Thor+Olavsrud
编译 杨勇
大多数企业并没有把衡量标准应用于网络安全工作中,即使是应用了的企业也经常做错。本文介绍了怎样确保您的网络安全项目得到回报。
您在衡量网络安全工作的价值和有效性吗?根据最近的安全衡量指数基准调查,世界上大部分企业都没有开展这项工作。如果没有建立适当的衡量标准,您实際上是在盲目工作。
甚至当企业的信息安全部门的确生成并提交了关于企业安全的数据时,也很少会有人去注意这些数据。
Joseph Carson是Thycotic的首席安全科学家,他根据ISO 27001规定的安全标准以及业界专家和协会的最佳实践建立了其安全衡量指数(SMI),他说:“很多企业在网络安全上做了一些努力,但他们并没有考虑这能否有效地对业务有所帮助。很多企业没有评估其风险和影响。他们不是从业务影响评估或者业务影响角度来看待这个问题。他们这样做是为了满足合规要求,他们的很多安全标准都指向这一点。”
信息安全论坛(ISF)是研究和分析安全和风险管理问题的非赢利协会,其常务理事Steve Durbin说:“安全和业务部门双方缺少协作。他们有共同语言吗?从安全部门的角度来看,自己所关注的重点应怎样与业务部门所关注的保持一致呢?”
在衡量网络安全有效性方面哪些做得不对
Thycotic是授权帐户管理(PAM)和端点权限管理解决方案提供商,通过调查400多名全球业务和安全高管,进行了SMI基准调查。研究发现,58%的受访者评估了他们企业在衡量网络安全投资和业绩方面的工作,认为效果不佳,远不如最佳实践。
调查还发现,虽然全球企业每年在网络安全防御上花费超过1千亿美元,但32%的企业盲目地做出业务决策,购买网络安全技术。此外,超过80%的受访者在做出网络安全采购决策时,没有考虑到业务部门的用户。他们也没有设立指导委员会来评估与网络安全投资相关的业务影响和风险。
据Durbin讲,这与ISF的看法是一致的。ISF发现很多首席信息安全官报告了错误的关键绩效指标(KPI)和关键风险指标(KRI)。Durbin把这归因于这一事实——大多数首席信息安全官很少或者根本没有与他们所报告的受众有交流。结果,他们猜测受众需要什么,在试图提供关于信息安全有效性、企业风险和信息安全计划等主题的管理报告时,他们就显得非常盲目。
Durbin说:“如果我不知道您在做什么,那我怎么帮助您?我要对您所做的工作做一些假设,这可能完全不对。安全人员总是在谈论成本。如果我们想改变这种现状,安全人员现在就会去找业务部门说,‘看,如果这对您来说非常重要,那我的工作就是帮助您进行保护,但出于种种原因,我没有足够的资金。然后,业务部门就会打电话,看看能不能为解决该问题找到资金。这不再是安全部门的问题,而是业务部门的问题。”
在网络安全方面,首席信息安全官有繁重的工作要做,而首席信息官也发挥着重要的作用,首先从提供实现安全功能所需的数据开始。
Carson说:“首席信息官的核心职责是确保企业拥有做出正确决策所需的信息。他们需要确定企业的核心、高级资产是什么,并对其进行分类。然后与首席信息安全官一起来保护它们。”
实现KPI和KRI的4个步骤
为帮助安全部门与业务部门相协调,ISF已经开发了四阶段的实用方法来实现KPI和KRI。Durbin说,这种方法将有助于信息安全职能部门主动响应业务部门的需求。他说,关键是要和正确的人进行正确的交流。
ISF的方法旨在应用于企业的各个层面,包括了四个阶段:
1. 通过参与了解业务环境,确定共同利益,同时开发KPR和KRI,从而建立关系。
2. 参与产生、校准和解释KPI/KRI组合,从而生成深度分析结果。
3. 通过参与向共同利益方提出相关建议,做出下一步决策,从而产生影响。
4. 通过参与开发学习和改进计划,不断学习和提高。
ISF方法的核心是参与的理念。参与可以建立关系并增进理解,从而使安全职能部门更好地响应业务需求。
参与始于正确的数据
参与从建立关系开始。在ISF的方法中,这意味着获得正确的数据,在合适的结构的支持下,为相应的受众校准这些数据。然后在整个企业中使用这些数据时,要保证其一致性。据ISF,建立关系需要六个步骤:
1. 了解业务环境;
2. 确定受众和合作者;
3. 确定共同利益;
4. 确定关键信息安全优先事项;
5. 设计KPI/KRI组合;
6. 测试和确认KPI/KRI组合。
一旦有了数据,就需要从中获得深度分析结果。ISF说,可靠的深度分析结果来自于理解KPI和KRI。生成深度分析结果涉及以下三个步骤:
1 收集数据;
2 产生和校准KPI/KRI组合;
3 解释KPI/KRI组合,以得到深度分析结果。
得到深度分析结果后,就可以去宣传推广了,确保以一种能被所有人接受和理解的方式报告和呈现信息。这就导致了决策和行动,如下所示:
1. 同意结论和建议;
2. 制作报告和演示文稿;
3. 准备报告和分发报告;
4.提出并商定下一步措施。
最后一步是根据前面步骤得到的所有一切来制定学习和改进计划。这样,根据ISF的做法,在准确把握业绩和风险的基础上做出合理的决策,企业就会相信信息安全职能部门能够积极响应业务部门的重要需求。
Carson说:“您应该养成一种不断发展的思维模式。这是一种文化,是一种意识。一切总是在不断发展中。”
Thor Olavsrud——资深作家,为CIO.com撰写IT安全、大数据、开源技术、Microsoft工具和服务器的文章。
原文网址:
http://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html