想象一下沒有翻譯的聯(lián)合國大會——人們會說幾十種不同的語言。這就是安全團(tuán)隊與其組織的董事會共享指標(biāo)和數(shù)據(jù)時發(fā)生的情況。

溝通鴻溝讓許多 CISO 難以解釋安全投資的價值——如果安全專業(yè)人員無法傳達(dá)該價值，他們就有可能與業(yè)務(wù)優(yōu)先事項不同步，或給領(lǐng)導(dǎo)者一種關(guān)于安全準(zhǔn)備的錯誤信心。

好消息是，在網(wǎng)絡(luò)安全方面，董事會認(rèn)識到參與網(wǎng)絡(luò)安全問題的重要性，并且在該主題上變得更加復(fù)雜。據(jù) Gartner 稱，到 2025 年，40% 的董事會將擁有一個由合格董事會成員監(jiān)督的專門網(wǎng)絡(luò)安全委員會，而目前這一比例不到 10%。但安全計劃的日常指標(biāo)與董事會優(yōu)先事項之間仍然存在差距。

[[424353]]

1. 迷失在翻譯中

幸運(yùn)的是，有些指標(biāo)對兩個團(tuán)隊都有意義且重要，因此每個人都可以說同一種語言——不需要翻譯。這些指標(biāo)產(chǎn)生洞察力，董事會和安全團(tuán)隊可以在考慮人員、流程和技術(shù)的同時共同采取行動。

董事會的核心是批準(zhǔn)組織的戰(zhàn)略方向以及組織如何分配資源和降低風(fēng)險。安全領(lǐng)導(dǎo)者必須提出與業(yè)務(wù)目標(biāo)一致的指標(biāo)，才能在指標(biāo)經(jīng)常達(dá)不到這個目標(biāo)的原因：董事會層面產(chǎn)生影響。這就是為什么許多安全。

諸如每日網(wǎng)絡(luò)釣魚警報數(shù)量之類的指標(biāo)不提供上下文——也就是說，它們不會通知CISO這些數(shù)字是好消息還是壞消息。如果指標(biāo)不指向后續(xù)步驟，例如更改流程、更好地配置產(chǎn)品或識別自動化機(jī)會，則行動路徑尚不清楚。

指標(biāo)通常說明工具的使用方式，而不是它們產(chǎn)生的結(jié)果以及這些結(jié)果的實際含義?；诠ぞ叩亩攘繕?biāo)準(zhǔn)被認(rèn)為是安全領(lǐng)域的唾手可得的成果——它們很容易獲得，但無助于解決問題。

通常，組織不會處理人員、流程和技術(shù)——構(gòu)建公司安全模型如何執(zhí)行的全局視圖所必需的三個關(guān)鍵支柱。

雖然這些是需要避免的指標(biāo)，但有一些不同的指標(biāo)對領(lǐng)導(dǎo)力很重要，并且可以為更多利益相關(guān)者所理解，而不僅僅是安全團(tuán)隊。這些指標(biāo)側(cè)重于正在部署的資源(即安全程序工具和人員)的有效性，以及確保具有適當(dāng)?shù)目梢娦砸越档惋L(fēng)險。

2. 工具功效

董事會成員和安全專業(yè)人員需要知道安全投資是否有回報。要了解當(dāng)前工具是否有效，請衡量團(tuán)隊在使用這些工具時遇到的問題數(shù)量、中斷或不活動服務(wù)的數(shù)量以及供應(yīng)商支持票的數(shù)量等因素。此外，跟蹤每個工具的特性和功能的集成程度——這是衡量工具投資回報率的一個很好的方法。

3. 能見度

計算支持企業(yè)的系統(tǒng)總數(shù)以及這些系統(tǒng)中有多少收集和分析日志。對每個環(huán)境進(jìn)行相同的數(shù)學(xué)計算。例如，如果有多個云環(huán)境，對這些環(huán)境的可見性范圍是否與本地數(shù)據(jù)中心相同?然后，確定是否從這些系統(tǒng)中收集了足夠數(shù)量的數(shù)據(jù)，以符合適用的行業(yè)框架(例如 NIST、CSF 和 MITRE)，這些框架可以評估由此產(chǎn)生的威脅檢測和響應(yīng)能力。

4. 團(tuán)隊生產(chǎn)力

考慮團(tuán)隊花時間做什么，比如處理誤報——這可能導(dǎo)致警報疲勞——或故障排除和管理工具，以及他們在這些干擾的情況下通常對問題的響應(yīng)速度有多快(使用平均響應(yīng)時間，或 MTTR)。通過匯總各種團(tuán)隊指標(biāo)，組織可以了解他們是否配備適當(dāng)?shù)娜藛T或團(tuán)隊是否需要更多培訓(xùn)。隨著重點轉(zhuǎn)向提供背景和數(shù)字的指標(biāo)，組織也可以考慮從合作伙伴或研究機(jī)構(gòu)那里尋找指標(biāo)——尤其是如果這意味著尋找同行或行業(yè)基準(zhǔn)統(tǒng)計數(shù)據(jù)來衡量團(tuán)隊的績效。當(dāng)然，這是一個很難衡量的類別——但因為它是“人”的支柱，所以它非常重要。

衡量工具功效、可見性和團(tuán)隊績效的指標(biāo)對于長期跟蹤以獲取有關(guān)趨勢的信息也很重要——這是為指標(biāo)提供上下文的另一個關(guān)鍵要求。理想情況下，組織應(yīng)展示對人員、流程和技術(shù)的每項投資如何改進(jìn)安全計劃并降低企業(yè)風(fēng)險。如果可以共享此類指標(biāo)，溝通差距將開始消失，每個人都將使用相同的業(yè)務(wù)語言——確保組織的安全計劃與業(yè)務(wù)目標(biāo)保持一致，并且組織可以專注于其核心使命。