在理想的情况下,网络安全人员必须以企业高管能够理解、发现有用、满足好奇心并导致可操作结果的方式衡量和报告网络安全 。
文章插图
在理想的情况下,网络安全人员必须以企业高管能够理解、发现有用、满足好奇心并导致可操作结果的方式衡量和报告网络安全 。
在网络安全方面可以衡量什么?
大多数利益相关者通常对风险、合规性或保证存在疑问 。不幸的是,这些问题通常无法使用单一数据点来回答 。幸运的是,为了解决利益相关者的问题和担忧,网络安全人员可以衡量各种各样的事情,这些可大致分类为:
•控制:为应对威胁和降低信息风险而采取的措施 。
•资产:企业拥有的任何有价值的物品 。
•漏洞:系统中可能被威胁利用的弱点 。
•威胁事件:由能够对资产造成损害的威胁发起的行动 。
•安全事件:在中断、停机、系统关闭、数据泄露、网络钓鱼、勒索软件等方面成功影响业务的事件 。
以上类别可以根据数量、时间或成本进一步细分 。例如,通过数字可以衡量未打补丁的服务器的总数和百分比,未打补丁的服务器与所需基线和容量的比率,或者可能修补的服务器数量 。通过时间可以衡量识别事件所花费的时间,或者特定网络威胁在一段时间内发生的频率 。通过成本可以帮助企业从财务方面衡量事件的影响、恢复成本以及由于停机造成的业务损失 。
为什么要关注KPI?
网络安全人员在向业务团队报告时必须选择最相关的指标 。大多数网络安全团队专注于指标,这些是与资产、漏洞和威胁事件相关的基本指标 。另一方面,执行团队关心关键绩效指标(KPI)和关键风险指标(KRI),因为这些指标可以帮助回答与信息安全风险、运行状况、准备工作和业务优先级相关的具体问题:
•企业的系统安全吗?
•安全投资是否为企业带来价值?
•从安全角度来看,是否符合监管义务?
【如何以及为什么衡量网络安全】 •企业如何应对勒索软件攻击或供应链攻击?
这些都是KPI和KRI帮助回答的问题类型,这就是为什么网络安全人员必须专注于KPI和KRI的原因,衡量他们的安全性能、准备和有效性 。
安全团队如何衡量网络安全?
构建正确的衡量框架是一个渐进的迭代过程,以下探索构建安全衡量周期所涉及的五个主要步骤:
(1)定义需求
与利益相关者进行双向对话,以定义和理解他们的需求 。在开始时,利益相关者并不总是对信息风险和他们自己的需求有很好的理解,因此需要一种更加自下而上的方法,即安全人员衡量他们认为重要的内容并向上报告 。安全从业人员可以利用这些对话自己提出探究性问题,制定必要的议程 。
(2)选择关键指标
一旦定义了利益相关者的需求,网络安全人员应该确定并选择有助于支持这些需求的关键指标,必须咨询所有利益相关者,并告知将在稍后阶段提出的衡量标准 。
关键指标应使利益相关者能够采取行动或做出决定 。这些关键指标应处于较高水平,且数量较少 。其目标是帮助决策,而不是用数据来压倒或混淆人们 。
(3)确定指标
在确定了企业的高层目标和指标之后,安全团队现在必须专注于确定有助于报告这些指标的基本指标 。根据指标的确切性质,这可能涉及所需的几十个指标,涉及上述各种指标类别 。
(4)收集和分析指标,计算关键指标
既然确定了需求,选择了关键指标并确定了衡量标准,网络安全人员现在可以开始收集和分析基于这些关键指标的数据 。衡量标准必须只使用准确、及时、相关和值得信赖的数据 。否则,企业高管可能会做出错误的决策,在业务方面造成严重后果 。安全团队必须找到在持续的基础上收集这些数据的方法(大多数衡量需要查看随时间变化的趋势视图),并且最好使该过程尽可能自动化(人工过程可能很累且耗时) 。
(5)向利益相关者报告关键指标
关键指标必须及时向决策者报告,安全人员和利益相关者应该就节奏达成一致:报告需要多长时间提交一次?报告风格也必须达成一致,因为不同的方法适合不同的利益相关者:是需要仪表板,还是幻灯片演示?关键指标应清晰可见,易于理解 。最后,报告应该促进决策或行动 。
推荐阅读
- Java 中为什么要设计 throws 关键词,是故意的还是不小心
- 如何防范勒索病毒_勒索病毒破解
- mac复制不了东西到u盘怎么回事 mac如何复制粘贴文件到u盘
- 什么是网站流量劫持?如何防止流量劫持?
- 如何用代码签名证书为微软Office宏文件签名?
- 为什么 HR 不喜欢职场空窗期?
- 为什么很多的离职原因都写的是“个人原因”?
- 大疆无人机如何能在禁飞区测试飞行 大疆禁飞区内起飞
- 输入单号查快递京东?如何用快递单号查询快递信息?
- 如何制作根雕盆景 如何制作根雕