Menikah, berkencan, atau membuang teknologi keamanan Anda

Posting tamu ini ditulis oleh Javvad Malik yang bio lengkapnya dapat ditemukan di akhir artikel ini. Semua pemikiran dan pendapat adalah milik penulis dan tidak mencerminkan Techaeris atau stafnya.

Anda mungkin akrab dengan permainan, menikah, berkencan, atau berpisah. Di sinilah Anda diberi pilihan tiga orang dan Anda harus mengatakan dari ketiganya, yang mana yang akan Anda pilih untuk nikahi, kencani, atau tinggalkan.

Ini adalah permainan yang menyenangkan untuk dimainkan bersama teman-teman, di mana Anda biasanya memilih tiga orang dari acara TV atau film tertentu dan memilih. Misalnya, Anda mungkin harus memilih di antara tiga aktor berbeda yang memerankan James Bond. Jadi, dari Sean Connery, Pierce Brosnan dan Daniel Craig, siapa yang akan Anda nikahi, siapa yang akan Anda kencani, dan siapa yang akan Anda buang?

Ini menjadi sangat lucu ketika disajikan dengan tiga pilihan yang sama-sama tidak menarik. Ini memaksa Anda untuk memikirkan prioritas Anda dan apa yang penting bagi Anda. Terkadang Anda mendasarkan keputusan Anda pada hal-hal jangka pendek. Seperti, katakanlah Anda memilih untuk menikahi Sean Connery karena dia yang tertua dan karena itu mungkin yang terkaya. Atau mencampakkan Daniel Craig karena wajahnya selalu menyerupai seseorang yang hanya menggigit lemon.

Apa hubungan ini dengan keamanan yang saya dengar Anda tanyakan? Yah, hampir semuanya.

Dengan RSA mendekati kita, mereka yang hadir, dan bahkan mereka yang tidak akan dibombardir dengan pesan tentang bagaimana vendor dapat menyelesaikan semua masalah keamanan yang dihadapi organisasi Anda. Jika organisasi Anda ada di pasar untuk membeli a produk keamanan, itu seperti memainkan permainan menikah yang paling kompleks, berkencan atau memutuskan.

Apa yang Anda inginkan dari kehidupan (keamanan)?

Produk dan strategi keamanan jarang, jika pernah, merupakan investasi mandiri. Melainkan merupakan bagian dari portofolio keamanan yang lebih luas.

Tapi, dalam skema besar, seperti apa portofolio keamanan yang kuat itu?

Sayangnya, jawabannya mungkin tidak semudah beberapa orang percaya.

Pada 2013, 451 Direktur Penelitian Wendy Nather menerbitkan penelitian berjudul, "biaya keamanan yang sebenarnya," di mana Nather mewawancarai lusinan CISO. Pertanyaan yang ditanyakan adalah:

"Saya seorang CISO baru. Ini adalah hari pertama saya bekerja di sebuah organisasi yang belum pernah melakukan pengamanan sebelumnya. Apa yang harus saya beli? "

Hasilnya menyoroti bahwa bahkan para ahli tidak bisa setuju. Beberapa menyebutkan sedikitnya empat teknologi yang berbeda dan yang lainnya menyatakan sebanyak 31. Hampir semua orang menolak jawaban mereka dengan “itu tergantung”.

Menariknya, garis dasar minimum yang umum, cocok dengan PCI dan termasuk firewall dan AV.

Apakah ini berarti kepatuhan mengharuskan pembelian keamanan? Ya, itu jelas merupakan faktor yang berkontribusi. Model pengeluaran lain yang banyak perusahaan patuhi termasuk benchmarking, didorong metrik, atau didorong bukti.

Metode informal lain yang sering terlihat dalam organisasi yang memiliki kematangan keamanan yang lebih rendah termasuk pengeluaran minimum yang diperlukan hingga pelanggaran / insiden berikutnya. Atau sebaliknya, belanja sampai anggaran habis.

Rick Holland (sebelumnya Forrester) menciptakan frasa 'pengeluaran mendalam' untuk menggambarkan berapa banyak organisasi akan menghabiskan uang untuk teknologi terbaru dan terhebat dengan janji palsu 'pertahanan dalam kedalaman'. Namun, ini sering mengarah pada pengeluaran berlebih di beberapa daerah dan kekurangan pengeluaran di tempat lain.

Perspektif yang menarik adalah disajikan oleh Sounil Yu pada konferensi RSA di mana ia mempresentasikan matriks pertahanan dunia maya berdasarkan kelas aset (perangkat, aplikasi, jaringan, data, pengguna) terhadap fungsi operasional (mengidentifikasi, melindungi, mendeteksi, merespons, memulihkan).

Meskipun ini bukan model yang sempurna, itu pasti dapat membantu perusahaan mengevaluasi seluruh portofolio dan menyesuaikan di mana letak kekurangan, atau di mana ada banyak teknologi yang tumpang tindih.

Buang mereka!

Organisasi seringkali miskin dalam membuang produk keamanan yang tidak lagi mereka perlukan. Produk keamanan tidak kebal terhadap masalah yang sama yang dihadapi sistem warisan lainnya – kerentanan, kemacetan, atau masalah kinerja dapat ada.

Bahkan, menurut Status Veracode dari Laporan Keamanan Perangkat Lunak, produk keamanan gagal dalam 74% kasus uji. Apakah organisasi Anda benar-benar membutuhkan tanggung jawab semacam itu?

