CGI集團(tuán)高級(jí)安全顧問(wèn)Terri Curran表示，針對(duì)第三方的風(fēng)險(xiǎn)管理指標(biāo)(例如可訪問(wèn)公司信息的供應(yīng)商數(shù)量)通常會(huì)讓董事會(huì)“大開(kāi)眼界”。

信息安全指標(biāo)應(yīng)該專注在三個(gè)方面：風(fēng)險(xiǎn)管理、合規(guī)性和創(chuàng)新性。但Curran表示，企業(yè)常犯的錯(cuò)誤是在安全指標(biāo)計(jì)劃的開(kāi)始試圖做太多工作。

[[151380]]

Curran已經(jīng)在信息安全領(lǐng)域40年，曾在Gillette公司擔(dān)任CISO達(dá)19年，Bose公司達(dá)7年。2007年至2014年，她曾任職于計(jì)算機(jī)安全行業(yè)(CSI)顧問(wèn)委員會(huì)(在2011年，CSI被UBM收購(gòu))。TechTarget記者采訪了Curran，一同探討如何讓指標(biāo)服務(wù)于更廣泛的受眾。

讓我們來(lái)談?wù)勚笜?biāo)，這是計(jì)算機(jī)安全領(lǐng)域最無(wú)聊的話題，排在配置管理后面。每次這個(gè)話題出現(xiàn)時(shí)，我經(jīng)常會(huì)聽(tīng)到這樣的對(duì)話：

“你應(yīng)該保持指標(biāo)。”

“我應(yīng)該保持哪些指標(biāo)?”

“這取決于你的企業(yè)。”

“沒(méi)有‘前20名’指標(biāo)列表嗎?”

在理論和實(shí)際效用之間你如何做出關(guān)聯(lián)?當(dāng)有人詢問(wèn)前20名指標(biāo)列表時(shí)，對(duì)此你如何回應(yīng)?

Terri Curran：我喜歡談?wù)撔畔踩笜?biāo)：我絕對(duì)相信圍繞指標(biāo)的討論可以迸發(fā)出新的想法和創(chuàng)新。同時(shí)，我也認(rèn)為指標(biāo)很無(wú)聊，因?yàn)楹芏嘀笜?biāo)與現(xiàn)在的高管董事會(huì)無(wú)關(guān)。我曾參加董事會(huì)，只要CISO的指標(biāo)圖閃現(xiàn)在屏幕，大家就會(huì)開(kāi)始翻白眼，并偷偷查看電子郵件。

不過(guò)不要誤會(huì)我的意思：指標(biāo)依舊很重要。但與安全本身一樣，指標(biāo)必須與時(shí)俱進(jìn)。是否有前20名列表?當(dāng)然有，可以針對(duì)任何企業(yè)。

從我的經(jīng)驗(yàn)來(lái)看，最有用的指標(biāo)通常是可量化花在事物上時(shí)間的指標(biāo)。我不知道這是否是因?yàn)檫@種指標(biāo)涉及某些業(yè)務(wù)流程分析，或者只是因?yàn)闀r(shí)間指標(biāo)往往是對(duì)努力和花費(fèi)的有用的衡量標(biāo)準(zhǔn)。你對(duì)此有何經(jīng)驗(yàn)?

Curran：根據(jù)我多年有關(guān)指標(biāo)的失敗和成功的經(jīng)驗(yàn)，我認(rèn)為最有用的指標(biāo)應(yīng)該可以專注風(fēng)險(xiǎn)管理、合規(guī)性和創(chuàng)新性。在這些指標(biāo)中，有些指標(biāo)完全是以時(shí)間為基準(zhǔn)，有些則不是(特別是在‘創(chuàng)新’類別)。我認(rèn)為企業(yè)需要綜合基于時(shí)間、基于結(jié)果和前瞻性指標(biāo)來(lái)展示信息安全態(tài)勢(shì)，以及避免在董事會(huì)讓別人翻白眼。

在任何這三類指標(biāo)中，舊的SMART(具體、可衡量、可操作、相關(guān)、及時(shí))基準(zhǔn)可非常有效地啟動(dòng)指標(biāo)定義過(guò)程。除了這些特點(diǎn)，指標(biāo)必須易于管理或追蹤，它們需要是多用途和多層面的。

