Roger Grimes sur la priorisation des conseils de cybersécurité

Ceci est un bon point : Partie du problème est que nous sommes constamment confrontés à des listes…listes de contrôles requis…listes de choses que l'on nous demande de corriger ou d'améliorer…listes de nouveaux projets…listes de menaces, etc., qui ne sont pas classées par ordre de risque. Par exemple, nous recevons souvent des lignes directrices en matière de sécurité des systèmes d'information (par exemple, PCI-DSS, HIPAA, SOX, NIST, etc.) avec des centaines de recommandations. Ils sont tous de grands conseils, qui, si suivis, réduiront le risque dans votre environnement. Ce qu'ils ne nous disent pas, c'est quels sont les recommandations qui auront le plus d'impact pour réduire le mieux le risque dans votre environnement. Ils ne nous disent pas que l'un, deux ou trois de ces choses…parmi les centaines qui nous ont été données, réduiront plus de risques que tous les autres...