防御を最適化するための（人、ツールとテクノロジー、プロセス）の適切な優先順位/組み合わせは何ですか？

哲学としての「多層防御」は、組織全体（すべての機能領域、テクノロジーソリューション、およびビジネス慣行）で情報セキュリティを統合することを提案します。とはいえ、そのようなアプローチはバランスが取れていなければなりません。最終的には、その取り組みは問題の組織に依存することになります。たとえば、軍隊は「opsec」（運用上のセキュリティ）を運用のほぼすべての側面に統合していますが、レストランでは、カードプロセッサから指示された以上のセキュリティについての手がかりがない可能性があります。

したがって、最終的には、多くの要因によって変化します。

Tate（StackExchangeの質問をした）からのこの引用から始めましょう。「長年のブログ読者は、私が企業を守るためにツールに依存していないことを知っておく必要があります。私は最初に人に依存し、次にツール、次にプロセスに依存します」、リチャード・ベイトリヒ

これはほぼ正しいです。それはほぼ正確に正しいです。私が変更する1つのことは、ツールとプロセスを同時に戦略化する必要があることと、追加の人員でプロセスを拡張できることです（もちろん、少なくとも1人から始めます）。

たとえば、ペネトレーションテストプログラムを開始しようとしているとします。フルタイムのテスターが1人必要です。そのテスターは、プロセスのバリューチェーン（または複数のチェーン）を介して作業する必要があります。これらのバリューチェーンは、テクニック（ホワイトボックス、グレーボックス、ブラックボックスなど）とサブテクニック（モバイル、ウェブ、ネットワークなど）で構成されています。 1つまたは複数のツールを各サブテクニックにマッピングできます。スケーリングが必要な場合は、単に人を追加するだけです。

最近の Cloak＆Swaggerエピソード YouTubeで、この質問をカバーするいくつかのコメントがありました。人とツールに関する議論は約47分で始まりますが、最も重要なのは、ALiの「組織が支払うことができるもの」（約55分で始まる）の公式であり、ツールで人と1を買う余裕があると述べています。

私はこれらのアイデアの両方を楽しんでいます。著書「ITSecurityMetrics」では、著者（Lance Hayden、et al）が、ポアソン分布を使用したインシデントへの人員配置、およびその他のアウトソーシング方法について説明し、最後に、人の統合によるプロセスの定義に関する膨大な部分を含めています。 -すべて第9章で説明されています。これは、チェックする価値のあるもう1つのソースです。