衡量网络安全计划健康状况的四个关键

想象一下没有翻译的联合国大会——人们会说几十种不同的语言。这就是安全团队与其组织的董事会共享指标和数据时发生的情况。ASP站长网

沟通鸿沟让许多 CISO 难以解释安全投资的价值——如果安全专业人员无法传达该价值，他们就有可能与业务优先事项不同步，或给领导者一种关于安全准备的错误信心。

好消息是，在网络安全方面，董事会认识到参与网络安全问题的重要性，并且在该主题上变得更加复杂。据 Gartner 称，到 2025 年，40% 的董事会将拥有一个由合格董事会成员监督的专门网络安全委员会，而目前这一比例不到 10%。但安全计划的日常指标与董事会优先事项之间仍然存在差距。

1. 迷失在翻译中

幸运的是，有些指标对两个团队都有意义且重要，因此每个人都可以说同一种语言——不需要翻译。这些指标产生洞察力，董事会和安全团队可以在考虑人员、流程和技术的同时共同采取行动。

董事会的核心是批准组织的战略方向以及组织如何分配资源和降低风险。安全领导者必须提出与业务目标一致的指标，才能在指标经常达不到这个目标的原因：董事会层面产生影响。这就是为什么许多安全。

诸如每日网络钓鱼警报数量之类的指标不提供上下文——也就是说，它们不会通知CISO这些数字是好消息还是坏消息。如果指标不指向后续步骤，例如更改流程、更好地配置产品或识别自动化机会，则行动路径尚不清楚。

指标通常说明工具的使用方式，而不是它们产生的结果以及这些结果的实际含义。基于工具的度量标准被认为是安全领域的唾手可得的成果——它们很容易获得，但无助于解决问题。

通常，组织不会处理人员、流程和技术——构建公司安全模型如何执行的全局视图所必需的三个关键支柱。

虽然这些是需要避免的指标，但有一些不同的指标对领导力很重要，并且可以为更多利益相关者所理解，而不仅仅是安全团队。这些指标侧重于正在部署的资源(即安全程序工具和人员)的有效性，以及确保具有适当的可见性以降低风险。

2. 工具功效

董事会成员和安全专业人员需要知道安全投资是否有回报。要了解当前工具是否有效，请衡量团队在使用这些工具时遇到的问题数量、中断或不活动服务的数量以及供应商支持票的数量等因素。此外，跟踪每个工具的特性和功能的集成程度——这是衡量工具投资回报率的一个很好的方法。

（编辑：焦作站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!