衡量安全性能听起来可能不是CISO议程上最令人兴奋的工作,但正确的指标可以为安全领导者带来重大价值,并在很大程度上帮助他们应对各种挑战。现代安全和业务的交集意味着有多种衡量标准,CISO不仅可以用来衡量和提高其安全工作的有效性,还可以展示与企业的有价值的战略一致性,以及许多其他好处。
然而,为了从任何安全性能指标中获得真正的价值,重要的是CIO避免淹没在缺乏意义的指标中,专注于那些显示安全如何支持业务的指标。
信息安全论坛(ISF)的首席研究分析师理查德·阿卜杜勒姆表示,有数千种东西可以用安全性能来衡量,提取这些衡量标准并进行报告需要足够的时间、精力和资源。“需要始终考虑的重要一点是:我们为什么要衡量这一点?这种衡量有什么帮助?它可以帮助回答什么问题?如果衡量无助于回答利益相关者/决策者需要知道的事情,它很可能会被忽视。”
Sevco Security的CSO布莱恩·康托斯告诉CSO,CISO需要与业务相关、专注于风险,而且最关键的是基于证据的指标。需要指标的最优先领域包括业务连续性、法规遵从性、资产保护、运营效率和业务使命实现。
以下是正确的安全性能指标可以为CISO提供的10大优势:
1、客观决策
事件响应指标——如平均检测时间和平均响应时间——提供了有助于CISO做出客观决策的定量数据。SANS研究所研究员、网络安全领导力课程负责人Frank Kim表示,通过跟踪和分析关键安全指标,CISO可以确定努力的优先顺序,分配资源,并将重点放在最需要改进的领域。
2、展示投资回报
安全投资指标——例如处理了嵌入式安全的关键业务计划的百分比——使CIO能够向执行领导层和利益相关者展示安全计划的ROI。这有助于证明预算和投资的合理性,因为它显示了这些努力如何有助于降低风险和预防事故。“关于风险,利益相关者担心的不是网络风险,而是网络带来的业务风险。”康托斯说。更具体地说,这是与收入、品牌、运营以及环境、社会和治理相关的风险,他补充道。
3、有效沟通
Kim说,安全意识指标——例如定期参与大使计划的业务部门的活动,有助于传达一个企业是否正在建立一种具有安全意识和风险意识的文化,为向非技术利益相关者传达安全风险和改进提供了共同语言。CISO可以使用指标来解释安全措施的有效性和企业的整体安全态势,这在传统上是许多安全领导者面临的挑战。
会计和咨询公司BPM的合伙人、毕马威网络业务前负责人弗雷德·里奇表示,记住,多次向董事会提交非常技术性的指标读数的CIO没有抓住重点,因为董事会成员无法将它们联系起来。弗雷德·里奇曾担任毕马威网络业务主管,他表示:“告诉董事会你已经在防火墙上阻止了10万个事件是毫无意义的。董事会成员需要问(而CIO需要回答)三个简单的问题:我们在做什么?这足够吗?我们怎么知道?”
4、风险评估
漏洞管理指标——如暴露窗口——可帮助CIO更好地了解企业的风险概况,并通过监控趋势和识别潜在漏洞,在安全威胁升级之前主动应对。
“归根结底,漏洞管理是为了解决企业的破损窗户和未上锁的门。”他补充说。“这些指标传达了这些门可能会打开多长时间,并用于汇总日常运营活动,如扫描覆盖范围、分析和确定优先顺序的时间,以及修补时间。”他补充道。
5、持续改进
安全流程改进指标——例如具有相同重复根本原因的事件的百分比——跟踪一段时间内的进展,从而使CISO能够设定特定目标。“这种数据驱动的方法有助于推动安全实践的持续改进,并培养一种负责任的文化。”Kim说。Contos说,这些基于风险的指标然后可以写入年度报告、公司治理文件和委员会章程,因为安全对业务具有战略意义。
6、标杆管理
安全成熟度指标——例如功能成熟度分数——可以与各种行业基准(如各种互联网安全中心(CIS)基准,甚至过去的表现)进行比较,以帮助CIO了解其企业在安全成熟度方面的表现。这些信息可以指导制定现实的安全目标和战略。
Absalom说,对于董事会来说,NIST网络安全框架的五大支柱似乎经常引起共鸣。安全领导者应寻找有助于回答企业状况的指标:
- 确定威胁和风险资产。
- 保护已确定的资产。
- 检测威胁事件。
- 对检测到的事件作出响应。
- 从事件中恢复过来,并限制其影响。
7、合规
Kim说,由于许多法规和标准要求企业报告特定的安全指标,拥有随时可用的合规指标——例如符合必要标准或法规的系统的百分比——可以更容易地满足合规要求,并避免潜在的处罚。
8、及早发现问题
威胁检测指标——例如内部实体与外部实体检测到的事件数量或误判——可以作为安全基础设施中潜在安全事件或弱点的早期预警信号。CISO可以主动解决这些问题,以防止更大规模的违规行为。
9、资源优化
资源利用率指标——例如花在主动安全任务和被动安全任务上的时间百分比——使CISO能够识别效率低下或冗余的安全控制领域,从而实现更好的资源分配和成本优化。事实证明,这对于帮助安全领导人解决备受诟病的网络安全技能短缺问题至关重要。
英国科学、创新和技术部(DSIT)最近的一份报告发现,一半的英国企业存在基本的网络安全技能缺口,三分之一的企业在安全方面面临更高级的技能短缺,如法医漏洞分析、存储或传输个人数据,或者检测和删除恶意软件。
10、建立信任.
安全透明度指标——例如传达给业务的安全事件数量或内部利益相关者对安全通信的反馈分数——可以增强安全团队和其他业务部门之间的信任级别。Kim说,当安全措施的有效性被量化并透明地传达时,它会增强人们对安全计划的信心。