As leis de movimento de Newton servem como uma referência adequada ao cenário de segurança de hoje.
Contrariamente à crença popular, de uma organização Segurança de TI Não é uma configuração que vem ligada por padrão. As ações precisam ser tomadas antes que uma organização possa afirmar que seus negócios estão seguros. Obviamente, o corolário disso é que, embora uma organização possa ter políticas, procedimentos e tecnologia em vigor para que se considere segura, esse estado durará apenas enquanto não forem degradados por forças externas. 17
This picture has interesting parallels with Newton’s laws of motion, which have formed the bedrock of classical mechanics since they were first stated by the famed scientist in the late 17 th Century e levou os cientistas a um despertar da maneira que entendemos o mundo e progredimos através dele.
A primeira Lei do Movimento afirma que um objeto permanecerá em repouso ou em movimento contínuo (inércia) até que seja atuado por outra força. A Segunda Lei afirma que, se forem atendidos pela referida força, a taxa de mudança de seu momento será igual ao tamanho da força. Por fim, a terceira lei afirma que todas as ações terão reações iguais e opostas. Como qualquer coisa com massa, eles também permanecerão na inércia ou em um estado inseguro, até que sejam atacados. Para ter segurança adequada, eles precisam adotar uma velocidade de mudança igual a ameaças percebidas. Isso ocorre porque, para cada incidente, uma medida reacionária igual e oposta será necessária para mitigá -lo. Mas uma vez que o principal impulso de segurança foi alcançado, ajustar e atualizar a segurança existente é muito mais fácil do que tentar construí -la do zero. Deixando de lado a matemática para expressar a situação de maneira mais simples, uma grande organização pode esperar atrair ameaças de acordo com seu tamanho, especialmente se já estiver particularmente vulnerável a elas. Se você é uma organização de médio e grande porte que tenta criar mudanças no estado de segurança existente da sua organização, ou se estiver reagindo a ameaças políticas ou ambientais, precisará de mais tempo ou mais recursos para implementar a segurança adequada.
Organizations can gain a valuable perspective from the story contained in these three simple statements. Like anything with mass, they too will remain at inertia, or in an insecure state, until they are attacked. To have adequate security they need to adopt a speed of change equal to perceived threats. This is because for every incident an equal and opposite reactionary measure will be required to mitigate it.
To secure an organization, security must be created and maintained – some effort will always be required to continually update, maintain and adjust security processes in order to counteract the negative influence of external forces. But once the main thrust of security has been achieved, adjusting and upgrading existing security is much easier than to try and build it from scratch.
There is one more parallel that begs to be drawn from Newton’s law of gravitation: that every particle attracts another with a force proportional to the product of their masses inversely proportional to the distance between them. Putting mathematics aside to express the situation more simply, a large organization can expect to attract threats in line with its size, especially if it is already particularly vulnerable to them.
What this tells us that there is a relationship between resources, the speed at which your organization alters its state of security and the size of the organization itself. If you’re a medium- to large-sized organization attempting to create change in your organization’s existing state of security, or if are reacting to political or environmental threats, you will need either more time or more resources to implement adequate security.
The majority of organizations that attempt to drive changes out of a reaction to an incident yield little in the way of long-term security benefits. Organizações E seus tomadores de decisão que já lidaram com esses incidentes precisam se fazer algumas perguntas difíceis: o incidente foi previsível? Não havia como terem ponderado a possibilidade desse tipo de incidente no passado? As políticas ou procedimentos para mitigar os danos foram implementados se o orçamento, os recursos ou o tempo para implementá -los existisse antes do incidente?
segurança (ou má segurança) é, na maioria das vezes, uma série de medidas reacionárias implementadas por organizações que não levam tempo para desenvolver uma solução de segurança holística que incorpore medidas de risco e recompensa. Normalmente, este é o resultado de alguém em uma 'cadeia alimentar' organizacional sob calor de outra pessoa acima deles. Esse calor escorre em declínio até que alguém faça algo acontecer apenas para parecer que está sendo tomada ações, independentemente da eficácia dessa ação. Isso cria a percepção de um nível uniforme de proteção de segurança para a organização, e a manutenção de rotina fornece o aparecimento adicional de provisões adequadas sendo tomadas para superar a influência negativa das forças externas. Analise seus cenários de risco e implemente medidas para mitigar os riscos antes que eles se manifestem - e certifique -se de atribuir muito tempo para fazê -lo. É impossível eliminar completamente o pensamento reacionário, mas, em vez de permitir que a tomada de decisão reflexiva dite seu curso, as organizações devem usá-las para fortalecer sua posição implementando políticas e procedimentos que melhoram os processos de segurança para o longo prazo. Shoaib Yousuf
Security measures that need to be implemented in haste will always consume more resources than proactive, rational and thought-out security measures that are implemented over time. Analyze your risk scenarios and implement measures to mitigate risks before they manifest – and make sure to allot plenty of time to doing so.
If organizations plan ahead, work to mitigate risks before they occur, and provide training and awareness of security measures and policies, they can reduce the negative impact that hasty reactions can have. It is impossible to eliminate reactionary thinking entirely, but rather than allowing reflexive decision-making to dictate their course, organizations should use them to strengthen their position by implementing policies and procedures that improve security processes for the long-term.
