Ich denke, das ist eine falsche Zweiteilung, und Ihr CSO ist einfach albern.

Obwohl ich die Albernheit mag, sollte die Sicherheitsabteilung die Risikominderung vorantreiben. Streitigkeiten über Bereiche der "Verantwortung" sind offensichtlich nicht produktiv, obwohl sie möglicherweise in die allgemeine Unternehmenskultur passen.

Während es verschiedene Möglichkeiten gibt, den Bereich der Sicherheit und ihre Verantwortung zu qualifizieren - die CIA-Triade ist eine, aber es gibt andere -, würde ein reifer, verantwortungsbewusster CSO zumindest auf eine Lösung drängen.

Ich habe einige sagen hören, dass die Unterscheidung zwischen "Sicherheitsrisiko" und "operationellem Risiko" darin besteht, ob es sich um einen potenziellen Bedrohungsakteur handelt oder nur um einen Unfall oder Missbrauch.
Dies macht zwar viel aus Sinn, ich denke, ein pragmatischerer Ansatz wäre, einfach zu akzeptieren, dass es erhebliche Überschneidungen zwischen den beiden gibt - und das bedeutet nur, dass es mehr Ressourcen gibt, um an dem Problem zu arbeiten, und nicht, dass jeder die Verantwortung abtreten kann.

Das heißt, in diesem speziellen Fall würde ich empfehlen, dass der CSO (oder die technischen Mitarbeiter in seiner Abteilung) das Minderungsverfahren vorantreibt, einen Rahmen für das Risikograd definiert usw. und dann die Hand reicht Es geht los, um eine passende Lösung zu implementieren. Vielleicht können die Sicherheitsleute eine Lösung empfehlen, oder sie sollten nur Metriken definieren, die die Lösung erfüllen soll, je nachdem, wie technisch / praktisch das Team ist.

Auf diese Weise kann das Unternehmen damit umgehen, dass das Risiko zwar ein Sicherheitsrisiko darstellt, die Lösung jedoch ein operatives.

Obwohl ich mit dem CSO im Allgemeinen nicht einverstanden bin, kann ich einen Grund erkennen, warum er diese Linie gezogen hat.

Die Frage kann auf die Abgrenzung zurückzuführen sein, wer Minderungs- und Sanierungsbemühungen leiten muss. DDoS wirkt sich natürlich auf die Verfügbarkeit aus, wird jedoch normalerweise vom Operations-Team verwaltet. Wenn ein DDoS-Ereignis eintritt, hat Ihr CSO möglicherweise das Gefühl, dass er nichts tun kann, und möchte, dass eine andere Partei die Verantwortung übernimmt. Mit anderen Worten, rufen Sie den CSO nicht um 2 Uhr morgens an, wenn DDoS stattfindet, sondern um 2 Uhr morgens, wenn ein Verstoß vorliegt.

Berücksichtigen Sie den Umfang der CIA-Triade. Sollte letztendlich jeder CSO für die Brand- und Sicherheitssysteme der Einrichtung im Serverraum verantwortlich sein? Brände sind auch ein Verfügbarkeitsrisiko. In einigen Organisationen sollte diese Verantwortung jedoch einem Facility Manager und nicht dem CSO übertragen werden (obwohl der CSO auch in diesem Bereich eine Hand haben sollte). In der ähnlichen Situation wie oben, wenn der Feueralarm um 2 Uhr morgens ausgelöst wird, rufen Sie an der Facility Manager, nicht der CSO. Ihr CSO zieht möglicherweise diese Art von Linie, um Brände und DDoS als das gleiche Risiko für das Unternehmen gleichzusetzen.

Es ist jedoch auch möglich, dass ein DDoS-Ereignis eine Ablenkung oder Hebelwirkung für einen umfassenderen Sicherheitsangriff darstellt. Daher glaube ich, dass der CSO auf einer bestimmten Ebene noch beteiligt sein muss.

Genau genommen sind Sie in Ihrer Einschätzung korrekt, und ich stimme Ihnen im Allgemeinen zu, aber es kann zu einem anderen Verständnis der Rollendefinitionen und der verfügbaren Ressourcen kommen.

DDoS-Angriffe fallen aufgrund der oben genannten Triade sowohl in Betriebs- als auch in Sicherheitskategorien. Sicherheitspersonal kennt sich jedoch eher mit Angriffen aus, so wie AviD sagte, sollte es eine Kommunikation zwischen den Sicherheits- und IT-Teams geben, um das Problem zu lösen, anstatt Stunden für Forschungsarbeiten zu verlieren, die durch einen 10-minütigen Anruf gelöst werden könnten.

Aus technischer Sicht ist er korrekt, aber der "akzeptierte Umfang" von Sicherheitsbedrohungen umfasst die Verfügbarkeit. Es steht jedoch allen Unternehmen frei, Verantwortlichkeiten nach eigenem Ermessen zuzuweisen, sodass Ihr CSO möglicherweise lediglich darauf hinweist, dass es nicht seine Verantwortung ist, dieses bestimmte Risiko zu mindern.

Ich würde es sowohl als betriebliches (oder geschäftliches) als auch als Sicherheitsrisiko betrachten.

Biz:

Unternehmen arbeiten mit Reputation und wenn der Ruf infolge eines DDOS-Angriffs einen Wurf auslöst; wenn die Führungskräfte der C-Ebene im Schadenskontrollbereich versagen. Die Situation ist besonders gravierend, wenn Sie einen B2B-Dienst ausführen.

Sicherheit:

Cracker können die DDOS-Angriffe als Teil der Aufmerksamkeitsumleitung verwenden Strategie, um andere gefährdete Gebiete anzugreifen oder zu finden.