CISO 資安長可以使用多個指標來提高安全工作的有效性,並展示關鍵業務的一致性,以及其他好處。
文/Michael Hill · 譯/酷魯
評量安全性能聽起來可能不是資安長議程上最令人興奮的任務,但正確的指標可以為安全領導者提供重要的價值,並幫助他們應對各式各樣的挑戰。現代安全和業務的交集意味著資安長不僅可以使用多種評量標準來評量和提高其安全努力的有效性,還可以展示與組織之間有價值戰略的一致性,以及許多其他好處。
然而,為了從任何安全性能指標中獲得真正的價值,重要的是資安長需要避免淹沒在缺乏意義或情境的指標中,而應專注於一些能顯示安全如何賦能業務的指標。
資訊安全論壇(Information Security Forum,ISF)首席研究分析師 Richard Absalom 表示,在安全性能方面,有成千上萬的事物可以評量,但想要擷取這些評量指標,並對其進行報告,需要花費大量的時間、精力和資源。「需要始終考慮的重要問題包括:我們為什麼要評量?這種評量方法有什麼幫助?它能幫助回答什麼問題?如果評量不能有助於回答利害關係人/決策者需要知道的問題,那麼它很可能被忽略。」
網路安全公司 Sevco Security 安全長 Brian Contos 指出,資安長需要有與業務相關的和以留意風險為導向的指標,而最重要的是有證據為基礎的指標。「需要指標的最高優先順序領域包括企業永續性、法規遵循、資產保護、營運效率和企業使命實現。」
以下是適當的安全性能指標可以為資安長帶來的 10 個好處:
1. 目標決策
事件應變評量指標(例如 MTTD 平均偵測時間和 MTTR 平均回應時間)提供定量資料,幫助資安長做出客觀決策。「透過追蹤和分析關鍵安全指標,資安長可以優先考慮工作,分配資源,並專注於最需要改進的領域,」美國系統網路安全研究院(SANS Institute)研究員、網路安全領導力課程(Cybersecurity Leadership Curriculum)負責人 Frank Kim 表示。
2. 展示 ROI 投資回報率
安全投資評量指標(比如處理了嵌入式安全之關鍵業務計畫的百分比)允許資安長向高階領導層和利害關係人展示安全計畫的投資報酬率(ROI)。透過展示這些努力如何對降低風險和預防事件起到積極的作用,這有助於證明預算和投資的合理性。「就風險而言,利害關係人關心的不是網路風險;而是來自網路的商業風險,」 Contos 表示。更具體地說,其風險與收入、品牌、營運、環境、社會和治理有關,他補充道。
3.有效的溝通
安全意識評量指標(比如定期參與安全大使計畫之業務單位的百分比)有助於傳達組織是否正在建立一種安全意識和風險意識的文化,同時能向非技術性的利害關係人提供了一種溝通安全風險和改進的共通語言,Kim 說。資安長可以使用評量指標來解釋安全措施的有效性和組織的整體安全狀況,這對許多安全領導者來說一直是一個挑戰。
請記住,資安長如果向董事會呈交過於技術性的評量指標報告,往往會適得其反,達不到預期的結果,因為董事會成員難以對其報告作情境化的理解,這是會計和諮詢公司 BPM 合夥人、前安侯建業(KPMG)網路安全實務負責人Fred Rica 的說法。他說:「告訴董事會你在防火牆上封鎖了 10 萬個異常事件是毫無意義的。董事會成員必需提問(亦即資安長需要回答)三個簡單的問題:我們正在做什麼?這足夠嗎?我們如何知道?」
4. 風險評估
漏洞管理評量指標(如暴露窗口)可以幫助資安長更好地瞭解組織的風險狀況,並透過監控趨勢和識別潛在漏洞,他們便可以在安全威脅升級之前主動解決安全威脅。
「歸根結底,漏洞管理就是要解決企業的已破窗戶和未鎖之門,」Kim 指出。「這些評量指標傳達了這些門可能打開的時間,並有助於彙總日常營運活動,如掃描覆蓋範圍、分析和優先排序所需的時間,以及修補所需的時間。」他補充道。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
5. 持續改進
安全流程改進評量指標(例如具有相同重複根本原因之事件的百分比)能隨著時間的推移追蹤進展,使資安長能夠設定特定的目標。「這種資料導向的方法有助於推動安全實踐的持續改進,並培養負責任的文化,」Kim 指出。這些基於風險的評量指標可以被納入年度報告、公司治理文件和委員會章程,因為安全對企業來說是戰略性的, Contos 表示。
6. 基準評分
安全成熟度評量指標(比如功能成熟度得分)可以與行業基準評分(比如各種 CIS 網際網路安全中心基準評分)或者甚至過去的性能得分進行比較,以幫助資安長瞭解其組織在安全成熟度方面的表現。這些資訊可以指導制定切實可行的安全目標和戰略。
對於董事會來說,NIST 網路安全框架的五大支柱似乎經常相互引起共鳴,Absalom 指出。安全負責人應該尋找有助於回答組織運行情況的指標和評量:
- 識別處於風險中的威脅和資產。
- 保護已識別的資產。
- 偵測威脅事件。
- 回應偵測到的事件。
- 從事故中復原並降低其影響性。
7. 法規遵循
由於許多法規和標準要求組織報告特定的安全評量指標,因此擁有合規性評量指標(例如符合必要標準或法規之系統的百分比)可以很容易地滿足合規性要求,並避免潛在的罰款,Kim 表示。
8. 早期發現問題
威脅偵測評量指標(例如由內部實體與外部實體偵測到的事件數量,或 False Positive 誤報率/ False Negative 漏報率)可以作為潛在安全事件或安全基礎設施弱點的早期預警訊號。資安長可以主動解決這些問題,以防止更大規模的入侵行為。
9. 資源最佳化
資源利用評量指標(比如花在主動安全任務和被動安全任務上的時間百分比)可以使資安長識別效率不彰或容錯式安全控制的領域,進而實現更好的資源配置和成本最佳化。事實證明,這對於幫助安全負責人解決備受詬病的網路安全技能短缺問題是至關重要。
英國創新科技部(Department for Science, Innovation and Technology,DSIT)最近的一份報告發現,一半的英國企業存在基本網路安全技能之缺口,三分之一的企業在安全方面面臨更先進技能的短缺,比如鑑識入侵分析、個人資料的儲存或傳輸,抑或惡意軟體的偵測和清除。
10. 建立信任
安全透明度評量指標(例如通報給業務的安全事件數量,或來自內部利害關係人的安全通報回饋分數)可以增強安全團隊與其他業務單位之間的信任等級。當安全措施的效果被量化,並透明地進行通報,就會提高人們對安全計畫的信心,Kim 表示。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