Lebih dari itu, produk keamanan yang berlebihan dapat menghambat pembelian di masa depan. Memiliki agen keamanan titik akhir yang berlebihan dapat melarang pemasangan teknologi keamanan titik akhir yang lebih baru dan lebih tepat karena di atas kertas setidaknya, terdapat kontrol.

Rakware keamanan memperparah masalah, di mana perusahaan dapat membeli produk keamanan tetapi tidak pernah berhasil menerapkannya sepenuhnya atau mendapatkan manfaat penuhnya – karena itu berakhir di rak.

Sering kali, dibutakan oleh produk baru yang mengkilap, perusahaan dapat mengabaikan kemampuan yang sudah ada dalam produk yang mereka miliki. Jadi daripada membeli alat lain, lebih baik memotong dan merampingkan portofolio yang ada. Ini tidak hanya meningkatkan kinerja, tetapi menghasilkan integrasi yang lebih baik, komunikasi, dan akhirnya harga.

Untuk alasan ini, platform keamanan komprehensif yang memiliki banyak fitur seringkali dapat bekerja jauh lebih baik dalam jangka panjang jika dibandingkan dengan produk-produk point.

Bingung naksir untuk cinta sejati

Cukup menghabiskan pada teknologi keamanan tidak cukup. Sementara membeli teknologi saja dapat mengarah ke rak perangkat, ada efek samping lain di mana melemparkan sumber daya ke teknologi keamanan tanpa rencana yang tepat dapat mengakibatkan staf menjadi sangat sibuk – tetapi tidak selalu produktif.

Misalnya, melakukan pemindaian kerentanan secara teratur adalah ide yang bagus. Organisasi harus tahu di mana kerentanan mereka ada. Tetapi hanya berinvestasi dalam alat dan menghasilkan laporan setiap bulan tidak cukup. Ini hanya akan menjadi biaya yang akan membuat staf terikat dalam menghasilkan laporan. Sebaliknya, perusahaan harus melihat kualitas output dan kemajuan apa yang sedang dilakukan untuk mencapai tujuan keamanan.

Meskipun godaan mungkin untuk berinvestasi dalam teknologi keamanan yang menghasilkan grafik dan metrik yang bagus, kadang-kadang bisa berguna seperti payung yang melaporkan berapa banyak hujan yang berhenti.

Jadi, yang terbaik adalah mengikat investasi teknologi keamanan kembali ke tujuan keseluruhan dan secara teratur memeriksa untuk memastikan mereka berkontribusi terhadap tujuan tersebut, tidak hanya sebagai produk individu, tetapi sebagai bagian dari portofolio keamanan yang lebih luas.

Letakkan cincin di atasnya

Tidak ada strategi investasi produk keamanan yang benar atau salah, seperti halnya tidak ada orang yang tepat untuk menikah.

Tetapi penting untuk mempertimbangkan apa tujuan keseluruhan, dan dari mana ancaman terbesar bagi organisasi Anda berasal. Tentu, mungkin produk keamanan luar biasa pada apa yang dilakukannya. Tetapi jika itu tidak menyelesaikan masalah bagi Anda, lalu mengapa berkomitmen untuk kontrak multi-tahun?

Demikian pula, lihat seberapa besar Anda harus membuat komitmen. Akankah kesuksesan produk bergantung pada Anda melemparkan sumber daya yang cukup besar ke dalamnya, termasuk konsultan eksternal untuk membuatnya berfungsi dengan baik? Atau bisakah Anda menjadwalkan dan mengatur hal-hal untuk dijalankan secara otomatis dengan penyebaran cepat?

Penting juga bahwa perusahaan terus mencari jaminan bahwa investasi keamanan berfungsi sebagaimana mestinya – dan jika tidak, ada proses keluar untuk dapat secara efektif menghapus produk dan menggantinya jika diperlukan, sehingga tidak meninggalkan teknologi yang berlebihan membanjiri perusahaan. perairan.

Ketika Anda berjalan di lantai RSA atau konferensi lain, dan Anda sedang dibicarakan dengan baik oleh seorang tenaga penjualan yang menawan, tanyakan pada diri Anda sendiri, apakah ini produk keamanan yang Anda benar-benar ingin nikahi, kencani, atau buang?

Tentang Penulis:

Javvad Malik adalah Advokat Kesadaran Keamanan di KnowBe4, seorang pembicara acara blogger dan komentator industri yang mungkin paling dikenal sebagai salah satu blogger video paling produktif di industri ini dengan perspektif khasnya yang segar dan ringan tentang keamanan yang berbicara baik secara teknis maupun non- audiensi teknis sama.

Sebelum bergabung KnowBe4, Javvad adalah seorang Advokat Keamanan untuk AlienVault dan Analis Senior di 451's Enterprise Security Practice (ESP), memberikan perspektif yang mendalam dan tepat waktu tentang keadaan keamanan perusahaan dan tren yang muncul di samping riset kompetitif, produk baru dan go-to- penentuan posisi pasar, uji tuntas investasi, dan strategi M&A untuk vendor teknologi, perusahaan ekuitas swasta, pemodal ventura, dan pengguna akhir. Sebelum bergabung dengan 451 Research, ia adalah konsultan keamanan independen, dengan karir selama lebih dari 12 tahun bekerja untuk beberapa perusahaan terbesar di sektor keuangan dan energi. Selain menjadi penulis dan penulis bersama beberapa buku, Javvad adalah salah satu pendiri konferensi Keamanan B-Sides London.

* Kami menggunakan tautan afiliasi yang menghasilkan pendapatan dan dapat memperoleh komisi untuk pembelian yang dilakukan dengan menggunakannya. Baca lebih lanjut di halaman penafian kami.

Pos terkait

Back to top button