I'm positive many of you are familiar with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are benefits to detecting software security defects early. [Image reference: Software Security Engineering: A Guide for Project Managers.]
In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, it is ultimately cheaper to design, code, sell, and support a more secure software product than a more insecure software product. Achieving this goal requires recognizing this advantage, investing in developers and processes that work, and dealing with exceptions (defects) as soon as possible through detection and response capabilities, even including customer-facing organizations (like PSIRTs).
I'm not aware of any studies supporting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following assertion, but I would be interested in feedback if you know any. I think it should be obvious that it's also cheaper to design, build, run, and support more secure computing assets than more insecure computing assets. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words:
- It is not cheaper to run legacy platforms, operating systems, and applications because "updates break things."
- It is not cheaper to delay patching because of "business impact."
- It is not cheaper to leave compromised systems operating within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "productivity hit" taken when a system must be interrupted to enable security analysis.
- It is not cheaper to try to manually identify and remove individual elements of malware and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r persistence mechanisms, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than rebuild from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ground up (and apply proper updates and configuration improvements to resist future compromise).
- It is not cheaper to watch intellectual property escape cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise in order to prove that intruders are serious about stealing an organization's data.
Security doesn't make money; security is a loss prevention exercise. It's tough to justify security spending. However -- and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 killers:
- It's easy to show cost savings when experienced, professional system administrators are replaced by outsourced providers who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest bidders.
- It's easy to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial benefit of continuous availability of a revenue-producing system, or, conversely, easy to show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial cost of downtime of a revenue-producing system.
Unfortunately, being seduced by those arguments ignores intrusion debt. One day cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intrusion debt of poorly-run systems will be claimed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intruders already inside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enterprise or those who are unleashed like an earthquake. Worse for you and me, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of dealing with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster are likely to be borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security team!
I thought of this vicious cycle when reading about The Sichuan earthquake in last week's Economist magazine:
In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 days after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earthquake, senior officials vowed to investigate whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r shoddy construction was to blame for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 destruction of more than 7,000 classrooms in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue was soon played down...
Mr Ai [investigating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster] says cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 refusal of central leaders to admit policy failures has exacerbated parents’ frustration. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1990s, he says, shoddy school buildings were erected across China because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government’s drive to provide enough classrooms for all children to undergo nine years of compulsory education. Building costs were supposed to be shared by central and local authorities, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter often failed to chip in. This led to quality problems.
Ultimate, security is an IT problem, not a "security" problem. The faster asset owners realize this and be held responsible for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less intrusion debt will mount and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greater cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chance that enterprise assets will survive digital earthquakes. Cheap IT is ultimately expensive -- more expensive than proper investment in IT in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first place.
Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.
10 comments:
Excellent article, i liked it a lot. I think that what you say its true, cheaper is expensive.
I don't know of any data eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r to support this, but I do agree that you're correct.
However, this is all based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accepted assumption that an incident will occur. Not everyone seems to believe that, or at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir actions don't seem to be in line with it. Spending for security still seems to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gamble that an incident won't occur.
...this is all based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accepted assumption that an incident will occur.I'm not sure I agree that this is an assumption. Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Verizon Security reports and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, as well as my own experience as an incident responder, a great number of incidents occur without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim organization's knowledge, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to be told by an outside party...be it someone attacked from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site, a bank or Acquirer doing fraud analysis, etc.
You're correct about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gamble...I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue is that IT managers are faced with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certainty of a sales guy sitting in front of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m with a purchase order, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to weigh that against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential/perceived uncertainty of an incident actually occurring. The issue is that in most cases, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents have already occurred.
Not everyone seems to believe that, or at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir actions don't seem to be in line with it. Spending for security still seems to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Gamble that an incident won't occur.
Berkey Filters
@Richard
I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post above this one is a spam you want to delete. Talk about insidious...taking part of an earlier comment!
@Keydet89
I think I poorly truncated my earlier comment. My point is that if an organization does not accept that an incident will occur, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it seems to always be in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir best interesting to go cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 route that appears cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cheapest, which worsens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security gamble for us. This would be like not assuming a category 5 hurricane will ever happen in location X, so location X opts to only build levees to withstand category 1-4.
@Richard -
You want ROI and/or ROSI...except you usually don't want ROI and/or ROSI. I recommend reading "How to Measure Anything" by Hubbard to get over your quantophobia. ;-)
Pete
Pete, when you can run a profitable (or heck, break-even) company that does nothing but security (but doesn't sell it as a service to external customers) cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I'll recognize security as having ROI. Until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n security remains a loss avoidance exercise that supports ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs who sell products and/or services to external customers.
@Richard -
Okay, if we simply don't use those terms are you onboard with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to measure costs, risk, and losses (we must do this to determine how much was avoided)? And are you okay with using standard economic and risk management techniques to perform cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se measurements?
Note that you are doing this in a broad way, anyway, any time you assert that something is NOT CHEAPER...right? Doesn't it make sense to be clearer about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magnitude and extent by which you are making those assertions?
(Digressing back to your concerns about ROI, profit includes revenue and expenses. So if I hold revenue constant and reduce expenses, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n my profit increases. So if a security solution reduces expenses, it increases profit. Voila!)
Pete
Pete, "measuring" risk is a joke. Measuring loss is mostly impossible. (Tell me how much you lose when a competitor steals your data to improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir products over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next 10 years.) Measuring cost is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exercise most likely to produce trustworthy results since you can track money leaving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.
Measuring cost is what I refer to in this post. I'd love to measure loss but it's not going to yield real numbers. Measuring "risk" is a giant guess.
Regarding "ROI," I have a security program I'd like you to "invest" in. Just sent me a check for whatever amount you like. When I don't send you any money back maybe you'll see where I'm coming from regarding "ROI." :)
Post a Comment