安全性能指標可以給CISO帶來的十大好處
衡量安全性能聽起來可能不是CISO議程上最令人興奮的工作,但正確的指標可以為安全領導者帶來重大價值,并在很大程度上幫助他們應對各種挑戰。現代安全和業務的交集意味著有多種衡量標準,CISO不僅可以用來衡量和提高其安全工作的有效性,還可以展示與企業的有價值的戰略一致性,以及許多其他好處。
然而,為了從任何安全性能指標中獲得真正的價值,重要的是CIO避免淹沒在缺乏意義的指標中,專注于那些顯示安全如何支持業務的指標。
信息安全論壇(ISF)的首席研究分析師理查德·阿卜杜勒姆表示,有數千種東西可以用安全性能來衡量,提取這些衡量標準并進行報告需要足夠的時間、精力和資源。“需要始終考慮的重要一點是:我們為什么要衡量這一點?這種衡量有什么幫助?它可以幫助回答什么問題?如果衡量無助于回答利益相關者/決策者需要知道的事情,它很可能會被忽視。”
Sevco Security的CSO布萊恩·康托斯告訴CSO,CISO需要與業務相關、專注于風險,而且最關鍵的是基于證據的指標。需要指標的最優先領域包括業務連續性、法規遵從性、資產保護、運營效率和業務使命實現。
以下是正確的安全性能指標可以為CISO提供的10大優勢:
1、客觀決策
事件響應指標——如平均檢測時間和平均響應時間——提供了有助于CISO做出客觀決策的定量數據。SANS研究所研究員、網絡安全領導力課程負責人Frank Kim表示,通過跟蹤和分析關鍵安全指標,CISO可以確定努力的優先順序,分配資源,并將重點放在最需要改進的領域。
2、展示投資回報
安全投資指標——例如處理了嵌入式安全的關鍵業務計劃的百分比——使CIO能夠向執行領導層和利益相關者展示安全計劃的ROI。這有助于證明預算和投資的合理性,因為它顯示了這些努力如何有助于降低風險和預防事故。“關于風險,利益相關者擔心的不是網絡風險,而是網絡帶來的業務風險。”康托斯說。更具體地說,這是與收入、品牌、運營以及環境、社會和治理相關的風險,他補充道。
3、有效溝通
Kim說,安全意識指標——例如定期參與大使計劃的業務部門的活動,有助于傳達一個企業是否正在建立一種具有安全意識和風險意識的文化,為向非技術利益相關者傳達安全風險和改進提供了共同語言。CISO可以使用指標來解釋安全措施的有效性和企業的整體安全態勢,這在傳統上是許多安全領導者面臨的挑戰。
會計和咨詢公司BPM的合伙人、畢馬威網絡業務前負責人弗雷德·里奇表示,記住,多次向董事會提交非常技術性的指標讀數的CIO沒有抓住重點,因為董事會成員無法將它們聯系起來。弗雷德·里奇曾擔任畢馬威網絡業務主管,他表示:“告訴董事會你已經在防火墻上阻止了10萬個事件是毫無意義的。董事會成員需要問(而CIO需要回答)三個簡單的問題:我們在做什么?這足夠嗎?我們怎么知道?”
4、風險評估
漏洞管理指標——如暴露窗口——可幫助CIO更好地了解企業的風險概況,并通過監控趨勢和識別潛在漏洞,在安全威脅升級之前主動應對。
“歸根結底,漏洞管理是為了解決企業的破損窗戶和未上鎖的門。”他補充說。“這些指標傳達了這些門可能會打開多長時間,并用于匯總日常運營活動,如掃描覆蓋范圍、分析和確定優先順序的時間,以及修補時間。”他補充道。
5、持續改進
安全流程改進指標——例如具有相同重復根本原因的事件的百分比——跟蹤一段時間內的進展,從而使CISO能夠設定特定目標。“這種數據驅動的方法有助于推動安全實踐的持續改進,并培養一種負責任的文化。”Kim說。Contos說,這些基于風險的指標然后可以寫入年度報告、公司治理文件和委員會章程,因為安全對業務具有戰略意義。
6、標桿管理
安全成熟度指標——例如功能成熟度分數——可以與各種行業基準(如各種互聯網安全中心(CIS)基準,甚至過去的表現)進行比較,以幫助CIO了解其企業在安全成熟度方面的表現。這些信息可以指導制定現實的安全目標和戰略。
Absalom說,對于董事會來說,NIST網絡安全框架的五大支柱似乎經常引起共鳴。安全領導者應尋找有助于回答企業狀況的指標:
- 確定威脅和風險資產。
- 保護已確定的資產。
- 檢測威脅事件。
- 對檢測到的事件作出響應。
- 從事件中恢復過來,并限制其影響。
7、合規
Kim說,由于許多法規和標準要求企業報告特定的安全指標,擁有隨時可用的合規指標——例如符合必要標準或法規的系統的百分比——可以更容易地滿足合規要求,并避免潛在的處罰。
8、及早發現問題
威脅檢測指標——例如內部實體與外部實體檢測到的事件數量或誤判——可以作為安全基礎設施中潛在安全事件或弱點的早期預警信號。CISO可以主動解決這些問題,以防止更大規模的違規行為。
9、資源優化
資源利用率指標——例如花在主動安全任務和被動安全任務上的時間百分比——使CISO能夠識別效率低下或冗余的安全控制領域,從而實現更好的資源分配和成本優化。事實證明,這對于幫助安全領導人解決備受詬病的網絡安全技能短缺問題至關重要。
英國科學、創新和技術部(DSIT)最近的一份報告發現,一半的英國企業存在基本的網絡安全技能缺口,三分之一的企業在安全方面面臨更高級的技能短缺,如法醫漏洞分析、存儲或傳輸個人數據,或者檢測和刪除惡意軟件。
10、建立信任.
安全透明度指標——例如傳達給業務的安全事件數量或內部利益相關者對安全通信的反饋分數——可以增強安全團隊和其他業務部門之間的信任級別。Kim說,當安全措施的有效性被量化并透明地傳達時,它會增強人們對安全計劃的信心。
