你会衡量你的网络安全工作的价值和有效性吗?事实上,目前世界上大多数公司都没有做到这一点。甚至当新的信息安全功能生成和企业安全数据交付时,都没有统一的标准来读取。如果不建立适当的网络安全度量标准,这的确无法定义。
Thycotic公司首席安全科学家Joseph Carson根据ISO27001规定、行业专家和协会的经验,针对网络安全工作推出了SMI安全测量指数。Joseph Carson认为,许多公司在网络安全方面做出努力,但这些努力和公司的效益并不挂钩。许多公司没有评估网络风险对其业务的影响。他们不是从对业务影响的角度来看待这个问题。他们做网络安全只是为了满足合规性,许多安全指标都是这么设定的。
ISF信息安全论坛是一个专门讨论网络安全问题的非营利性组织,这个组织的总经理Steve Durbin认为,企业效益和网络安全之间缺乏一种衡量机制。两者之间应该建立起一种共同语言,我们应该从企业盈利的角度来看待网络安全问题。
如何衡量网络安全工作的有效性?
Cybera Thycotic是特权帐户管理(PAM)和端点的权限管理解决方案的供应商,它调查了超过400个全球业务和安全主管,从而创造SMI基准调查。研究发现,在针对这些企业的网络安全工作有效性评估中,有58%的受访企业得分不及格。
调查还发现,虽然全球公司每年在网络安全防御上花费超过1000亿美元,但32%的公司做出商业决策时,盲目购买网络安全技术。超过80%的企业在网络安全购买决策时没有对业务用户构成影响。他们也没有设立一个指导委员会来评估与网络安全投资相关的业务影响和风险。
ISF调查发现,许多首席信息安全官(CISO)错报了关键绩效指标(KPI)和关键风险指标(KRIS)。大多数CISO很少或根本没有从用户的角度获取安全有效性的实际效果。他们在试图猜测他们的受众需要什么,在试图提供关于信息安全有效性、组织风险和信息安全安排等主题的管理报告时,失去了有效的指标。
网络安全人员时常在考虑成本问题,而CISO们要承担的是许多繁重的工作。对于网络安全,CIO也发挥着重要的作用:提供安全功能与数据。Carson认为"CIO的核心职责是确保组织拥有正确决策所需的信息。他们需要确定组织的核心、高级资产是什么,对它们进行分类,再与首席信息安全官协同工作来保护它们。"
制定KPI和KRI的四个步骤
为实现安全部门与业务部门挂钩,ISF提出了四个步骤的实用方法来制定有效的KPI和KRI。Durbin说,这种方法将有助于信息安全功能主动响应业务需求。他说,关键是要和正确的人进行正确的对话。ISF的方法设计适用于组织的各个层面,这四个步骤包括:
·通过了解企业环境建立关联,确定共同的利益发展KPI和KRI
·从生产/效益的角度出发,校准和解释KPI/KRI。
·参与讨论有关共同利益的建议,并就下一步的规则制定作出决定,从而带来积极效果。
·通过开发学习和改进计划来学习和改进
依据ISF提出的这四个步骤,建立网络安全与生产效益之间的联系,从而使安全功能更好地响应业务需求。
制定的规则来源于正确的数据
开始建立关联必须依靠正确的数据作为支撑,数据必须来自精准的用户,才能支撑起正确的结构。然后必须在整个组织中一致地使用这些数据。建立关联,需要六个步骤:
·理解业务内容
·识别受众和合作者
·确定共同利益
·确定关键的信息安全问题
·设计KPI/KRI
·测试和确认KPI/KRI
一旦获得数据,你就要从中洞察和产生新的见解,可信的见解还来自于对KPI和KRI的理解。产生的见解,包括以下三个步骤:
·收集数据
·生产和检定KPI/KRI
·阐明KPI/KRI设定的意义
有了真知灼见之后,是时候产生影响了,确保信息被报道并以一种被所有人所接受和理解的方式呈现。这导致了决策和行动:
·认同结论,提出建议
·制作报告和演示文稿
·准备报告和分发报告
·提出并商定下一步
最后一步是根据前面的步骤进行的改进计划。根据ISF的调研,改进计划基于绩效和风险的预估,提供信息安全、组织保证功能就是主动回应企业的优先事项和其他需要。Carson说,"你需要养成一种不断进化的心态。"这是一种文化,一种意识工程。它总是在进行中。"
本文作者:刘妮娜
来源:51CTO
