衡量安全運營中心 (SOC) 的效率可能是一項艱巨的任務，但是平衡計分卡方法可以使此任務變得輕松。

現有 SOC 最佳實踐傾向于將重點放在響應、周期時間等操作指標上。不過，僅關注這些指標可能會導致盲點，繼而忽視甚至無視績效的關鍵組成。通過使用業(yè)務管理層平衡計分卡技術，我們將獲得更廣闊視野，進而更公正地評估 SOC 的績效。

什么是平衡計分卡？

平衡計分卡是一種業(yè)務績效管理技術，旨在從不同視角整合多個指標。該技術避免了只選擇單個指標而忽略其他項的子優(yōu)化。盡管平衡計分卡專為企業(yè)管理層編寫，但我們可以通過概念調整將其用于評估 SOC。

平衡計分卡引入了四個視角：財務、客戶、內部和改進。在每個視角中，每個團隊會確定按工作場所不同而有所差異的關鍵成功因素和績效基準。平衡計分卡可能會有年度更新，以確保每個視角的指標之間都保持良好的平衡。

財務視角

成本是每位財務經理所列清單的必要元素。正確定義和控制成本的 SOC 團隊將能夠更好地為內部管理層所接納。雖然總體預算是不錯的切入點，但我們能夠通過研究成本來獲得更多洞察力。這些成本可能與軟件許可、人員、存儲和位置相關。

SOC 可能在存儲上投入太多，因而需要尋求成本更低的存儲解決方案。此外，大量未充分使用的軟件許可可能是需要重新檢查的方面。平衡計分卡的指標可能包括總體預算、子團隊之間的分配或組成（固定或可變）。

客戶視角

接下來，我們要考慮小組中其他團隊的問題。安全團隊與其他團隊的互動如何？尤其是在 SOC 必須處理事件管理流程的情況下，配備經過充分測試的聯系途徑會起到至關重要的作用。其他團隊認為安全人員是否容易相處？報告可能發(fā)生的事件，他們是感覺到成就感還是疲憊？

客戶如何看待安全團隊是我們取得成功的關鍵。因此，在團隊內部和整個組織確立文化重要性非常關鍵。采用平衡計分卡進行此類追蹤的指標可能包括調查、內部參與度統(tǒng)計數據或其他形式的反饋。

內部視角

平衡計分卡的內部視角部分涵蓋了 SOC 的任務。根據范圍的不同，內部視角可以包含從監(jiān)控到事件管理或威脅捕獲的任何內容。此類追蹤的指標往往是最容易獲取的指標，因為大部分數字系統(tǒng)已經以可用格式將相應數據融入其中。

此外，我們還應考慮其他間接指標，比如員工流動率、員工士氣等。某些 SOC 的任務可能會是平平無奇或是令人感到有壓力的任務，因此我們要確保管理層隨時了解員工的健康情況。困斗于員工保留的 SOC 會錯失重要的知識積累，為其自身的未來績效帶來阻礙。因此，員工保留是評估 SOC 未來績效的關鍵預測指標。

創(chuàng)新和學習視角

最后，良好的安全性需要我們保持與新技術的同步并不斷作出改進。SOC 在部署新技術時必須能夠與組織保持同步，而安全人員也必須了解最新的建議、良好實踐和知識。通過具有里程碑和指導路徑的路線圖，我們可以通過平衡計分卡追蹤人員工作進度，而這也是團隊進步的良好跡象。其他指標的考慮方向是要能夠反映內部 SOC 工具的創(chuàng)建、系統(tǒng)優(yōu)化和其他改進。這些指標可用于評估團隊的未來準備情況。

使用平衡計分卡進行評估和改進

總之，只從單一視角評估 SOC 就只會發(fā)現一個需要改進的點。通過精心設計平衡計分卡，我們能夠更好地確保對整個 SOC 投入關注與精力。這既有利于眼下的團隊管理，也可為未來做好準備。

作者簡介

[[380499]]

Robert Calvert

IKS Security Focal，IBM

Robert 在 IBM Cloud 負責 Kubernetes 安全角色方面的工作，此前供職于 IBM Security。專業(yè)領域包括安全咨詢、運營和教育。

*立即前往2021全新安全專區(qū)，掌握最新安全技術趨勢 

IBM安全專家在線時間：3月5日、3月12日，下午16：30-17：00

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務部門，具有多年深耕全球和本地各行各業(yè)客戶的經驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構中的49家、15家最大的醫(yī)療機構中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構發(fā)布的12份不同的分析報告中，有12項技術解決方案被列為領導者，在產業(yè)中躋身首列。