并且，應(yīng)該由進(jìn)行指標(biāo)工作的人來(lái)報(bào)告指標(biāo)信息。如果IT或數(shù)據(jù)中心人員在進(jìn)行所有的惡意軟件修復(fù)工作，則應(yīng)該由他們報(bào)告這方面的信息，以表明其在安全項(xiàng)目中的作用。CISO不應(yīng)該要求他們提供每月情況報(bào)告放入到她的報(bào)告中，而應(yīng)讓IT人員為其辛勤工作邀功，讓CISO創(chuàng)造新的指標(biāo)。在年底，IT領(lǐng)導(dǎo)者可提供年度總結(jié)，包含在CISO的年度安全報(bào)告中。其他業(yè)務(wù)部門可以通過(guò)其信息安全相關(guān)的指標(biāo)做同樣的事情，以說(shuō)明其對(duì)信息安全計(jì)劃提供的支持和努力。

當(dāng)然，網(wǎng)絡(luò)釣魚(yú)和惡意軟件嘗試次數(shù)、部署的補(bǔ)丁數(shù)量等所有基于技術(shù)的指標(biāo)都是很好的指標(biāo)，但我認(rèn)為風(fēng)險(xiǎn)指標(biāo)應(yīng)該涉及更廣的范圍。例如，好的風(fēng)險(xiǎn)管理指標(biāo)可能是可訪問(wèn)企業(yè)信息的第三方數(shù)量、執(zhí)行的第三方風(fēng)險(xiǎn)評(píng)估的數(shù)量以及妥善保護(hù)信息的第三方數(shù)量。很多公司仍然沒(méi)有考慮將第三方風(fēng)險(xiǎn)評(píng)估作為指標(biāo)產(chǎn)品組合的一部分，并且，可訪問(wèn)企業(yè)信息的供應(yīng)商的數(shù)量似乎總是讓高管驚訝。

另一個(gè)風(fēng)險(xiǎn)管理指標(biāo)可能是為遵守法律、法規(guī)和規(guī)章(網(wǎng)絡(luò)研討會(huì)、倡議團(tuán)隊(duì)或法律文件的更新)采取的積極活動(dòng)的數(shù)量。在這個(gè)領(lǐng)域中我最喜歡的指標(biāo)是外聯(lián)活動(dòng)。如果你定期與本地執(zhí)法以及安全官員接觸，這將是很好的物理、安全、風(fēng)險(xiǎn)管理和創(chuàng)新指標(biāo)。在這里我想說(shuō)的是，指標(biāo)可以是以人為中心的，而不是以技術(shù)為中心。

合規(guī)指標(biāo)主要基于外部合同和監(jiān)管合規(guī)要求，這非常簡(jiǎn)單。PCI DSS、NIST 800-53，很多要求都提供了很好的指標(biāo)作為執(zhí)行的一部分。衡量?jī)?nèi)部對(duì)信息政策的合規(guī)性更簡(jiǎn)單，因?yàn)槲覀冇幸约夹g(shù)為中心的數(shù)據(jù)丟失保護(hù)等監(jiān)控技術(shù)。我很感興趣的是追蹤計(jì)劃和進(jìn)行中的外部審計(jì)的數(shù)量，以及支持它們所需要的時(shí)間和資源。這是很老的指標(biāo)，但仍然很有效且有價(jià)值。

最近我最喜歡的是創(chuàng)新指標(biāo)。物理和信息安全計(jì)劃都需要發(fā)展，我們可以利用指標(biāo)來(lái)生成和說(shuō)明前瞻性活動(dòng)和理念。

