что, поскольку сокращения в предыдущие годы не оказали заметного неблагоприятного воздействия, система должна выдерживать больше сокращений. Так как общий результат основан на вероятности, этот вывод может быть правильным — даже если организация постепенно увеличивает возможности возникновения катастрофических событий.
Предвидеть разрушение
Суть в том, что эти процессы неизбежны. Тем не менее, их предотвращение — и создание инструментария, чтобы узнать о них — отделяет лучшие программы от просто адекватных.
Начнем с того, что нет недостатка в моделях риска и подходах к измерению, моделях возможностей проектирования системной безопасности (например, NIST SP800-160 и ISO/IEC 21827), моделях зрелости и т. п., но есть одна общая черта, которая создает некоторый механизм, позволяющий измерить общее воздействие на организацию на основе конкретных элементов управления в этой системе.
Здесь есть два подкомпонента: во-первых, значение, предоставляемое каждым элементом управления всей программе; и во-вторых, степень, в которой изменения в данном контроле влияют на нее.
Первый набор данных — это, в основном, управление рисками — построение понимания ценности каждого элемента управления. Вторая часть — это создание инструментария для каждого из вспомогательных элементов управления, чтобы вы могли понять влияние изменений (положительных или отрицательных) на производительность.
Если вы систематически не рассматриваете риски, одним из веских аргументов в пользу того, почему вы должны это делать, является естественное, постепенное снижение эффективности контроля. Если вы этого еще не сделали, сейчас самое время начать.
