¿Cómo miden su éxito los profesionales de la seguridad? [cerrado]

Navega tus respuestas
6

¿Cómo miden el éxito los profesionales de la seguridad y cómo comunican esto a otros en sus organizaciones?

De la forma en que lo veo, si no se producen incidentes de seguridad, entonces el equipo de seguridad está haciendo un buen trabajo, para empezar, no hubo ninguna amenaza o es solo una cuestión de tiempo antes de que ocurra un incidente. Si ocurre un incidente de seguridad, claramente el equipo de seguridad ha fallado.

Parece que los trabajadores de seguridad se encuentran en una situación de pérdida-pérdida: tener que justificar su existencia cuando los tiempos son buenos o explicar por qué desempeñaron su trabajo a un nivel razonable cuando las cosas salen mal. ¿Es así realmente como es?

    
pregunta qce88 23.07.2018 - 06:41
fuente

2 respuestas

6

Muchas personas, incluidos muchos profesionales de la seguridad, ven la seguridad en términos binarios: o estamos seguros o no. Esta es una perspectiva ridícula desde todos los lados.

La seguridad consiste en comprender, medir y administrar risk.

Para poner esto en términos de su lente propuesta de 'éxito':

  1. ¿Nos ha sorprendido una amenaza y el impacto que se ha materializado?
  2. ¿Hemos estado monitoreando y calculando el impacto de las amenazas que conocemos y la efectividad de nuestras mitigaciones en comparación con las amenazas e impactos que se materializaron?
  3. ¿Hemos estado ajustando nuestras mitigaciones en respuesta a las amenazas en evolución para que cuando se materialicen, el impacto sea tolerable?

Si podemos decir "sí" a esos, entonces hemos tenido éxito.

Así es como se mide el éxito de un programa de seguridad de una organización, y así se mide su éxito personal como profesional de la seguridad.

Perseguir el estado de "seguro" es una tarea tonta, especialmente si se considera la realidad de 0 días y el hecho de que la operación segura de una organización depende completamente de personas que no son de seguridad (e incluso las personas de seguridad se equivocan a veces). ).

El camino hacia el éxito es sobre risk y resiliency .

    
respondido por el schroeder 23.07.2018 - 08:53
fuente
0

Hay mediciones positivas y negativas, depende de cómo implementamos las mediciones.

Algunos ejemplos son los siguientes:

Medidas positivas:

  1. Disminuir los incidentes notificados: disminución porcentual de las brechas de seguridad notificadas a la mesa de servicio
  2. Disminución del impacto de los incidentes de seguridad: disminución porcentual del impacto de las violaciones e incidentes de seguridad
  3. Aumento de la conformidad de SLA: aumento porcentual de la conformidad de SLA a las cláusulas de seguridad.

Medidas negativas:

  1. Conformidad con el cumplimiento y la Política - Número de infracciones de incidentes Cumplimiento & Política
  2. Número de medidas preventivas implementadas: número de medidas de seguridad preventivas que se implementaron en respuesta a las amenazas de seguridad identificadas
  3. Duración de la implementación: la duración desde la identificación de una amenaza a la seguridad hasta la implementación de una medida para contrarrestar adecuada
  4. Número de incidentes de seguridad importantes: número de incidentes de seguridad identificados, clasificados por categoría de gravedad
  5. Número de tiempos de inactividad relacionados con el servicio de seguridad: número de incidentes de seguridad que causan la interrupción del servicio o la disponibilidad reducida
  6. Número de pruebas de seguridad Número de pruebas de seguridad y capacitación realizadas
  7. Número de deficiencias identificadas durante las pruebas de seguridad - Cantidad de deficiencias identificadas en los mecanismos de seguridad que se identificaron durante las pruebas

Fuente: enlace

    
respondido por el Sayan 24.07.2018 - 02:54
fuente

Lea otras preguntas en las etiquetas

Haciendo crack del hash MD4 CSRF en la arquitectura de microservicio