昨年の Black Hat Europe で、私は上級セキュリティ アナリストの 1 人である Paul Stringflow と話をしました。会話のこの部分 (最初の部分はここからご覧いただけます) では、コストと効率のバランスと、組織全体のセキュリティ文化の調整について説明します。
ジョン: それで、ポール、どこにでも問題があり、すべてを解決しなければならない環境では、私たちはそれを超えて進む必要があります。現在の新しいアーキテクチャでは、全体的なリスクについてよりインテリジェントに考える必要があります。これはコスト管理とサービス管理に関連しており、ビジネスの観点から実際のリスクとエクスポージャの観点からアーキテクチャを分類できるようになります。
そこで、私はこのためのツールを購入する必要性について自分に言い聞かせてきました。ツールの数を 50 個に減らすには、まずセキュリティ体制を明確に把握する必要があると考えているからです。そうすれば、自分たちがどれだけ危険にさらされているかを明確に把握できるため、その通貨に実際に反応するツールを決定できます。
ポール: デバイスの購入は、デバイスがすべてを解決してくれるという売り手の希望と夢に遡ります。しかし、現実には、どの指標が重要であるかを理解するのは複雑であると思います。収集した情報を理解し、重要なこととテクノロジーのリスクおよびビジネスへの影響のバランスをとります。先ほど非常に良い点を指摘されました。何かがリスクにさらされていても影響が最小限である場合、対応できる予算は限られています。では、どこで過ごすのでしょうか?費用対効果を最大限に高めたいと考えています。
したがって、ビジネスに対するリスクを理解する必要があります。テクノロジーの観点からリスクを特定しましたが、それはビジネスにとってどの程度重要でしょうか?そしてそれは優先事項ですか?リスクに優先順位を付けると、それに対処する方法がわかります。あなたが求めていることには、解き明かすべきことがたくさんあります。私にとって、それはセキュリティ管理がどこにあり、リスクがどこにあるのかを理解するための最初の作業を行うことです。組織として私たちにとって本当に重要なことは何でしょうか?重要な指標に戻り、ノイズを排除し、意思決定に役立つ指標を特定します。次に、それらの指標を測定しているかどうかを確認します。そこからリスクを評価し、リスクを軽減するために適切な管理を導入します。私たちはその姿勢管理業務を行っています。私たちが持っているツールはその姿勢に応えているでしょうか?これは物事の内部的な側面にすぎませんが、外部のリスクもあります。これはまったく別の話ですが、プロセスは同じです。
では、私たちが持っているツールを見て、特定したリスクを軽減するのにどの程度効果があるのでしょうか?リスク管理フレームワークはたくさんあるので、おそらく NIST など、適切なものが見つかるでしょう。自分に合ったフレームワークを見つけて、それを使用して、ツールがどのようにリスクを管理しているかを評価します。ギャップがある場合は、そのギャップを埋めるツールを探します。
ジョン: 私がこのフレームワークについて考えていたのは、基本的に取り組むべき領域が 6 つあり、おそらく 7 番目の領域が組織にとって重要である可能性があるためです。ただし、少なくとも 6 つの領域をチェックボックスとして残しておきます。リスク対応に取り組んでいますか?私は正しいことに取り組んでいますか?これはパレート アプローチを提供するものではなく、むしろ利益の逓減に関するものであり、最も簡単なものを最初に取り上げます。最も一般的な問題を解決するまで、すべてを解決しようとしないでください。それが人々が今やろうとしていることです。
ポール: そうですね、私たちのポッドキャストの別の 1 つである「Takeaway」を引用したいと思います。ええ、誰が知っていましたか?挿してみようと思いました。しかし、この会話から得られるポイントを考えてみると、あなたの質問に戻って、組織として何を考慮すべきでしょうか?おそらく出発点は一歩下がってみることだと思います。ビジネスとして、そのビジネス内の IT リーダーとして、私はリスクがどのようなものかを本当に理解するために一歩下がっていますか?ビジネスにおけるリスクはどのようなものであり、何を優先すべきでしょうか?次に、そのリスクに対する有効性を測定できるかどうかを評価する必要があります。多くの指標とツールを入手しています。それらのツールは、ビジネスにとって重要と考えられるリスクを回避するのに効果的ですか?これら 2 つの質問に答えたら、自分の姿勢を見てみましょう。私たちが直面する脅威に対処するために必要な制御を提供するツールが導入されていますか?文脈は非常に大きいです。
ジョン: この点に関して、たとえば Facebook のような組織は、特に顧客データに関するビジネス リスクに対してかなり高い許容度を持っていたことを思い出しました。成長がすべてでした。どんな犠牲を払ってでも成長しました。したがって、彼らはこれを達成するためにリスクを管理することに積極的でした。最終的には、それらのリスクを評価し、それに対処することになります。その時点で、それはもはや技術的な会話ではありません。
ポール: 絶対に。これはおそらく単なる技術的な会話ではありません。リスクとセキュリティに対処するプロジェクトを実現するには、完全にテクノロジーベースであってはなりません。これは会社の運営と日常のワークフローに影響を与えます。それを行う理由について全員が同意しなければ、セキュリティ プロジェクトは成功しません。目上の人から「邪魔だ、やめろ」とかなりの反発を受けるでしょう。邪魔をする部門であってはなりません。しかし、社内には安全が重要であるという文化が必要です。セキュリティを優先しないと、悪用されるのを待っている脆弱性がないようにするための基本的なことを行っていないため、全員の努力が無駄になる可能性があります。
ジョン: セキュリティ製品の販売方法についてベンダーと何度話し合ったかを考えています。あなたはそれを販売しましたが、他の人がそれを止めようとしたため、何も展開されませんでした。彼らはそれを気に入らなかったのです。現実には、企業は何かに向かって取り組み、それを実現するためにすべてが調整されていることを確認する必要があります。
ポール: 私が 30 年以上この仕事に就いて気づいたことの 1 つは、営業担当者がなぜ自分が企業にとって価値があるのかを説明するのに苦労することが多いということです。弊社の最高執行責任者(COO)であるハワード・ホルトンは、この議論の熱心な支持者です。営業担当者は、自分が実際に何をしているのか、そしてビジネスの利益がどこにあるのかを人々に伝えるのが非常に苦手です。しかし、昨日彼が私に言ったことの一つは、彼の態度についてでした。オーケストレーションおよび自動化ツールを提供するベンダーで働いている担当者は知っていますが、彼が会議を始めると最初に尋ねるのは、なぜ自動化が顧客にとって機能しなかったのかということです。彼らは、解決策を提示する前に、自動化の問題がどこにあるのかを理解するのに時間がかかります。私たちの多くがこれを行うとしたら、ベンダーも他の人も同様ですが、最初に「何がうまくいっていないのですか?」と尋ねたらどうでしょうか。もしかしたら、うまくいきそうなものを見つけるのがうまくなるかもしれない。
ジョン: そこで、エンド ユーザーに 2 つの提案があります。それは、リスク管理に焦点を当てること、もう 1 つはセキュリティ指標を簡素化して改良することです。また、ベンダーにとっては、ソリューションを提供する前に顧客の課題を理解することが重要です。営業担当者は、顧客の問題やニーズに耳を傾けることで、単に顧客の願望を売り込むのではなく、関連性のある効果的なソリューションを提供できます。ありがとう、ポール!
この投稿「サイバーセキュリティの理解 – パート 2: 費用対効果の高い対応の提供」は、Gigaom に最初に掲載されました。
