La crecimiento de la dirección de la exposición
La mayoría de los equipos de seguridad tienen un buen sentido de lo que es crítico en su entorno. Lo que es más difícil de precisar es lo que crítico de negocios. Estos son los activos que respaldan los procesos sin el que no puede funcionar la empresa. No siempre son los más fuertes o más expuestos. Son los que están vinculados a los ingresos, las operaciones y la entrega. Si uno cae, es más que un problema de seguridad: es un problema comercial.
Durante el año pasado desde que publicamos nuestro enfoque de 4 pasos para mapear y afirmar activos críticos de negocios, mi equipo y yo hemos tenido la oportunidad de involucrarnos profundamente con docenas de talleres de clientes en múltiples verticales de la industria, incluidas las finanzas, la fabricación, la energía y más. Estas sesiones han revelado ideas valiosas sobre cómo las organizaciones están evolucionando su postura de seguridad.
Este artículo analiza ese enfoque, incorporando lo que hemos aprendido en el camino, ayudando a las organizaciones a alinear la organización de dirección de exposición con las prioridades comerciales. Lo que comenzó como un enfoque teórico de 4 pasos ha madurado en una metodología probada con resultados medibles. Las organizaciones que implementan este ámbito han reportado avances de eficiencia notables, algunos reduciendo los esfuerzos de remediación en hasta un 96% al tiempo que fortalecen su postura de seguridad al mismo tiempo donde más importa.
Nuestro compromiso con CISO, directores de seguridad y cada vez más, CFO y ejecutivos de negocios han revelado patrones consistentes en todas las industrias. Los equipos de seguridad no luchan por identificar las vulnerabilidades, sino con la determinación de cuáles representan un peligro comercial auténtico. Mientras tanto, los líderes empresariales quieren certificar que las inversiones de seguridad protejan lo que más importa, pero a menudo carecen de un ámbito para comunicar estas prioridades de modo efectiva a los equipos técnicos.
La metodología que hemos refinado une esta brecha, creando un lengua global entre los profesionales de la seguridad y las partes interesadas comerciales. Las lecciones que siguen a Distill lo que hemos aprendido a través de la implementación de este enfoque en diversos contextos organizacionales. Representan no solo las mejores prácticas teóricas, sino las ideas prácticas obtenidas a través de aplicaciones exitosas del mundo vivo.
Catequesis 1: No todos los activos son creados iguales
Lo que descubrimos: La mayoría de los equipos de seguridad pueden identificar lo que es técnicamente crítico, pero lucha por determinar qué es crítico para el negocio. La diferencia es significativa: los activos críticos de negocios admiten directamente la coexistentes de ingresos, las operaciones y la prestación de servicios.
Takeaway secreto: Concentre sus capital de seguridad en sistemas que, si se vean comprometidos, crearían una interrupción comercial vivo en puesto de solo problemas técnicos. Las organizaciones que implementaron este enfoque dirigido redujeron los esfuerzos de remediación hasta en un 96%.
Catequesis 2: El contexto comercial lo cambia todo
Lo que descubrimos: Los equipos de seguridad se están ahogando en señales: escaneos de vulnerabilidad, puntajes CVSS y alertas de toda la pila de tecnología. Sin contexto comercial, estas señales carecen de significado. Una vulnerabilidad «crítica» en un sistema no utilizado es menos importante que una «moderada» en una plataforma de coexistentes de ingresos.
Takeaway secreto: Integre el contexto comercial en su priorización de seguridad. Cuando sabe qué sistemas admiten funciones comerciales centrales, puede tomar decisiones basadas en el impacto vivo en puesto de la compromiso técnica sola.
Catequesis 3: El método de cuatro pasos funciona
Lo que descubrimos: Las organizaciones necesitan un enfoque estructurado para conectar los esfuerzos de seguridad con las prioridades comerciales. Nuestra metodología de cuatro pasos ha demostrado ser efectiva en diversas industrias:
- Identificar procesos comerciales críticos
- Procesos de plano a la tecnología
- Priorizar según el peligro comercial
- Hacer donde importa
Takeaway: Comience con la forma en que su empresa apetito y gasta moneda. No necesita mapear todo, solo los procesos que causarían una interrupción significativa si se interrumpen.
Para transigir: determine qué sistemas, bases de datos, credenciales e infraestructura admiten esos procesos críticos. El mapeo consumado no es necesario: apunte a «lo suficientemente bueno» para encaminar las decisiones.
Para transigir: Centrarse en los puntos de estrangulamiento: los atacantes de sistemas probablemente pasarían para alcanzar los activos críticos de los negocios. Estas no siempre son las vulnerabilidades más severas, pero arreglarlas ofrece el maduro retorno del esfuerzo.
