安全指标:讲述您的价值故事

安全领导者必须将指标理解为关键工具,以解释安全服务如何支持组织及其战略目标。

多任务项目管理研究分析数据科学家
Thinkstock

如今,我们见证了所有行业领域中越来越多的网络事件。董事会和高级管理人员正在对自己的组织在这些与网络相关的问题中面临的风险进行自我教育。董事会还寻求对网络安全计划的潜力有更好的了解,以增强公司的战略运营。许多董事会成员对其安全人员有疑问,例如:“我们如何免受特定威胁的威胁?”或“您能答应我,我们不会成为下一个[被黑客入侵的公司]?”安全专业人员需要能够回答这些问题,并帮助董事会成员了解网络安全并不能控制公司面临的威胁。相反,成熟的网络安全计划的目的是为企业提供管理其风险环境的平台。

公司的高级管理层通常负责制定清晰,简洁的策略,以应对网络攻击的威胁和漏洞。首席信息安全官(CISO)有望采用降低组织风险的技术和安全控制措施,以及监控安全计划有效性的流程。标准的最佳实践是使用风险管理框架(例如NIST CSF,ISO 27001或COBIT 5)作为建立当前风险基准的平台。通过该平台,选定的指标被选择为实时测量设备,以提供对提供给公司的价值的可视性。  

安全领导者必须理解并接受度量标准,将其作为讲述其价值的重要工具。对于应使用指标进行度量的内容,没有特定的模板;每个公司的业务环境都不同。但是,我建议以叙述为幌子,将度量标准报告给高级领导层,使用度量标准来解释安全服务如何支持组织及其战略目标。

使用指标创建此故事的一些主要注意事项如下:

  • 目的是什么? 指标应支持业务目标。将指标连接到业务将有助于更有效地分配资源优先级。
  • 它可控吗? 为了使指标有价值,他们必须证明已实现特定目标。因此,度量标准应该衡量团队控制的过程和结果。
  • 上下文是什么? 不要将安全工具的结果称为度量标准;它必须具有意义。提出一些问题,例如“我们为什么要收集它,它讲述了什么故事?”
  • 是否了解什么是“好”? 了解您要实现的目标值以及根据该金额要采取的措施。
  • 它是定量的吗? 可以比较定量值并显示趋势。
  • 您的数据有多可靠? 用于创建指标的数据应具有较高的准确性,准确性,可靠性或
  • 处理和分析容易吗? 数据应被收集,处理并发布到中央收集点。准备和报告指标不需要花费很长时间。例如,如果在每周报告中使用了指标,则收集,处理和发布收到的信息应花费两到三天的时间

以上建议可帮助安全领导者识别数据和服务,以建立他们所需的指标。重要的是要记住,业务环境将影响收集哪些数据以形成这些指标。这些指标还将取决于作为安全平台一部分部署的技术。提供给公司的安全服务的安全控制和合同。

基于性能的指标的一个很好的例子是“将桌面修复时间从6小时减少到4小时,<date>。另一个可以用来衡量需要关键补丁的服务器数量的指标; “从以下方面改进完全修补的服务器的数量:<current %> to 90% by <date>”。这两个示例的重要之处在于,您有一个要衡量的特定动作,有一些要衡量的依据,并且有一个时间表来显示成功。以上示例是将收集并导入到数据门户或仪表板中以进行趋势分析和监视的度量。

现在,让我们看一个示例,该示例说明如何使用指标来深入了解组织的安全计划的执行情况。 CISO可能会收集一个指标来跟踪每月受感染的台式机的数量,但它本身对企业的价值很小。如果该CISO要求将其部分安全预算投入到新的AV / EDR解决方案中,他/她将如何衡量该解决方案为企业提供的价值及其在降低风险方面的有效性?

一种方法是估算受损台式机的成本。删除受感染的台式机,对其进行重新映像,并从前一晚的备份中恢复员工的数据。此过程相当于IT技术人员需要五个小时的劳动,而受影响的员工则可能导致五个小时的生产力损失。结合起来,这使企业每个受感染台式机的成本为225美元,目前,该组织平均每月要感染45个资产,相当于每月10125美元,或者企业每年因生产力损失而损失的成本为121500美元。安装了新的AV / EDR解决方案后,随着时间的推移,每月受感染的台式机数量将减少60%。感染资产数量的减少以及生产力损失给企业带来的节省是CISO可以用来衡量其公司从新技术的最新投资中获得的价值的指标。

安全主管将经历组织对其安全计划提供的服务的审查。为了充分满足这些要求,请通过了解所收集的指标和数据,确保持续平衡安全控制的效率和有效性。有助于创建指标的两个有用资源来自 SANS互联网安全中心。请记住,度量标准是一个讲述安全专家为企业提供的价值以及成熟的安全计划如何成为降低风险的业务支持平台的故事的机会。

有关:

版权© 2018 IDG通讯,Inc.