Diventa Autore per CoreTech | Scopri di più
03/08/21 CoreTech Blog
Le piccole e medie imprese sono in grado di gestire la loro sicurezza delle informazioni, inclusa la sicurezza delle applicazioni Web, in modo molto diretto. Il numero di risorse, vulnerabilità e incidenti è abbastanza basso da poter fornire al responsabile della sicurezza una visione chiara della posizione di sicurezza IT. Tuttavia, con la crescita della tua attività e l'espansione del tuo team di sicurezza, i tuoi metodi di gestione della sicurezza dovranno fare sempre più affidamento su metriche / KPI di sicurezza informatica.
Man mano che la tua azienda diventa un'azienda o una società, la sicurezza informatica sarà fino al livello del consiglio di amministrazione. I tuoi leader aziendali includeranno molto probabilmente non solo un CIO e / o CSO, ma anche un CISO (Chief Information Security Officer) che sarà responsabile dell'intero programma di sicurezza informatica. Il loro ruolo sarà focalizzato sul processo decisionale relativo alla valutazione del rischio e alla gestione del rischio e non saranno in grado di entrare nei dettagli delle tecnologie dell'informazione, ad esempio i dati di gestione delle vulnerabilità web. È qui che un efficace programma di metriche di sicurezza diventa la chiave per la sicurezza dell'organizzazione: diventa il mezzo di comunicazione tra un esperto di sicurezza informatica, l'intero team IT e un esperto aziendale.
Se sei responsabile della sicurezza delle applicazioni Web in una piccola impresa, è una buona idea iniziare a pensare alle metriche di sicurezza informatica per le applicazioni Web all'inizio e non solo quando ti viene chiesto di fornirle a coloro che sono nella sala riunioni. Alcune di queste metriche, sfortunatamente, richiedono molto di più della semplice stampa di un report di gestione da un'analisi delle vulnerabilità.
Ecco le metriche di sicurezza informatica più tipiche relative alla sicurezza delle applicazioni Web che potrebbe essere necessario fornire alla tua suite C. Si noti che tutte queste metriche devono essere monitorate sia come valori più recenti che come tendenze nel tempo.
Il più ovvio e più semplice da ottenere metrica per la sicurezza delle applicazioni Web è il numero totale di vulnerabilità trovate, sia utilizzando la scansione automatizzata delle vulnerabilità che ulteriori test di penetrazione manuale. Tuttavia, poiché le conseguenze delle vulnerabilità web possono essere molto diverse, è utile suddividerle in classi di gravità.
I meccanismi di reporting sono molto utili per fornire questa metrica a causa delle funzionalità automatiche di valutazione delle vulnerabilità. Lo strumento classifica automaticamente le vulnerabilità in base alla loro gravità in base al potenziale impatto, alla facilità di sfruttamento e altro ancora.
Tuttavia, il CISO potrebbe volere che le vulnerabilità siano classificate in base all'impatto aziendale dell'asset Web, ad esempio una vulnerabilità importante in un sito di marketing secondario potrebbe avere un impatto molto minore rispetto a una vulnerabilità minore in un sistema finanziario principale.
Il numero di vulnerabilità ricorrenti è una misura molto importante dell'efficienza del processo di correzione e della qualità della formazione degli sviluppatori. Se la stessa vulnerabilità nella stessa risorsa Web viene riscoperta durante diverse scansioni consecutive delle vulnerabilità, significa che non viene riparato. Il fatto che non venga risolto di solito significa che non ci sono abbastanza risorse per risolverlo, il che potrebbe essere importante per la scheda.
D'altra parte, se una vulnerabilità viene corretta e continua a riapparire nello stesso target o in un target simile, potrebbe significare che si è verifica un problema con l'istruzione degli sviluppatori e le prestazioni generali di sicurezza. Questo problema potrebbe essere risolto introducendo la scansione delle vulnerabilità Web all'inizio del SDLC, ma, ancora una volta, si tratta di un segnale importante per la scheda perché influisce su tutte le operazioni di sicurezza.
Un'altra metrica importante (ancora una volta, utile per essere suddivisa in diverse classi di gravità) è il tempo che di solito è necessario per la vulnerabilità da sistemare. Questi dati del tempo di risposta possono essere acquisiti direttamente dallo scanner (tempo tra la prima scoperta della vulnerabilità e l'ultima occorrenza di questa vulnerabilità), o da uno strumento di gestione delle vulnerabilità / monitoraggio dei problemi.
Simile al numero di vulnerabilità ricorrenti, questa metrica dovrebbe presentare alla suite C lo stato corrente e la tendenza dell'efficienza di correzione. Ad esempio, se il tempo medio di correzione continua ad aumentare, significa che il carico dello sviluppatore è eccessivo e devono essere adottate misure per ridurre il numero di problemi che richiedono più di un semplice applicazione di patch.
La suite C si concentra fortemente sul budget IT e quindi le informazioni finanziarie dirette sono molto preziose per loro. Sfortunatamente, ottenere dati sul costo della correzione non è così facile come nel caso di misurazioni precedenti perché non può essere acquisito direttamente da uno scanner di vulnerabilità. Uno scanner di vulnerabilità può valutare quanto tempo ci vuole per risolvere la vulnerabilità, ma non può valutare quanto tempo la vulnerabilità è bloccata nella coda e quanto tempo e sforzo ci vuole effettivamente per risolverlo.
Il modo più semplice per stimare il costo della correzione sarebbe valutare il tempo effettivo speso per la correzione da parte degli sviluppatori, che dovrebbe essere acquisito direttamente dal sistema di monitoraggio dei problemi. La valutazione dei costi si baserebbe quindi sui costi medi di manodopera degli sviluppatori.
Oltre alle potenziali minacce informatiche e ai vettori di attacco, come le vulnerabilità delle applicazioni Web, la suite C deve anche conoscere eventuali incidenti di sicurezza informatica associati a questi potenziali vettori di attacco informatico. Queste informazioni sono necessarie per mantenere un efficace programma di gestione del rischio.
La scansione delle vulnerabilità Web si concentra completamente sulla prevenzione e quindi i dati sugli incidenti devono essere acquisiti da altri tipi di sistemi, ad esempio firewall di applicazioni Web o sistemi di rilevamento delle intrusioni.
Mentre le metriche precedenti mostrano la qualità delle risorse possedute (dal punto di vista della sicurezza informatica), questa metrica mostra il potenziale di perdite reali come quelle causate da violazioni dei dati. Questi dati aiutano la C-suite a prendere decisioni relative al rischio informatico, ad esempio, li aiuta a decidere se investire di più nella risposta agli incidenti o nelle misure preventive.
Le metriche di cui sopra non sono standard del settore: sono solo esempi del tipo di dati che la tua suite C potrebbe richiedere. Le metriche e gli indicatori KPI effettivi differiranno da organizzazione a organizzazione, a seconda delle dimensioni dell'azienda, dei tipi di risorse e persino dell'approccio della suite C.
Conoscere queste misure in anticipo e prepararsi a raccoglierle utilizzando, ad esempio, uno scanner con ampie capacità di reporting è una buona idea per qualsiasi professionista della sicurezza a livello di gestione in un'azienda in crescita.