如何衡量网络安全有效性-为时已晚

大多数组织没有将指标应用到他们的网络安全工作中,而那些确实会衡量错误事情的指标。这是确保您的网络安全项目能获得回报的方法。

安全自动化机器人保护防御攻击入侵
Thinkstock

您是否正在衡量网络安全工作的价值和有效性?根据最近的安全度量指标基准调查,全球大多数公司都没有这样做。没有建立适当的指标,您就会盲目。

即使组织的信息安全功能确实生成并提供有关业务安全的数据,也通常不会读取它。

创立安全衡量指数(SMI)的Thycotic首席安全科学家约瑟夫·卡森(Joseph Carson)表示:“许多公司虽然在网络安全方面做出了一些努力,但并未考虑其如何帮助企业的有效性。 )基于ISO 27001中规定的安全性标准以及行业专家和协会的最佳做法。 “许多公司没有评估风险与影响之间的关系。他们没有从业务影响评估或角度来考虑这一问题。它们正在这样做是为了满足法规遵从性,并且许多安全指标也被用于此方面。”

“双方之间缺乏协作,”信息安全论坛(ISF)的常务董事史蒂夫·德宾(Steve Durbin)补充道,该组织是一家非盈利性协会,致力于研究和分析安全与风险管理问题。 “我们应该说的通用语言是什么?从安全的角度来看,我们怎样才能从业务角度专注于正确的事情?”

您无法衡量网络安全有效性的地方

特权帐户管理(PAM)和端点特权管理解决方案的提供商Thycotic对400多位全球业务和安全主管进行了调查,以创建SMI基准调查。调查发现,有58%的受访者在评估组织根据最佳实践衡量其网络安全投资和绩效的努力时得分不及格。

该调查还发现,尽管全球公司每年在网络安全防御方面的支出超过1000亿美元,但仍有32%的公司做出业务决策并盲目购买网络安全技术。此外,超过80%的受访者未能将企业用户纳入网络安全购买决策中。他们也没有建立指导委员会来评估与网络安全投资相关的业务影响和风险。

根据杜宾(Durbin)的说法,这与ISF所看到的相吻合。 ISF发现,许多CISO报告了错误的关键绩效指标(KPI)和关键风险指标(KRI)。 Durbin将其归因于这样一个事实,即大多数CISO与他们报告的受众之间几乎没有互动。结果,他们在试图提供有关信息安全有效性,组织风险和信息安全安排等主题的持续管理报告时,正在猜测观众的需求并错过了分数。

杜宾说:“如果我不知道您在做什么,我将如何帮助您?我将对您的工作做出一些假设,而我可能完全错了。” “安全人员一直在谈论成本。如果我们重新调整成本,安全人员现在可以去业务并说:'看,如果这对您来说很重要,这就是我可以在帮助您保护这一方面发挥的作用。 ,但出于各种原因,我没有资金。”然后,业务部门可以就是否为该问题找到资金进行呼叫。这不再是安全人员的问题,而是业务的问题。”

尽管在网络安全方面,CISO必须承担很多繁重的工作,但CIO也起着重要作用,首先要为安全功能提供所需的数据。

卡森说:“ 首席信息官的核心职责是确保组织拥有做出正确决策所需的信息。” “他们需要确定组织的核心,高级资产是什么,并对它们进行分类。然后与CISO合作以保护它们。”

实现KPI和KRI的4个步骤

为了帮助安全部门与业务保持一致,ISF已经开发了四个阶段的实用方法来开发KPI和KRI。德宾说,这种方法将帮助信息安全部门主动响应业务需求。他说,关键是要与合适的人进行正确的对话。

ISF的方法旨在应用于组织的各个级别,包括四个阶段:

  1. 通过参与了解业务环境,确定共同利益并开发KPR和KRI的组合来建立相关性
  2. 通过参与制作,校准和解释KPI / KRI组合来产生见解
  3. 通过参与制定与共同利益相关的建议并就后续步骤做出决策来产生影响
  4. 通过参与制定学习和改进计划来学习和改进

ISF方法的核心是 订婚。参与可以建立关系并增进理解,从而使安全功能可以更好地响应业务需求。

参与始于正确的数据

参与始于建立相关性。在ISF的方法中,这意味着获得正确的数据,并由正确的结构针对适当的受众进行校准和支持。然后必须在整个组织中一致地使用该数据。根据ISF,建立相关性需要六个步骤:

  1. 了解业务环境
  2. 识别观众和合作者
  3. 确定共同利益
  4. 确定关键的信息安全重点
  5. 设计KPI / KRI组合
  6. 测试并确认KPI / KRI组合

拥有数据后,您需要从中获取见解。 ISF说,可靠的见解来自对KPI和KRI的理解。产生见解涉及以下三个步骤:

  1. 收集数据
  2. 生产和校准KPI / KRI组合
  3. 解释KPI / KRI组合以开发见解

掌握了这些洞察力之后,就可以创造影响力了,以确保所有相关人员都可以接受和理解信息的方式进行报告和呈现。这导致决策和行动,如下所示:

  1. 同意结论,提议和建议
  2. 生成报告和演示文稿
  3. 准备展示和分发报告
  4. 介绍并商定下一步

最后一步是根据从先前步骤中学到的一切来制定学习和改进计划。根据ISF的方法,这将导致基于对性能和风险的准确了解而做出明智的决策,从而使组织确信信息安全功能正在积极响应业务的优先级和其他需求。

卡森说:“您需要建立持续发展的思维定势。” “这是一种文化,一项提高认识的项目。它一直在进行。”

有关:

版权© 2017 IDG通讯,Inc.