Это важная точка зрения:
Часть проблемы заключается в том, что нам постоянно предлагают списки... списки обязательных контролей... списки вещей, которые необходимо исправить или улучшить... списки новых проектов... списки угроз и т.д., которые не ранжированы по уровню риска. Например, нам часто предоставляют руководство по кибербезопасности (например, PCI-DSS, HIPAA, SOX, NIST и т.д.) с сотнями рекомендаций. Все эти рекомендации отличные, и если их выполнять, они уменьшат риск в вашей среде.
Но что они не говорят вам, так это то, какие из этих рекомендаций будут иметь наибольшее влияние на уменьшение риска в вашей среде. Они не говорят вам, что одна, две или три из этих вещей... среди сотен, которые вам были даны, уменьшат риск больше, чем все остальные...
www.schneier.com
Roger Grimes on Prioritizing Cybersecurity Advice
Create attached notes ...