衡量安全性能聽起來(lái)可能不是CISO議程上最令人興奮的工作，但正確的指標(biāo)可以為安全領(lǐng)導(dǎo)者帶來(lái)重大價(jià)值，并在很大程度上幫助他們應(yīng)對(duì)各種挑戰(zhàn)?，F(xiàn)代安全和業(yè)務(wù)的交集意味著有多種衡量標(biāo)準(zhǔn)，CISO不僅可以用來(lái)衡量和提高其安全工作的有效性，還可以展示與企業(yè)的有價(jià)值的戰(zhàn)略一致性，以及許多其他好處。

然而，為了從任何安全性能指標(biāo)中獲得真正的價(jià)值，重要的是CIO避免淹沒(méi)在缺乏意義的指標(biāo)中，專注于那些顯示安全如何支持業(yè)務(wù)的指標(biāo)。

信息安全論壇(ISF)的首席研究分析師理查德·阿卜杜勒姆表示，有數(shù)千種東西可以用安全性能來(lái)衡量，提取這些衡量標(biāo)準(zhǔn)并進(jìn)行報(bào)告需要足夠的時(shí)間、精力和資源。“需要始終考慮的重要一點(diǎn)是：我們?yōu)槭裁匆饬窟@一點(diǎn)?這種衡量有什么幫助?它可以幫助回答什么問(wèn)題?如果衡量無(wú)助于回答利益相關(guān)者/決策者需要知道的事情，它很可能會(huì)被忽視?！?/p>

Sevco Security的CSO布萊恩·康托斯告訴CSO，CISO需要與業(yè)務(wù)相關(guān)、專注于風(fēng)險(xiǎn)，而且最關(guān)鍵的是基于證據(jù)的指標(biāo)。需要指標(biāo)的最優(yōu)先領(lǐng)域包括業(yè)務(wù)連續(xù)性、法規(guī)遵從性、資產(chǎn)保護(hù)、運(yùn)營(yíng)效率和業(yè)務(wù)使命實(shí)現(xiàn)。

以下是正確的安全性能指標(biāo)可以為CISO提供的10大優(yōu)勢(shì)：

1、客觀決策

事件響應(yīng)指標(biāo)——如平均檢測(cè)時(shí)間和平均響應(yīng)時(shí)間——提供了有助于CISO做出客觀決策的定量數(shù)據(jù)。SANS研究所研究員、網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力課程負(fù)責(zé)人Frank Kim表示，通過(guò)跟蹤和分析關(guān)鍵安全指標(biāo)，CISO可以確定努力的優(yōu)先順序，分配資源，并將重點(diǎn)放在最需要改進(jìn)的領(lǐng)域。

2、展示投資回報(bào)

安全投資指標(biāo)——例如處理了嵌入式安全的關(guān)鍵業(yè)務(wù)計(jì)劃的百分比——使CIO能夠向執(zhí)行領(lǐng)導(dǎo)層和利益相關(guān)者展示安全計(jì)劃的ROI。這有助于證明預(yù)算和投資的合理性，因?yàn)樗@示了這些努力如何有助于降低風(fēng)險(xiǎn)和預(yù)防事故?！瓣P(guān)于風(fēng)險(xiǎn)，利益相關(guān)者擔(dān)心的不是網(wǎng)絡(luò)風(fēng)險(xiǎn)，而是網(wǎng)絡(luò)帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)?！笨低兴拐f(shuō)。更具體地說(shuō)，這是與收入、品牌、運(yùn)營(yíng)以及環(huán)境、社會(huì)和治理相關(guān)的風(fēng)險(xiǎn)，他補(bǔ)充道。

3、有效溝通

Kim說(shuō)，安全意識(shí)指標(biāo)——例如定期參與大使計(jì)劃的業(yè)務(wù)部門的活動(dòng)，有助于傳達(dá)一個(gè)企業(yè)是否正在建立一種具有安全意識(shí)和風(fēng)險(xiǎn)意識(shí)的文化，為向非技術(shù)利益相關(guān)者傳達(dá)安全風(fēng)險(xiǎn)和改進(jìn)提供了共同語(yǔ)言。CISO可以使用指標(biāo)來(lái)解釋安全措施的有效性和企業(yè)的整體安全態(tài)勢(shì)，這在傳統(tǒng)上是許多安全領(lǐng)導(dǎo)者面臨的挑戰(zhàn)。

會(huì)計(jì)和咨詢公司BPM的合伙人、畢馬威網(wǎng)絡(luò)業(yè)務(wù)前負(fù)責(zé)人弗雷德·里奇表示，記住，多次向董事會(huì)提交非常技術(shù)性的指標(biāo)讀數(shù)的CIO沒(méi)有抓住重點(diǎn)，因?yàn)槎聲?huì)成員無(wú)法將它們聯(lián)系起來(lái)。弗雷德·里奇曾擔(dān)任畢馬威網(wǎng)絡(luò)業(yè)務(wù)主管，他表示：“告訴董事會(huì)你已經(jīng)在防火墻上阻止了10萬(wàn)個(gè)事件是毫無(wú)意義的。董事會(huì)成員需要問(wèn)(而CIO需要回答)三個(gè)簡(jiǎn)單的問(wèn)題：我們?cè)谧鍪裁?這足夠嗎?我們?cè)趺粗?”

