Warum die Schlussbetrachtung früherer Vorfälle Teams mehr hilft qua gewöhnliche Sicherheitskennzahlen

Akzeptierte Metriken zur Messung des Schweregrads von Sicherheitsvorfällen, wie die mittlere Reparaturzeit (MTTR), sind notfalls nicht so zuverlässig wie bisher ausgedacht und liefern IT-Sicherheitsteams nicht die richtigen Informationen, so dieser neueste Open Incident Database (VOID)-Bulletin von Verica .

Welcher Bulletin basiert gen 10.000 Vorfällen von kurz 600 Unternehmen, von Fortune-100-Unternehmen solange bis hin zu Startups. Die Menge dieser gesammelten Datenansammlung ermöglicht eine tiefere statistische Schlussbetrachtung, um Warenmuster zu forcieren und frühere Branchenannahmen zu widerlegen, denen statistische Beweise fehlten, sagte Verica.

„Unternehmen betreiben eine dieser fortschrittlichsten Infrastrukturen dieser Welt und unterstützen viele Teile unseres täglichen Lebens, ohne dass die meisten von uns daran denken – solange bis irgendwas nicht funktioniert“, sagt Nora Jones, Vorstandsvorsitzender und Mitbegründerin von Jeli. “Ihre Unternehmen verlassen sich stark gen die Zuverlässigkeit dieser Standorte, und obgleich verschwinden Vorfälle nicht, da die Technologie immer komplexer wird.”

„Die meisten Organisationen treffen Entscheidungen zum Vorfallmanagement gen dieser Grundlage langjähriger Annahmen“, sagt sie und stellt stramm, dass Unternehmen datengesteuerte Entscheidungen darüber treffen sollen, wie sie die organisatorische Resilienz berühren.

Teilen Sie Informationen, um Vorfälle zu verstehen

Courtney Nash, Lead Research Analytiker im Zusammenhang Verica und Schöpferin von VOID, erklärt, dass Unternehmen, homolog wie Fluggesellschaften in den späten 90er Jahren und darüber hinaus Wettbewerbsbedenken beiseite legten, um Informationen auszutauschen, hoch vereinigen immensen Fortbestand an verwertbarem Wissen verfügen, dies sie könnten nutzen, um voneinander zu lernen und die Industriebranche voranzubringen, während dies, welches gebaut wird, zu Händen aus sicherer wird.

„Dasjenige Zusammenschließen dieser Berichte ist wichtig, weil sich die Software längst vom Online-Hosting von Katzenbildern zum Fabrikationsstätte von Transportmitteln, Unterbau, Stromnetzen, Gesundheitssoftware und -geräten, Wahlsystemen, autonomen Fahrzeugen und vielen kritischen (oft sicherheitskritischen) gesellschaftlichen Funktionen entwickelt hat.“ sagt Nash.

David Severski, Senior Security Data Scientist am Cyentia Institute, weist darauf hin, dass Unternehmen nur ihre eigenen Vorfälle sehen können, welches die Fähigkeit einschränkt, allgemeinere Trends zu wiedererkennen und zu vermeiden, die andere Organisationen tangieren.

“Vorfalldatenbanken und Berichte wie [VOID] Helfen Sie ihnen, dem Tunnelblick zu entkommen und hoffentlich zu handeln, vorher sie selbst Probleme nach sich ziehen”, sagt er.

Dauer und Schweregrad sind „oberflächliche“ Datenansammlung

Wie Unternehmen Vorfälle erleben, ist unterschiedlich, sowohl …. als auch die Zeit, die es dauert, jene Vorfälle zu losmachen, unabhängig vom Schweregrad. Welche Szenarien gar qua „Zwischenfall“ erkannt werden und gen welcher Stand, ist im Zusammenhang den Kollegen intrinsisch einer Organisation unterschiedlich und nicht unternehmensübergreifend geschlossen, warnt dieser Bulletin.

