Das ist ein wichtiger Punkt:
Ein Teil des Problems besteht darin, dass wir ständig Listen erhalten... Listen erforderlicher Kontrollen... Listen von Dingen, die wir verbessern oder beheben sollen... Listen von neuen Projekten... Listen von Bedrohungen und so weiter, die nicht nach Risiken priorisiert sind. Zum Beispiel erhalten wir oft eine Richtlinie für Cybersicherheit (z.B. PCI-DSS, HIPAA, SOX, NIST usw.) mit Hunderten von Empfehlungen. Diese Empfehlungen sind alle großartig und wenn man sie befolgt, reduzieren sie das Risiko in Ihrem Umfeld.
Was sie Ihnen jedoch nicht sagen, ist, welche der empfohlenen Dinge den größten Einfluss auf die beste Risikoreduzierung in Ihrem Umfeld haben werden. Sie sagen Ihnen nicht, dass eine, zwei oder drei dieser Dinge... unter den Hunderten, die Ihnen gegeben wurden, mehr Risiko reduzieren werden als alle anderen...
www.schneier.com
Roger Grimes on Prioritizing Cybersecurity Advice
Create attached notes ...