想象一下没有翻译的联合国大会——人们说着几十种不同的语言。当安全团队与其组织的董事会共享指标和数据时,就会发生这种情况。沟通差距使许多CISO难以解释安全投资的价值——如果安全专业人员未能传达该价值,他们就有可能与业务优先事项不同步,或者让领导者对安全准备情况产生错误的信心。好消息是,在网络安全方面,董事会认识到参与网络安全问题的重要性,并且在这个话题上变得更加成熟。据Gartner称,到2025年,40%的董事会将设立专门的网络安全委员会,由合格的董事会成员监督,高于目前的不到10%。但安全计划的日常指标与董事会的优先事项之间仍然存在差距。1.迷失在翻译中幸运的是,一些指标对两个团队都很有意义和重要,所以每个人都可以说同一种语言——不需要翻译。这些指标会产生洞察力,董事会和安全团队可以在考虑人员、流程和技术的同时共同采取行动。董事会的核心是批准组织的战略方向以及组织如何分配资源和降低风险。安全领导者必须提出符合业务目标的指标,以便在指标经常不足的地方产生影响:在董事会层面。这就是为什么许多人是安全的。每日网络钓鱼警报数量等指标不提供上下文——也就是说,它们不会告知CISO这些数字是好消息还是坏消息。如果指标没有指向后续步骤,例如更改流程、更好地配置产品或识别自动化机会,则行动路径不明确。指标通常描述工具的使用方式,而不是它们产生的结果以及这些结果的实际含义。基于工具的指标被认为是安全方面的一个唾手可得的成果——它们很容易获得,但它们无助于解决问题。通常,组织不会解决人员、流程和技术——构建公司安全模型如何执行的整体视图所必需的三个关键支柱。虽然这些是要避免的指标,但有一些不同的指标对领导力很重要,并且可以被更多的利益相关者理解,而不仅仅是安全团队。这些指标侧重于所部署资源(即安全程序工具和人员)的有效性,并确保具有适当的可见性以降低风险。2.工具效能委员会成员和安全专家需要了解安全投资是否得到回报。要了解您当前的工具是否有效,请衡量您的团队在使用这些工具时遇到的问题数量、中断或不活动服务的数量以及供应商支持票的数量等因素。此外,跟踪每个工具的特性和功能的集成程度——这是衡量工具投资回报率的好方法。3.可见性计算支持企业的系统总数以及其中有多少系统收集和分析日志。对每个环境进行相同的计算。例如,如果有多个云环境,这些环境的可见范围是否与本地数据中心相同?然后,确定是否从这些系统收集了足够数量的数据以符合适用的行业框架(例如NIST、CSF和MITRE),这些框架评估产生的威胁检测和响应能力。4.团队生产力考虑团队将时间花在哪些事情上,例如处理可能导致警报疲劳的误报或故障排除和管理工具,以及他们通常在这些破坏性情况下对问题的响应速度(使用平均响应时间,或MTTR)。通过汇总各种团队指标,组织可以了解他们是否配备了适当的人员,或者团队是否需要更多培训。随着重点转移到提供背景和数字的指标上,组织也可能会考虑从合作伙伴或研究机构那里寻找指标——尤其是如果这意味着要找到同行或行业基准统计数据来衡量团队的绩效。当然,这是一个很难衡量的范畴——但因为它是“人”的支柱,所以非常重要。衡量工具效率、可见性和团队绩效的指标对于随着时间的推移进行跟踪以获取有关趋势的信息也很重要——这是为指标提供上下文的另一个关键要求。理想情况下,组织应该展示对人员、流程和技术的每项投资如何改进安全计划并降低企业风险。如果可以共享这样的指标,沟通差距将开始缩小,每个人都将使用相同的业务语言——确保组织的安全计划与业务目标保持一致,并且组织可以专注于其核心使命。