Takeaway: remediar las exposiciones que crean caminos a los sistemas críticos de negocios primero. Este enfoque dirigido hace que el trabajo de seguridad sea más valioso y más realizable de explicar para el liderazgo.
Catequesis 4: los CFO se están convirtiendo en partes interesadas de seguridad
Lo que descubrimos: Los líderes financieros están cada vez más involucrados en las decisiones de ciberseguridad. Como nos dijo un director de ciberseguridad, «nuestro CFO quiere memorizar cómo vemos los riesgos de ciberseguridad desde una perspectiva comercial».
Takeaway secreto: Enmarcar la seguridad en términos de dirección de riesgos comerciales para obtener apoyo del liderazgo financiero. Este enfoque ha demostrado ser esencial para promover iniciativas y afirmar los presupuestos necesarios.
Catequesis 5: La claridad triunfa sobre el cuerpo de datos
Lo que descubrimos: Los equipos de seguridad no necesitan más información: necesitan un mejor contexto para dar sentido a lo que ya tienen.
Takeaway secreto: Cuando puede conectar el trabajo de seguridad con los resultados comerciales, las conversaciones con el liderazgo cambian fundamentalmente. Ya no se tráfico de métricas técnicas sino de protección comercial y continuidad.
Catequesis 6: La efectividad proviene del enfoque
Lo que descubrimos: Las organizaciones que implementan nuestro enfoque seguidor por el negocio informaron mejoras de eficiencia dramática, y algunos reducen los esfuerzos de remediación en hasta un 96%.
Takeaway secreto: La excelencia en la seguridad no se tráfico de hacer más, se tráfico de hacer lo que importa. Al centrarse en los activos que impulsan su negocio, puede conquistar mejores resultados de seguridad con menos capital y demostrar un valencia claro para la ordenamiento.
Conclusión
El delirio a la seguridad efectiva no se tráfico de afirmar todo, sino de proteger lo que en realidad impulsa su negocio. Al alinear los esfuerzos de seguridad con las prioridades comerciales, las organizaciones pueden conquistar una protección más cachas y operaciones más eficientes, transformando la seguridad de una función técnica en un habilitador comercial importante. ¿Quiere obtener más información sobre esta metodología? Echa un vistazo a mi seminario web flamante aquí y aprende cómo comenzar a proteger lo que más importa.
Cinta de comprobación de descuento:
Comenzar: cómo afirmar sus activos críticos de su negocio
Paso 1: Identificar procesos comerciales críticos
□ Programe discusiones centradas en los líderes de la pelotón de negocios para identificar procesos centrales de coexistentes de ingresos
□ Revise cómo la empresa apetito y gasta moneda para superficiales de detención valencia operaciones
□ Crear una breve inventario de procesos comerciales que causarían una interrupción significativa si se interrumpe
□ Documente estos procesos con descripciones claras de su importancia comercial
Paso 2: Carta de procesos comerciales a la tecnología
□ Para cada proceso crítico, identifique los sistemas de soporte, bases de datos e infraestructura
□ Documente qué credenciales de delegación y puntos de llegada protegen estos sistemas
□ Consulte con los propietarios de sistemas sobre dependencias y requisitos de recuperación
□ Reunir los hallazgos de CMDBS, documentos de construcción o entrevistas directas
Paso 3: Priorizar según el peligro comercial
□ Identificar los puntos de estrangulamiento Los atacantes probablemente pasarían para alcanzar activos críticos
□ Evalúe qué exposiciones crean rutas directas a los sistemas críticos de negocios
□ Determine qué sistemas tienen los SLA o Windows de recuperación más ajustados
□ Crear una inventario priorizada de exposiciones basada en el impacto comercial, no solo la compromiso técnica
Paso 4: convierte las ideas en acto
□ Enfoque los esfuerzos de remediación en exposiciones que afectan directamente los sistemas críticos empresariales
□ Desarrolle una comunicación clara sobre por qué estas prioridades son importantes en términos comerciales
□ Rastree el progreso basado en la reducción del peligro a las funciones comerciales centrales
□ Presente los resultados al liderazgo en términos de protección comercial, no solo métricas técnicas
Pinchar la brecha entre los hallazgos técnicos y el liderazgo ejecutor, como se destaca en las lecciones 4 y 5, es una de las habilidades más críticas para un CISO innovador. Para ayudarlo a dominar este diálogo esencial, ahora estamos ofreciendo nuestro curso práctico, «Riesgos de informes a la Congregación», completamente gratis. Este software está diseñado para equiparlo con los marcos y el lengua necesarios para mudar sus conversaciones con el tablero y presentar con confianza la seguridad como una función comercial estratégica. Acceda al curso gratis hoy y comience a construir una relación más cachas con su equipo de liderazgo.
Nota: Este artículo fue escrito expertamente por Yaron Mazor, asesor principal de clientes en XM Cyber.
