衡量安全性能聽起來可能不是CISO議程上最令人興奮的工作，但正確的指標(biāo)可以為安全領(lǐng)導(dǎo)者帶來重大價值，并在很大程度上幫助他們應(yīng)對各種挑戰(zhàn)?，F(xiàn)代安全和業(yè)務(wù)的交集意味著有多種衡量標(biāo)準(zhǔn)，CISO不僅可以用來衡量和提高其安全工作的有效性，還可以展示與企業(yè)的有價值的戰(zhàn)略一致性，以及許多其他好處。

然而，為了從任何安全性能指標(biāo)中獲得真正的價值，重要的是CIO避免淹沒在缺乏意義的指標(biāo)中，專注于那些顯示安全如何支持業(yè)務(wù)的指標(biāo)。

信息安全論壇(ISF)的首席研究分析師理查德·阿卜杜勒姆表示，有數(shù)千種東西可以用安全性能來衡量，提取這些衡量標(biāo)準(zhǔn)并進(jìn)行報告需要足夠的時間、精力和資源?！靶枰冀K考慮的重要一點是：我們?yōu)槭裁匆饬窟@一點?這種衡量有什么幫助?它可以幫助回答什么問題?如果衡量無助于回答利益相關(guān)者/決策者需要知道的事情，它很可能會被忽視?！?/p>

(資料圖)

Sevco Security的CSO布萊恩·康托斯告訴CSO，CISO需要與業(yè)務(wù)相關(guān)、專注于風(fēng)險，而且最關(guān)鍵的是基于證據(jù)的指標(biāo)。需要指標(biāo)的最優(yōu)先領(lǐng)域包括業(yè)務(wù)連續(xù)性、法規(guī)遵從性、資產(chǎn)保護(hù)、運(yùn)營效率和業(yè)務(wù)使命實現(xiàn)。

以下是正確的安全性能指標(biāo)可以為CISO提供的10大優(yōu)勢：

1、客觀決策

事件響應(yīng)指標(biāo)——如平均檢測時間和平均響應(yīng)時間——提供了有助于CISO做出客觀決策的定量數(shù)據(jù)。SANS研究所研究員、網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力課程負(fù)責(zé)人Frank Kim表示，通過跟蹤和分析關(guān)鍵安全指標(biāo)，CISO可以確定努力的優(yōu)先順序，分配資源，并將重點放在最需要改進(jìn)的領(lǐng)域。

2、展示投資回報

安全投資指標(biāo)——例如處理了嵌入式安全的關(guān)鍵業(yè)務(wù)計劃的百分比——使CIO能夠向執(zhí)行領(lǐng)導(dǎo)層和利益相關(guān)者展示安全計劃的ROI。這有助于證明預(yù)算和投資的合理性，因為它顯示了這些努力如何有助于降低風(fēng)險和預(yù)防事故?！瓣P(guān)于風(fēng)險，利益相關(guān)者擔(dān)心的不是網(wǎng)絡(luò)風(fēng)險，而是網(wǎng)絡(luò)帶來的業(yè)務(wù)風(fēng)險?！笨低兴拐f。更具體地說，這是與收入、品牌、運(yùn)營以及環(huán)境、社會和治理相關(guān)的風(fēng)險，他補(bǔ)充道。

3、有效溝通

Kim說，安全意識指標(biāo)——例如定期參與大使計劃的業(yè)務(wù)部門的活動，有助于傳達(dá)一個企業(yè)是否正在建立一種具有安全意識和風(fēng)險意識的文化，為向非技術(shù)利益相關(guān)者傳達(dá)安全風(fēng)險和改進(jìn)提供了共同語言。CISO可以使用指標(biāo)來解釋安全措施的有效性和企業(yè)的整體安全態(tài)勢，這在傳統(tǒng)上是許多安全領(lǐng)導(dǎo)者面臨的挑戰(zhàn)。

會計和咨詢公司BPM的合伙人、畢馬威網(wǎng)絡(luò)業(yè)務(wù)前負(fù)責(zé)人弗雷德·里奇表示，記住，多次向董事會提交非常技術(shù)性的指標(biāo)讀數(shù)的CIO沒有抓住重點，因為董事會成員無法將它們聯(lián)系起來。弗雷德·里奇曾擔(dān)任畢馬威網(wǎng)絡(luò)業(yè)務(wù)主管，他表示：“告訴董事會你已經(jīng)在防火墻上阻止了10萬個事件是毫無意義的。董事會成員需要問(而CIO需要回答)三個簡單的問題：我們在做什么?這足夠嗎?我們怎么知道?”