Nash erklärt, dass Dauer und Schweregrad „oberflächliche“ Datenansammlung sind – sie sind liebenswürdig, weil sie vereinigen klaren, konkreten Sinn zu Händen chaotische, überraschende Situationen zu vermitteln scheinen, die sich nicht zu Händen einfache Zusammenfassungen eignen. Die Messung dieser Dauer ist jedoch nicht wirklich sinnvoll.

„Die Dauer eines Vorfalls liefert nur wenige intern verwertbare Informationen hoch den Zwischenfall, und dieser Schweregrad wird oft gen unterschiedliche Weise ausgehandelt, selbst im selben Team“, sagt Nash.

Welcher Schweregrad kann stellvertretend zu Händen die Beeinflussung gen den Kunden oder in anderen Fällen zu Händen den zur Beseitigung oder Priorität erforderlichen technischen Aufwendung verwendet werden. „Es wird aus verschiedenen Gründen subjektiv zugewiesen, einschließlich, um gen vereinigen Zwischenfall folgsam zu zeugen oder Unterstützung zu erhalten, um eine Validierung nachher dem Zwischenfall auszulösen – oder zu vermeiden – oder um die Genehmigung des Managements zu Händen die gewünschte Finanzierung, den Personalbestand usw. “, sagt Nasch.

Dem Bulletin zufolge besteht kein Zusammenhang zwischen Dauer und Schwere dieser Vorfälle. Unternehmen können stark oder kurze Zwischenfälle nach sich ziehen, die sehr nicht ins Gewicht fallend, existenziell ungelegen und weitestgehend jede Zusammensetzung mittendrin sind.

„Dauer oder Schweregrad können einem Team nicht nur nicht sagen, wie zuverlässig oder effektiv es ist, sondern untergeordnet nichts Nützliches hoch die Auswirkungen des Ereignisses oder den Aufwendung, dieser zur Vollbringung des Vorfalls erforderlich ist“, sagt Nash.

Zergliedern Sie vergangene Vorfälle

„Obwohl MTTR qua Metrik nicht nützlich ist, möchte niemand, dass seine Vorfälle länger qua nötig fortdauern“, sagt sie. „Um besser reagieren zu können, sollen Unternehmen zunächst untersuchen, wie sie in dieser Vergangenheit reagiert nach sich ziehen, und zwar mit eingehenderen Analysen, die sie hoch eine Vielzahl zuvor unvorhergesehener Faktoren, sowohl technischer qua untergeordnet organisatorischer Weise, aufklären.“

Jones fügt hinzu, dass die Kultur einer Organisation untergeordnet eine Rolle damit spielen wird, wie und in welchem ​​Umfang Teams Vorfälle markieren.

„Dasjenige geht die Gesamtheit gen die Menschen einer Organisation zurück – die Menschen, die die Unterbau Trost spenden, die Unterbau warten, Vorfälle losmachen und sie dann ermitteln“, sagt sie. “Dasjenige wird die Gesamtheit von Menschen gemacht.”

Genug damit ihrer Sicht sind Menschen, egal wie automatisiert unsrige Technologie wird, immer noch dieser anpassungsfähigste Teil des Systems und dieser Grund zu Händen anhaltenden Fortuna.

„Deswegen sollen Sie jene soziotechnischen Systeme qua solche wiedererkennen und dann mit demselben Verständnis an Ihre Vorfallanalyse herantreten“, sagt Jones.

Laut Severski gibt es in dieser Sicherheitsbranche viele Meinungen darüber, welches getan werden sollte, um die Pipapo zu verbessern, und stellt stramm, dass Cyentia weiterhin große Datensätze in ihrer Wissenschaft zur Information Risk Insights Study (IRIS) analysiert.

„Unsrige Empfehlungen gen tatsächlichen Fehlern und daraus gezogenen Lehren zu stützen, ist ein weitaus effektiverer Herangehensweise“, sagt er. “Wir legen großen Zahl gen die Untersuchung realer Vorfälle.”