423
網絡安全實效性衡量指南:如何作出準確評估
你會衡量你的網絡安全工作的價值和有效性嗎?事實上,目前世界上大多數公司都沒有做到這一點。甚至當新的信息安全功能生成和企業安全數據交付時,都沒有統一的標準來讀取。如果不建立適當的網絡安全度量標準,這的確無法定義。
Thycotic公司首席安全科學家Joseph
Carson根據ISO27001規定、行業專家和協會的經驗,針對網絡安全工作推出了SMI安全測量指數。Joseph
Carson認為,許多公司在網絡安全方麵做出努力,但這些努力和公司的效益並不掛鉤。許多公司沒有評估網絡風險對其業務的影響。他們不是從對業務影響的角度來看待這個問題。他們做網絡安全隻是為了滿足合規性,許多安全指標都是這麼設定的。
ISF信息安全論壇是一個專門討論網絡安全問題的非營利性組織,這個組織的總經理Steve Durbin認為,企業效益和網絡安全之間缺乏一種衡量機製。兩者之間應該建立起一種共同語言,我們應該從企業盈利的角度來看待網絡安全問題。
如何衡量網絡安全工作的有效性?
Cybera Thycotic是特權帳戶管理(PAM)和端點的權限管理解決方案的供應商,它調查了超過400個全球業務和安全主管,從而創造SMI基準調查。研究發現,在針對這些企業的網絡安全工作有效性評估中,有58%的受訪企業得分不及格。
調查還發現,雖然全球公司每年在網絡安全防禦上花費超過1000億美元,但32%的公司做出商業決策時,盲目購買網絡安全技術。超過80%的企業在網絡安全購買決策時沒有對業務用戶構成影響。他們也沒有設立一個指導委員會來評估與網絡安全投資相關的業務影響和風險。
ISF調查發現,許多首席信息安全官(CISO)錯報了關鍵績效指標(KPI)和關鍵風險指標(KRIS)。大多數CISO很少或根本沒有從用戶的角度獲取安全有效性的實際效果。他們在試圖猜測他們的受眾需要什麼,在試圖提供關於信息安全有效性、組織風險和信息安全安排等主題的管理報告時,失去了有效的指標。
網絡安全人員時常在考慮成本問題,而CISO們要承擔的是許多繁重的工作。對於網絡安全,CIO也發揮著重要的作用:提供安全功能與數據。Carson認為"CIO的核心職責是確保組織擁有正確決策所需的信息。他們需要確定組織的核心、高級資產是什麼,對它們進行分類,再與首席信息安全官協同工作來保護它們。"
製定KPI和KRI的四個步驟
為實現安全部門與業務部門掛鉤,ISF提出了四個步驟的實用方法來製定有效的KPI和KRI。Durbin說,這種方法將有助於信息安全功能主動響應業務需求。他說,關鍵是要和正確的人進行正確的對話。ISF的方法設計適用於組織的各個層麵,這四個步驟包括:
·通過了解企業環境建立關聯,確定共同的利益發展KPI和KRI
·從生產/效益的角度出發,校準和解釋KPI/KRI。
·參與討論有關共同利益的建議,並就下一步的規則製定作出決定,從而帶來積極效果。
·通過開發學習和改進計劃來學習和改進
依據ISF提出的這四個步驟,建立網絡安全與生產效益之間的聯係,從而使安全功能更好地響應業務需求。
製定的規則來源於正確的數據
開始建立關聯必須依靠正確的數據作為支撐,數據必須來自精準的用戶,才能支撐起正確的結構。然後必須在整個組織中一致地使用這些數據。建立關聯,需要六個步驟:
·理解業務內容
·識別受眾和合作者
·確定共同利益
·確定關鍵的信息安全問題
·設計KPI/KRI
·測試和確認KPI/KRI
一旦獲得數據,你就要從中洞察和產生新的見解,可信的見解還來自於對KPI和KRI的理解。產生的見解,包括以下三個步驟:
·收集數據
·生產和檢定KPI/KRI
·闡明KPI/KRI設定的意義
有了真知灼見之後,是時候產生影響了,確保信息被報道並以一種被所有人所接受和理解的方式呈現。這導致了決策和行動:
·認同結論,提出建議
·製作報告和演示文稿
·準備報告和分發報告
·提出並商定下一步
最後一步是根據前麵的步驟進行的改進計劃。根據ISF的調研,改進計劃基於績效和風險的預估,提供信息安全、組織保證功能就是主動回應企業的優先事項和其他需要。Carson說,"你需要養成一種不斷進化的心態。"這是一種文化,一種意識工程。它總是在進行中。"
本文作者:劉妮娜
來源:51CTO
最後更新:2017-11-02 16:04:43