4、風(fēng)險評估

漏洞管理指標(biāo)——如暴露窗口——可幫助CIO更好地了解企業(yè)的風(fēng)險概況，并通過監(jiān)控趨勢和識別潛在漏洞，在安全威脅升級之前主動應(yīng)對。

“歸根結(jié)底，漏洞管理是為了解決企業(yè)的破損窗戶和未上鎖的門?！彼a(bǔ)充說?！斑@些指標(biāo)傳達(dá)了這些門可能會打開多長時間，并用于匯總?cè)粘＿\(yùn)營活動，如掃描覆蓋范圍、分析和確定優(yōu)先順序的時間，以及修補(bǔ)時間?！彼a(bǔ)充道。

5、持續(xù)改進(jìn)

安全流程改進(jìn)指標(biāo)——例如具有相同重復(fù)根本原因的事件的百分比——跟蹤一段時間內(nèi)的進(jìn)展，從而使CISO能夠設(shè)定特定目標(biāo)。“這種數(shù)據(jù)驅(qū)動的方法有助于推動安全實踐的持續(xù)改進(jìn)，并培養(yǎng)一種負(fù)責(zé)任的文化?！盞im說。Contos說，這些基于風(fēng)險的指標(biāo)然后可以寫入年度報告、公司治理文件和委員會章程，因為安全對業(yè)務(wù)具有戰(zhàn)略意義。

6、標(biāo)桿管理

安全成熟度指標(biāo)——例如功能成熟度分?jǐn)?shù)——可以與各種行業(yè)基準(zhǔn)(如各種互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)，甚至過去的表現(xiàn))進(jìn)行比較，以幫助CIO了解其企業(yè)在安全成熟度方面的表現(xiàn)。這些信息可以指導(dǎo)制定現(xiàn)實的安全目標(biāo)和戰(zhàn)略。

Absalom說，對于董事會來說，NIST網(wǎng)絡(luò)安全框架的五大支柱似乎經(jīng)常引起共鳴。安全領(lǐng)導(dǎo)者應(yīng)尋找有助于回答企業(yè)狀況的指標(biāo)：

確定威脅和風(fēng)險資產(chǎn)。保護(hù)已確定的資產(chǎn)。檢測威脅事件。對檢測到的事件作出響應(yīng)。從事件中恢復(fù)過來，并限制其影響。7、合規(guī)

Kim說，由于許多法規(guī)和標(biāo)準(zhǔn)要求企業(yè)報告特定的安全指標(biāo)，擁有隨時可用的合規(guī)指標(biāo)——例如符合必要標(biāo)準(zhǔn)或法規(guī)的系統(tǒng)的百分比——可以更容易地滿足合規(guī)要求，并避免潛在的處罰。

8、及早發(fā)現(xiàn)問題

威脅檢測指標(biāo)——例如內(nèi)部實體與外部實體檢測到的事件數(shù)量或誤判——可以作為安全基礎(chǔ)設(shè)施中潛在安全事件或弱點的早期預(yù)警信號。CISO可以主動解決這些問題，以防止更大規(guī)模的違規(guī)行為。

9、資源優(yōu)化

資源利用率指標(biāo)——例如花在主動安全任務(wù)和被動安全任務(wù)上的時間百分比——使CISO能夠識別效率低下或冗余的安全控制領(lǐng)域，從而實現(xiàn)更好的資源分配和成本優(yōu)化。事實證明，這對于幫助安全領(lǐng)導(dǎo)人解決備受詬病的網(wǎng)絡(luò)安全技能短缺問題至關(guān)重要。

英國科學(xué)、創(chuàng)新和技術(shù)部(DSIT)最近的一份報告發(fā)現(xiàn)，一半的英國企業(yè)存在基本的網(wǎng)絡(luò)安全技能缺口，三分之一的企業(yè)在安全方面面臨更高級的技能短缺，如法醫(yī)漏洞分析、存儲或傳輸個人數(shù)據(jù)，或者檢測和刪除惡意軟件。

10、建立信任.

安全透明度指標(biāo)——例如傳達(dá)給業(yè)務(wù)的安全事件數(shù)量或內(nèi)部利益相關(guān)者對安全通信的反饋分?jǐn)?shù)——可以增強(qiáng)安全團(tuán)隊和其他業(yè)務(wù)部門之間的信任級別。Kim說，當(dāng)安全措施的有效性被量化并透明地傳達(dá)時，它會增強(qiáng)人們對安全計劃的信心。

關(guān)鍵詞：