并非所有創(chuàng)新想法將成為現(xiàn)實(shí)，但這本身就是一個(gè)指標(biāo)，不是嗎?例如，安全團(tuán)隊(duì)每個(gè)月可以開(kāi)展創(chuàng)新討論，從專業(yè)和個(gè)人角度提出可行的想法。我曾看到在創(chuàng)新討論中產(chǎn)生出很好的想法，從而帶來(lái)更好的指標(biāo)。下面是幾個(gè)例子：企業(yè)可以開(kāi)展“刪除日”，員工可以帶來(lái)文件進(jìn)行安全處置，這可以構(gòu)建良好的安全意識(shí)、對(duì)參與的員工數(shù)量以及刪除的總數(shù)(良好的企業(yè)社會(huì)責(zé)任)產(chǎn)生指標(biāo);或者提供免費(fèi)惡意軟件的培訓(xùn)課程并跟蹤員工參與情況。我聽(tīng)說(shuō)有傳言稱，有的企業(yè)創(chuàng)建安全意識(shí)演示讓員工帶回家與他們的孩子分享。我也喜歡展示“討論安全問(wèn)題的業(yè)務(wù)部門會(huì)議數(shù)量”。對(duì)于創(chuàng)新指標(biāo)，最好的事情是，如果在一個(gè)月產(chǎn)生10個(gè)創(chuàng)新想法，而只有三個(gè)變成現(xiàn)實(shí)，那又怎樣?畢竟你仍然在展現(xiàn)創(chuàng)新性。

在我看來(lái)，很多企業(yè)正越來(lái)越多地受到惡意軟件和基本網(wǎng)絡(luò)釣魚(yú)攻擊。當(dāng)我看到這種情況時(shí)，我的假設(shè)通常是，他們并沒(méi)有真正了解這對(duì)他們的嚴(yán)重影響，因?yàn)樗麄冃枰笜?biāo)。為了向高管解釋惡意軟件和最終用戶計(jì)算做法對(duì)企業(yè)的影響，你會(huì)衡量哪些事情?

Curran：有些企業(yè)喜歡進(jìn)行社會(huì)工程和網(wǎng)絡(luò)釣魚(yú)測(cè)試，這些都是衡量員工意識(shí)的很好指標(biāo)，并且這也為培訓(xùn)計(jì)劃帶來(lái)很好的信息。我認(rèn)為我們需要向管理層更好地展現(xiàn)其企業(yè)與同行業(yè)其他企業(yè)的比較。指標(biāo)可以用來(lái)顯示成熟度差距(或者良好的態(tài)勢(shì))，我希望有外部月度報(bào)告或摘要可向高管展示(按照行業(yè)或子行業(yè))在特定月份惡意軟件和網(wǎng)絡(luò)釣魚(yú)攻擊的報(bào)告數(shù)量，以及企業(yè)如何對(duì)這些報(bào)告作出響應(yīng)。這將是巨大的勝利，如果你知道這樣的資源，請(qǐng)讓我知道!

我曾對(duì)風(fēng)險(xiǎn)管理不屑一顧，因?yàn)檫@通常是“無(wú)用輸入+無(wú)用輸出”。但當(dāng)我開(kāi)始深入研究指標(biāo)時(shí)，我意識(shí)到你實(shí)際利用指標(biāo)的唯一途徑是開(kāi)始衡量事物。你是從哪里開(kāi)始的?如果你從頭開(kāi)始構(gòu)建指標(biāo)計(jì)劃，第一步是什么?

Curran：我為指標(biāo)發(fā)展制定了一個(gè)基本的工作表，這或許可以解釋我確定“增值”指標(biāo)的方法。這也可用作一種資源規(guī)劃工具或者作為RACI(誰(shuí)負(fù)責(zé)、誰(shuí)批準(zhǔn)、咨詢誰(shuí)和告訴誰(shuí))模式的輸入信息。

指標(biāo)本身需要可測(cè)量，或者定性或定量(百分比或其他數(shù)值)。這個(gè)工作表中最重要的部分是：什么問(wèn)題得到回答?如果沒(méi)有感興趣的問(wèn)題，那么，指標(biāo)并不值得追蹤。數(shù)據(jù)來(lái)源可以是使用的工具或者發(fā)出的調(diào)查;最后兩列非常簡(jiǎn)單。

最先開(kāi)始的是合規(guī)性要求，然后我會(huì)處理風(fēng)險(xiǎn)管理指標(biāo)，最后是創(chuàng)新指標(biāo)。這是可以逐漸構(gòu)建的成熟度曲線。不要忘記對(duì)指標(biāo)進(jìn)行衡量：我們上個(gè)月創(chuàng)建并報(bào)告了五個(gè)新的指標(biāo)。

人們?cè)陂_(kāi)始指標(biāo)計(jì)劃時(shí)犯的最大錯(cuò)誤是什么，以及應(yīng)該如何避免呢?

