【.com速递】你衡量网络安全工作的价值和有效性吗?事实上,世界上大多数公司现在都没有这样做。即使新的信息安全能力产生,企业安全数据下发,也没有统一的标准可读。如果没有建立适当的网络安全指标,这确实无法定义。Thycotic资深安全科学家JosephCarson基于ISO27001法规、行业专家和协会经验,针对网络安全工作推出了SMI安全衡量指标。约瑟夫·卡森认为,许多公司在网络安全方面做出了努力,但这些努力与公司的利益无关。许多公司未能评估网络风险对其业务的影响。他们并没有从业务影响的角度来看待它。他们做网络安全就是为了合规,很多安全指标都是这样设置的。ISF信息安全论坛是一个致力于讨论网络安全问题的非盈利组织。该组织总经理SteveDurbin认为,企业利益与网络安全之间缺乏衡量机制。两者之间应该建立共同语言,我们应该从企业盈利的角度来看待网络安全问题。您如何衡量网络安全工作的有效性?特权帐户管理(PAM)和端点权限管理解决方案提供商Cyber??aThycotic对400多名全球业务和安全主管进行了调查,以创建SMI基准调查。该研究发现,58%的受访公司未能通过对其网络安全工作有效性的评估。调查还发现,虽然全球公司每年在网络安全防御方面的支出超过1000亿美元,但32%的公司在做出业务决策时会盲目购买网络安全技术。在做出网络安全采购决策时,超过80%的组织对业务用户没有影响。他们也没有成立指导委员会来评估与网络安全投资相关的业务影响和风险。ISF的一项调查发现,许多CISO误报了关键绩效指标(KPI)和关键风险指标(KRIS)。从用户的角度来看,大多数CISO对安全有效性的实际影响很小或没有。他们在试图猜测他们的受众需要什么以及试图提供有关信息安全有效性、组织风险和信息安全安排等主题的管理报告时错过了有效的指标。网络安全人员一直在考虑成本,而CISO正在做很多繁重的工作。对于网络安全,CIO也扮演着重要的角色:提供安全功能和数据。Carson认为,“CIO的核心职责是确保组织拥有做出正确决策所需的信息。他们需要确定组织的核心、高级资产是什么,对其进行分类,并与首席信息安全官一起保护它们。“开发KPI和KRI的四个步骤为了使安全功能与业务保持一致,ISF提出了一个四步实用方法来开发有效的KPI和KRI。这种方法将有助于信息安全功能主动响应,”Durbin说。业务需求。他说,关键是要与合适的人进行合适的对话。ISF的方法设计适用于组织的所有级别。这四个步骤包括:通过了解公司环境、确定共同利益、制定KPI和KRI来建立关系·从生产/效益的角度校准和解释KPI/KRI。·参与共同利益建议的讨论并就下一步行动做出决定·通过制定学习和改进计划来学习和改进在ISF提出的这四个步骤的基础上,建立网络安全和生产效益之间的联系,使安全功能更好地响应业务需求。制定的规则来自正确的数据,开始建立关联必须依赖正确的数据作为支撑,数据必须来自准确的用户,才能支撑正确的结构。然后必须在整个组织中一致地使用这些数据。建立关联需要六个步骤:·了解业务内容·确定受众和合作者·确定共同利益确定关键信息安全问题设计KPI/KRI测试和验证KPI/KRI获得数据后,您需要获得洞察并从中产生新的洞察对他们而言,可靠的见解也来自对KPI和KRI的理解。生成洞察力,包括以下三个步骤:·收集数据·制作和测试KPI/KRI·阐明KPI/KRI设置的含义以被接受和理解的方式呈现。这导致决策制定和行动:·同意结论,提出建议·制作报告和演示文稿·准备报告并分发它们·提出并同意下一步的步骤***下一步建立在先前步骤的基础上改进计划。根据ISF研究,改进计划基于绩效和风险评估,提供信息安全和组织保证功能是对公司优先事项和其他需求的主动响应。卡森说,“你需要培养一种持续进化的心态。”这是一种文化,一个意识项目。它总是在进行。》作者:ThorOlavsrud原文链接:https://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html刘妮娜译转载请注明合作网站转载时原译者和来源为.com]