4、風(fēng)險(xiǎn)評(píng)估

漏洞管理指標(biāo)——如暴露窗口——可幫助CIO更好地了解企業(yè)的風(fēng)險(xiǎn)概況，并通過(guò)監(jiān)控趨勢(shì)和識(shí)別潛在漏洞，在安全威脅升級(jí)之前主動(dòng)應(yīng)對(duì)。

“歸根結(jié)底，漏洞管理是為了解決企業(yè)的破損窗戶和未上鎖的門?！彼a(bǔ)充說(shuō)?！斑@些指標(biāo)傳達(dá)了這些門可能會(huì)打開多長(zhǎng)時(shí)間，并用于匯總?cè)粘＿\(yùn)營(yíng)活動(dòng)，如掃描覆蓋范圍、分析和確定優(yōu)先順序的時(shí)間，以及修補(bǔ)時(shí)間?！彼a(bǔ)充道。

5、持續(xù)改進(jìn)

安全流程改進(jìn)指標(biāo)——例如具有相同重復(fù)根本原因的事件的百分比——跟蹤一段時(shí)間內(nèi)的進(jìn)展，從而使CISO能夠設(shè)定特定目標(biāo)?！斑@種數(shù)據(jù)驅(qū)動(dòng)的方法有助于推動(dòng)安全實(shí)踐的持續(xù)改進(jìn)，并培養(yǎng)一種負(fù)責(zé)任的文化?！盞im說(shuō)。Contos說(shuō)，這些基于風(fēng)險(xiǎn)的指標(biāo)然后可以寫入年度報(bào)告、公司治理文件和委員會(huì)章程，因?yàn)榘踩珜?duì)業(yè)務(wù)具有戰(zhàn)略意義。

6、標(biāo)桿管理

安全成熟度指標(biāo)——例如功能成熟度分?jǐn)?shù)——可以與各種行業(yè)基準(zhǔn)(如各種互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)，甚至過(guò)去的表現(xiàn))進(jìn)行比較，以幫助CIO了解其企業(yè)在安全成熟度方面的表現(xiàn)。這些信息可以指導(dǎo)制定現(xiàn)實(shí)的安全目標(biāo)和戰(zhàn)略。

Absalom說(shuō)，對(duì)于董事會(huì)來(lái)說(shuō)，NIST網(wǎng)絡(luò)安全框架的五大支柱似乎經(jīng)常引起共鳴。安全領(lǐng)導(dǎo)者應(yīng)尋找有助于回答企業(yè)狀況的指標(biāo)：

• 確定威脅和風(fēng)險(xiǎn)資產(chǎn)。
• 保護(hù)已確定的資產(chǎn)。
• 檢測(cè)威脅事件。
• 對(duì)檢測(cè)到的事件作出響應(yīng)。
• 從事件中恢復(fù)過(guò)來(lái)，并限制其影響。

7、合規(guī)

Kim說(shuō)，由于許多法規(guī)和標(biāo)準(zhǔn)要求企業(yè)報(bào)告特定的安全指標(biāo)，擁有隨時(shí)可用的合規(guī)指標(biāo)——例如符合必要標(biāo)準(zhǔn)或法規(guī)的系統(tǒng)的百分比——可以更容易地滿足合規(guī)要求，并避免潛在的處罰。

8、及早發(fā)現(xiàn)問(wèn)題

威脅檢測(cè)指標(biāo)——例如內(nèi)部實(shí)體與外部實(shí)體檢測(cè)到的事件數(shù)量或誤判——可以作為安全基礎(chǔ)設(shè)施中潛在安全事件或弱點(diǎn)的早期預(yù)警信號(hào)。CISO可以主動(dòng)解決這些問(wèn)題，以防止更大規(guī)模的違規(guī)行為。

9、資源優(yōu)化

資源利用率指標(biāo)——例如花在主動(dòng)安全任務(wù)和被動(dòng)安全任務(wù)上的時(shí)間百分比——使CISO能夠識(shí)別效率低下或冗余的安全控制領(lǐng)域，從而實(shí)現(xiàn)更好的資源分配和成本優(yōu)化。事實(shí)證明，這對(duì)于幫助安全領(lǐng)導(dǎo)人解決備受詬病的網(wǎng)絡(luò)安全技能短缺問(wèn)題至關(guān)重要。

英國(guó)科學(xué)、創(chuàng)新和技術(shù)部(DSIT)最近的一份報(bào)告發(fā)現(xiàn)，一半的英國(guó)企業(yè)存在基本的網(wǎng)絡(luò)安全技能缺口，三分之一的企業(yè)在安全方面面臨更高級(jí)的技能短缺，如法醫(yī)漏洞分析、存儲(chǔ)或傳輸個(gè)人數(shù)據(jù)，或者檢測(cè)和刪除惡意軟件。

10、建立信任.

安全透明度指標(biāo)——例如傳達(dá)給業(yè)務(wù)的安全事件數(shù)量或內(nèi)部利益相關(guān)者對(duì)安全通信的反饋分?jǐn)?shù)——可以增強(qiáng)安全團(tuán)隊(duì)和其他業(yè)務(wù)部門之間的信任級(jí)別。Kim說(shuō)，當(dāng)安全措施的有效性被量化并透明地傳達(dá)時(shí)，它會(huì)增強(qiáng)人們對(duì)安全計(jì)劃的信心。