【51CTO.com快譯】你會衡量你的網(wǎng)絡(luò)安全工作的價值和有效性嗎？事實上，目前世界上大多數(shù)公司都沒有做到這一點(diǎn)。甚至當(dāng)新的信息安全功能生成和企業(yè)安全數(shù)據(jù)交付時，都沒有統(tǒng)一的標(biāo)準(zhǔn)來讀取。如果不建立適當(dāng)?shù)木W(wǎng)絡(luò)安全度量標(biāo)準(zhǔn)，這的確無法定義。

Thycotic公司***安全科學(xué)家Joseph Carson根據(jù)ISO27001規(guī)定、行業(yè)專家和協(xié)會的經(jīng)驗，針對網(wǎng)絡(luò)安全工作推出了SMI安全測量指數(shù)。Joseph Carson認(rèn)為，許多公司在網(wǎng)絡(luò)安全方面做出努力，但這些努力和公司的效益并不掛鉤。許多公司沒有評估網(wǎng)絡(luò)風(fēng)險對其業(yè)務(wù)的影響。他們不是從對業(yè)務(wù)影響的角度來看待這個問題。他們做網(wǎng)絡(luò)安全只是為了滿足合規(guī)性，許多安全指標(biāo)都是這么設(shè)定的。
 

[[205131]]

ISF信息安全論壇是一個專門討論網(wǎng)絡(luò)安全問題的非營利性組織，這個組織的總經(jīng)理Steve Durbin認(rèn)為，企業(yè)效益和網(wǎng)絡(luò)安全之間缺乏一種衡量機(jī)制。兩者之間應(yīng)該建立起一種共同語言，我們應(yīng)該從企業(yè)盈利的角度來看待網(wǎng)絡(luò)安全問題。

如何衡量網(wǎng)絡(luò)安全工作的有效性？
Cybera Thycotic是特權(quán)帳戶管理（PAM）和端點(diǎn)的權(quán)限管理解決方案的供應(yīng)商，它調(diào)查了超過400個全球業(yè)務(wù)和安全主管，從而創(chuàng)造SMI基準(zhǔn)調(diào)查。研究發(fā)現(xiàn)，在針對這些企業(yè)的網(wǎng)絡(luò)安全工作有效性評估中，有58%的受訪企業(yè)得分不及格。

調(diào)查還發(fā)現(xiàn)，雖然全球公司每年在網(wǎng)絡(luò)安全防御上花費(fèi)超過1000億美元，但32%的公司做出商業(yè)決策時，盲目購買網(wǎng)絡(luò)安全技術(shù)。超過80%的企業(yè)在網(wǎng)絡(luò)安全購買決策時沒有對業(yè)務(wù)用戶構(gòu)成影響。他們也沒有設(shè)立一個指導(dǎo)委員會來評估與網(wǎng)絡(luò)安全投資相關(guān)的業(yè)務(wù)影響和風(fēng)險。

ISF調(diào)查發(fā)現(xiàn)，許多***信息安全官（CISO）錯報了關(guān)鍵績效指標(biāo)（KPI）和關(guān)鍵風(fēng)險指標(biāo)（KRIS）。大多數(shù)CISO很少或根本沒有從用戶的角度獲取安全有效性的實際效果。他們在試圖猜測他們的受眾需要什么，在試圖提供關(guān)于信息安全有效性、組織風(fēng)險和信息安全安排等主題的管理報告時，失去了有效的指標(biāo)。

網(wǎng)絡(luò)安全人員時常在考慮成本問題，而CISO們要承擔(dān)的是許多繁重的工作。對于網(wǎng)絡(luò)安全，CIO也發(fā)揮著重要的作用：提供安全功能與數(shù)據(jù)。Carson認(rèn)為"CIO的核心職責(zé)是確保組織擁有正確決策所需的信息。他們需要確定組織的核心、高級資產(chǎn)是什么，對它們進(jìn)行分類，再與***信息安全官協(xié)同工作來保護(hù)它們。"

制定KPI和KRI的四個步驟
為實現(xiàn)安全部門與業(yè)務(wù)部門掛鉤，ISF提出了四個步驟的實用方法來制定有效的KPI和KRI。Durbin說，這種方法將有助于信息安全功能主動響應(yīng)業(yè)務(wù)需求。他說，關(guān)鍵是要和正確的人進(jìn)行正確的對話。ISF的方法設(shè)計適用于組織的各個層面，這四個步驟包括：

·通過了解企業(yè)環(huán)境建立關(guān)聯(lián)，確定共同的利益發(fā)展KPI和KRI
·從生產(chǎn)/效益的角度出發(fā)，校準(zhǔn)和解釋KPI/KRI。
·參與討論有關(guān)共同利益的建議，并就下一步的規(guī)則制定作出決定，從而帶來積極效果。
·通過開發(fā)學(xué)習(xí)和改進(jìn)計劃來學(xué)習(xí)和改進(jìn)
依據(jù)ISF提出的這四個步驟，建立網(wǎng)絡(luò)安全與生產(chǎn)效益之間的聯(lián)系，從而使安全功能更好地響應(yīng)業(yè)務(wù)需求。

制定的規(guī)則來源于正確的數(shù)據(jù)
開始建立關(guān)聯(lián)必須依靠正確的數(shù)據(jù)作為支撐，數(shù)據(jù)必須來自精準(zhǔn)的用戶，才能支撐起正確的結(jié)構(gòu)。然后必須在整個組織中一致地使用這些數(shù)據(jù)。建立關(guān)聯(lián)，需要六個步驟：

·理解業(yè)務(wù)內(nèi)容
·識別受眾和合作者
·確定共同利益
·確定關(guān)鍵的信息安全問題
·設(shè)計KPI/KRI
·測試和確認(rèn)KPI/KRI

一旦獲得數(shù)據(jù)，你就要從中洞察和產(chǎn)生新的見解，可信的見解還來自于對KPI和KRI的理解。產(chǎn)生的見解，包括以下三個步驟：

·收集數(shù)據(jù)
·生產(chǎn)和檢定KPI/KRI
·闡明KPI/KRI設(shè)定的意義

有了真知灼見之后，是時候產(chǎn)生影響了，確保信息被報道并以一種被所有人所接受和理解的方式呈現(xiàn)。這導(dǎo)致了決策和行動：

·認(rèn)同結(jié)論，提出建議
·制作報告和演示文稿
·準(zhǔn)備報告和分發(fā)報告
·提出并商定下一步

***一步是根據(jù)前面的步驟進(jìn)行的改進(jìn)計劃。根據(jù)ISF的調(diào)研，改進(jìn)計劃基于績效和風(fēng)險的預(yù)估，提供信息安全、組織保證功能就是主動回應(yīng)企業(yè)的優(yōu)先事項和其他需要。Carson說，"你需要養(yǎng)成一種不斷進(jìn)化的心態(tài)。"這是一種文化，一種意識工程。它總是在進(jìn)行中。"

作者：ThorOlavsrud
原文鏈接：https://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html
劉妮娜譯

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】