想象一下沒有翻譯的聯合國大會——人們會說幾十種不同的語言。這就是安全團隊與其組織的董事會共享指標和數據時發生的情況。

溝通鴻溝讓許多 CISO 難以解釋安全投資的價值——如果安全專業人員無法傳達該價值，他們就有可能與業務優先事項不同步，或給領導者一種關于安全準備的錯誤信心。

好消息是，在網絡安全方面，董事會認識到參與網絡安全問題的重要性，并且在該主題上變得更加復雜。據 Gartner 稱，到 2025 年，40% 的董事會將擁有一個由合格董事會成員監督的專門網絡安全委員會，而目前這一比例不到 10%。但安全計劃的日常指標與董事會優先事項之間仍然存在差距。

[[424353]]

1. 迷失在翻譯中

幸運的是，有些指標對兩個團隊都有意義且重要，因此每個人都可以說同一種語言——不需要翻譯。這些指標產生洞察力，董事會和安全團隊可以在考慮人員、流程和技術的同時共同采取行動。

董事會的核心是批準組織的戰略方向以及組織如何分配資源和降低風險。安全領導者必須提出與業務目標一致的指標，才能在指標經常達不到這個目標的原因：董事會層面產生影響。這就是為什么許多安全。

諸如每日網絡釣魚警報數量之類的指標不提供上下文——也就是說，它們不會通知CISO這些數字是好消息還是壞消息。如果指標不指向后續步驟，例如更改流程、更好地配置產品或識別自動化機會，則行動路徑尚不清楚。

指標通常說明工具的使用方式，而不是它們產生的結果以及這些結果的實際含義?；诠ぞ叩亩攘繕藴时徽J為是安全領域的唾手可得的成果——它們很容易獲得，但無助于解決問題。

通常，組織不會處理人員、流程和技術——構建公司安全模型如何執行的全局視圖所必需的三個關鍵支柱。

雖然這些是需要避免的指標，但有一些不同的指標對領導力很重要，并且可以為更多利益相關者所理解，而不僅僅是安全團隊。這些指標側重于正在部署的資源(即安全程序工具和人員)的有效性，以及確保具有適當的可見性以降低風險。

2. 工具功效

董事會成員和安全專業人員需要知道安全投資是否有回報。要了解當前工具是否有效，請衡量團隊在使用這些工具時遇到的問題數量、中斷或不活動服務的數量以及供應商支持票的數量等因素。此外，跟蹤每個工具的特性和功能的集成程度——這是衡量工具投資回報率的一個很好的方法。

3. 能見度

計算支持企業的系統總數以及這些系統中有多少收集和分析日志。對每個環境進行相同的數學計算。例如，如果有多個云環境，對這些環境的可見性范圍是否與本地數據中心相同?然后，確定是否從這些系統中收集了足夠數量的數據，以符合適用的行業框架(例如 NIST、CSF 和 MITRE)，這些框架可以評估由此產生的威脅檢測和響應能力。

4. 團隊生產力

考慮團隊花時間做什么，比如處理誤報——這可能導致警報疲勞——或故障排除和管理工具，以及他們在這些干擾的情況下通常對問題的響應速度有多快(使用平均響應時間，或 MTTR)。通過匯總各種團隊指標，組織可以了解他們是否配備適當的人員或團隊是否需要更多培訓。隨著重點轉向提供背景和數字的指標，組織也可以考慮從合作伙伴或研究機構那里尋找指標——尤其是如果這意味著尋找同行或行業基準統計數據來衡量團隊的績效。當然，這是一個很難衡量的類別——但因為它是“人”的支柱，所以它非常重要。

衡量工具功效、可見性和團隊績效的指標對于長期跟蹤以獲取有關趨勢的信息也很重要——這是為指標提供上下文的另一個關鍵要求。理想情況下，組織應展示對人員、流程和技術的每項投資如何改進安全計劃并降低企業風險。如果可以共享此類指標，溝通差距將開始消失，每個人都將使用相同的業務語言——確保組織的安全計劃與業務目標保持一致，并且組織可以專注于其核心使命。