Curran：這個(gè)我有些慚愧，因?yàn)槲覍?duì)信息指標(biāo)探索深了，并且試圖尋找完整的產(chǎn)品組合，嘗試一次添加太多條目。我了解到，最好的指標(biāo)應(yīng)該可以向企業(yè)以及外部監(jiān)管者和審計(jì)員展現(xiàn)信息安全計(jì)劃的價(jià)值。在開(kāi)始之前就試圖完成太多指標(biāo)本身就是失敗的。

我們談到了前20名，我想要問(wèn)你：你目前最喜歡什么?

Curran：我先談?wù)劽總€(gè)類別中的五個(gè)指標(biāo)如何?其中有些我們已經(jīng)談到了，如果我要保護(hù)我公司的信息和物理資產(chǎn)，我會(huì)考慮以下指標(biāo)：

風(fēng)險(xiǎn)管理指標(biāo)

1. 執(zhí)行的第三方風(fēng)險(xiǎn)評(píng)估

2. 內(nèi)部和外部審計(jì)結(jié)果數(shù)量(當(dāng)前狀態(tài)、在過(guò)程中、完成等)

3. 高級(jí)別數(shù)據(jù)泄露防御統(tǒng)計(jì)(這也可被認(rèn)為是合規(guī)指標(biāo))

4. 基于分析師、供應(yīng)商報(bào)告與同類行業(yè)的基準(zhǔn)

5. 可訪問(wèn)受限制、機(jī)密或管制信息的供應(yīng)商數(shù)量(以及趨勢(shì))

合規(guī)指標(biāo)

1. 部署的修復(fù)程序以及所有常見(jiàn)的IT相關(guān)話題

2. 請(qǐng)求和授予的政策特例

3. 合規(guī)活動(dòng)安排(可能增加)

4. 為安全或隱私顧慮審查的合同數(shù)量(也可被視為風(fēng)險(xiǎn)管理)

5. 為應(yīng)對(duì)不斷變化進(jìn)行的法規(guī)或合同研究時(shí)間

創(chuàng)新指標(biāo)

1. 產(chǎn)生的新想法(簡(jiǎn)短的解釋)

2. 為發(fā)展批準(zhǔn)的想法

3. 開(kāi)展外聯(lián)會(huì)議(業(yè)務(wù)部門)

4. 開(kāi)展外聯(lián)會(huì)議(外部機(jī)構(gòu)、監(jiān)管部門、利益團(tuán)體;也可列為風(fēng)險(xiǎn)管理類別)

5. 個(gè)人和職業(yè)發(fā)展拓展(認(rèn)證指導(dǎo)、新的認(rèn)證)

我經(jīng)常聽(tīng)到計(jì)算機(jī)安全人員稱安全人員不知道如何與高管或業(yè)務(wù)部門交談，你怎么看?

Curran：這是很好的問(wèn)題。我的第一反應(yīng)是：不要說(shuō)話，而是傾聽(tīng)。我知道，這聽(tīng)起來(lái)很明顯，但我們通常都沒(méi)有認(rèn)真聽(tīng)業(yè)務(wù)部門同事的意見(jiàn)。

對(duì)于這個(gè)問(wèn)題，安全人員應(yīng)該少談技術(shù)，更多地談?wù)撘匀藶橹行牡娘L(fēng)險(xiǎn)管理。請(qǐng)記住，人們想要其企業(yè)獲得成功和確保安全，并且他們希望感覺(jué)他們是這一工作的一部分。安全部門應(yīng)該引出他們的保護(hù)本能，而不是危言聳聽(tīng)。通過(guò)展示對(duì)業(yè)務(wù)過(guò)程如何與安全整合的真誠(chéng)的興趣，來(lái)提高他們的信心。這些都是讓談話繼續(xù)下去以及建立他們信任的很好的方法。