網(wǎng)絡(luò)日志、漏洞管理、基礎(chǔ)設(shè)施監(jiān)控工具和安全設(shè)備不斷在產(chǎn)生大量實時數(shù)據(jù)，IT風(fēng)險管理人員必須想辦法將這些數(shù)據(jù)轉(zhuǎn)換成一套統(tǒng)一的風(fēng)險指標，從而來幫助企業(yè)作出決策。

規(guī)范化企業(yè)內(nèi)的各種安全數(shù)據(jù)是幫助企業(yè)創(chuàng)建風(fēng)險指標的關(guān)鍵

Tripwire公司首席技術(shù)官Dwayne Melancon表示：“我們?nèi)绾螌⑦@些數(shù)據(jù)轉(zhuǎn)變成有用的指標來幫助企業(yè)確定其安全性，或者風(fēng)險評分正在下降呢?”

這不是簡單的事情，但企業(yè)可以從某種類型的數(shù)據(jù)規(guī)范化過程開始。數(shù)據(jù)規(guī)范化可以幫助企業(yè)更好地進行數(shù)據(jù)比對，從而發(fā)現(xiàn)異常數(shù)據(jù)。

RSA公司eGRC解決方案經(jīng)理Steve Schlarman認為這些指標不應(yīng)該過于復(fù)雜，“規(guī)范化安全數(shù)據(jù)的過程應(yīng)該著眼于列出企業(yè)面臨的關(guān)鍵的安全風(fēng)險，這些風(fēng)險可以通過量化的、一致的和可測量的指標來評估，如果數(shù)據(jù)需要花很長時間來編譯、報告或者評估，那么企業(yè)將無法得出可行的指標。”

為了規(guī)范化安全數(shù)據(jù)，并將其轉(zhuǎn)化為風(fēng)險指標，Melancon認為首先應(yīng)該從業(yè)務(wù)部分開始，這樣做能夠列出更短和更相關(guān)的需要規(guī)范化的數(shù)據(jù)清單。他表示：“很多人習(xí)慣從控制開始，而最后結(jié)果是他們得到更多的控制，更加復(fù)雜化。”

因此，如果是一家上市公司，首先應(yīng)該通過查看其年度報告來了解該公司如何賺錢，并思考威脅其主要收入的最大風(fēng)險。

“然后回過頭來說，‘我們有哪些控制來幫助我們監(jiān)控這些風(fēng)險?’”他表示來自這些工具的數(shù)據(jù)就是企業(yè)用于建立安全性能指標和風(fēng)險評分的數(shù)據(jù)。Melancon說道，企業(yè)應(yīng)該基于某些資產(chǎn)對企業(yè)的重要程度來規(guī)范化數(shù)據(jù)。

在評估企業(yè)資產(chǎn)來確定哪些數(shù)據(jù)應(yīng)該被規(guī)范化后，企業(yè)將能夠確定規(guī)范化其測量指標所需要的控制數(shù)量。這不僅能幫助建立一致性，而且能提高響應(yīng)速度。Cirries Technology公司總裁Rick Aguirre表示，“數(shù)據(jù)規(guī)范化的現(xiàn)實目標是能夠?qū)崟r分析有用的數(shù)據(jù)，特別是用于風(fēng)險評估和管理。” 企業(yè)應(yīng)該為每個指標明確定義7個核心屬性：指標描述、指標測量過程或公示、指標所有權(quán)、指標范圍、指標來源、測量頻率以及趨勢預(yù)期。在此基礎(chǔ)上，風(fēng)險管理團隊應(yīng)該為指標所有者提供某種形式的論壇來進行報告以及分析根本原因。

他表示：“我們的目標是建立可持續(xù)使用的程序，而不是一次性，然后，隨著時間的推移，程序內(nèi)某些指標在必要時‘被激活’或‘廢除’。”

目前，企業(yè)對其資產(chǎn)數(shù)據(jù)的安全和風(fēng)險評級有些混亂，有些使用保密性、完整性和可用性評級，有些可能會使用NIST框架。其中，他認為由NIST和美國國土安全局共同開發(fā)的持續(xù)資產(chǎn)評估、情境感知和風(fēng)險評分(CAESARS)框架比較具有潛力。

Melancon 表示：“其概念是將防病毒、IDS、IPS、文件完整性監(jiān)控、數(shù)據(jù)庫活動監(jiān)控等所有不同的評分，變成一個綜合指標，然后你使用該指標來追蹤你的風(fēng)險情況，這是個很好的想法，但執(zhí)行很困難。”

他認為業(yè)界需要推出“更輕量級”版本的CAESARS，這樣，即使是預(yù)算有限或者人員有限的企業(yè)，仍然可以利用其中的5到10個指標來評估風(fēng)險。

通過建立這些指標，IT部門能夠更容易地向高層關(guān)鍵風(fēng)險指標，從而幫助他們做出正確的決策。