Как оценить риски в кибербезопасности. Лучшие инструменты и практики. Дуглас У. Хаббард

Чтение книги онлайн.

СКАЧАТЬ ответ на такой банальный, но вполне понятный вопрос: «Нет. Безопасность не бывает стопроцентной». И все же некоторые из вас отвечают так же, как и я временами, когда мне надоедает этот пустой вопрос: «Да, защищены». Почему? Потому, что на нелепые вопросы и ответы нелепые. Как нам в этом убедиться? Без метрик – никак.

      По мере становления моей карьеры в области кибербезопасности сначала в компаниях InfoWorld и Ernst & Young, потом в основанной мной компании Foundstone, затем на руководящих должностях в компании McAfee, которая приобрела Foundstone, а сейчас в собственной компании Cylance у меня сформировалось своеобразное понимание старой фразы профессора, что нельзя управлять тем, что невозможно измерить. Пусть истинно объективной метрики не существует, но вполне возможно провести субъективные и локализованные измерения текущего уровня риска и вашего положения относительно вас самих в прошлом и других компаний вашего уровня.

      Измерение рисков кибербезопасности, существующих в организации, – задача и без того нетривиальная, а когда требуется проводить количественные измерения вместо субъективных и качественных оценок, она становится даже пугающей.

      В конечном счете для нас, специалистов в области безопасности, главными являются вопросы «С чего начать?» и «Как измерить эффективность и отдачу в сфере кибербезопасности?». Ответить на них возможно только с помощью количественных показателей. До сих пор область кибербезопасности с трудом поддавалась измерению. Помню, когда впервые спросили мое мнение о программе измерения риска безопасности, я ответил что-то вроде: «Нельзя измерить то, что не выражено количественно».

      Авторы данной книги начали определять структуру и подбирать алгоритмы и метрики для того, что долгое время казалось невозможным или, по крайней мере, бесполезным в нашей сфере, – для измерения рисков безопасности. Наши измерения могут быть несовершенны, но мы можем определить набор стандартных метрик, обоснованных и поддающихся количественному измерению, а затем использовать те же самые показатели день за днем, чтобы убедиться, что ситуация улучшается. В этом и заключается главная ценность определения и применения набора показателей безопасности. Не надо быть совершенными. Надо всего лишь с чего-то начать и сравнивать свои показатели с теми, что были днем ранее.

      Благодарности

      Благодарим за помощь в написании книги:

      Джека Джонса

      Джека Фройнда

      Джима Липкиса

      Томаса Ли

      Кристофера «Кипа» Бона

      Скотта Стрэнски

      Томаса Гирнюса

      Джея Якобса

      Сэма Сэвиджа

      Тони Кокса

      Майкла Мюррея

      Патрика Хейма

      Чен-Пин Ли

      Майкла Сардарызадеха

      Стюарта Мак-Клара

      Рика Рэнкина

      Антона Мобли

      Винни Лю

      Команду SIRA.org

      Дэни Гира

      Дэна Розенберга

      Особая СКАЧАТЬ