Измерение эффективности систем безопасности, возможно, не самая захватывающая задача для CISO – но она может быть весьма полезной для решения целого ряда проблем. Помимо понимания того, насколько эффективны их усилия по обеспечению безопасности, лица, принимающие решения в области безопасности, с помощью […] — csoonline.com
Измерение эффективности систем безопасности, возможно, не самая захватывающая задача для CISO, но она может быть весьма полезной для решения целого ряда проблем. Помимо понимания того, насколько эффективны их усилия по обеспечению безопасности, лица, принимающие решения в области безопасности, с помощью правильных метрик могут, среди прочего, продемонстрировать стратегическое соответствие потребностям бизнеса.
Однако для получения реальной пользы от метрик главное — сосредоточиться на тех, которые доказывают, что безопасность поддерживает бизнес. Метрики, лишенные значимости или контекста, следует игнорировать, как подчеркивает Ричард Абсалом, ведущий аналитик по исследованиям в Information Security Forum: «Можно измерить бесчисленное множество аспектов производительности систем безопасности — что требует много времени, усилий и ресурсов с точки зрения извлечения данных и отчетности. Спросите себя: зачем мы это измеряем? Как это нам помогает? На какой вопрос мы можем ответить с помощью этого? Если измерение не помогает предоставить важную информацию заинтересованным сторонам или лицам, принимающим решения, оно, скорее всего, будет проигнорировано».
10 метрик безопасности, от которых выигрывают CISO
Ниже мы выявили десять преимуществ, которые CISO могут получить с помощью соответствующих метрик безопасности, пообщавшись с экспертами и лицами, принимающими решения.
1. Метрики реагирования на инциденты
Например, среднее время обнаружения (MTTD) или среднее время реагирования (MTTR) предоставляют количественные данные, которые помогают CISO принимать объективные решения. Фрэнк Ким, сотрудник SANS Institute, объясняет: «Анализируя и отслеживая ключевые показатели безопасности, CISO могут расставлять приоритеты, выделять ресурсы и концентрироваться на областях, которые требуют самой срочной оптимизации».
2. Метрики инвестиций в безопасность
Например, знание того, какой процент ключевых бизнес-инициатив включает встроенные процессы безопасности, может помочь CISO продемонстрировать рентабельность инвестиций (ROI) в инициативы по безопасности руководству и заинтересованным сторонам. Таким образом показывается, как эти усилия способствуют снижению рисков и предотвращению инцидентов.
«Заинтересованных сторон волнуют не киберриски, а бизнес-риски, возникающие из киберсферы», — констатирует Брайан Контос, бывший CSO в Sevco Security. Он добавляет: «Более конкретно, речь идет о рисках, связанных с доходом, репутацией, операциями, а также ESG — экологией, социальной ответственностью и корпоративным управлением».
3. Метрики осведомленности о безопасности
К этой области относится, например, процент профильных отделов, участвующих в соответствующих программах. Эти метрики помогают определить, существует ли в компании культура безопасности или она формируется. Таким образом можно показать, насколько эффективно соответствующие инициативы влияют на общее состояние безопасности компании, что традиционно является проблемой для лиц, принимающих решения в области безопасности.
Фред Рика, бывший руководитель направления кибербезопасности в KPMG и партнер аудиторской компании BPM, поясняет: «CISO, представляющие технические метрики совету директоров, часто промахиваются мимо цели из-за отсутствия контекста. Сообщение совету о том, что брандмауэр заблокировал 100 000 событий, не принесет результата без соответствующего контекста».
4. Метрики управления уязвимостями
Метрики в области управления уязвимостями, такие как «Окно воздействия» (Window of Exposure), могут помочь CISO лучше понять профиль рисков своих организаций и активно противодействовать угрозам.
«В конечном счете, речь идет об устранении разбитых окон и незапертых дверей компании», — образно выражается эксперт SANS Ким. «Метрики управления уязвимостями показывают, как долго двери могут оставаться открытыми, и помогают наладить ежедневные рабочие процессы, например, в области сканирования или установки исправлений (Patching)».
5. Метрики улучшения процессов безопасности
Метрики улучшения процессов безопасности фиксируют прогресс с течением времени и позволяют CISO ставить и отслеживать конкретные цели. Примером метрики в этой области может служить процент инцидентов с одной и той же повторяющейся первопричиной.
«Этот подход, основанный на данных, способствует непрерывному совершенствованию практик безопасности и поощряет культуру ответственности», — отмечает Ким. Впоследствии метрики, основанные на рисках, могут быть включены в годовые отчеты или документы по корпоративному управлению.
6. Метрики зрелости безопасности
Метрики зрелости систем безопасности — например, оценки зрелости возможностей (Capability Maturity Scores) — можно сопоставлять с отраслевыми эталонами (например, с эталонами Центра интернет-безопасности) или с предыдущими результатами. Это позволяет лицам, принимающим решения в области безопасности, понять уровень зрелости безопасности своей организации, чтобы затем разработать реалистичные цели и стратегии безопасности.
По словам Ричарда Абсалома, ведущего аналитика в Internet Security Forum (ISF), ответственные за безопасность должны искать индикаторы и метрики, которые показывают, насколько хорошо организация:
- идентифицирует угрозы и уязвимые активы;
- защищает идентифицированные активы;
- обнаруживает события угроз;
- реагирует на обнаруженные события;
- восстанавливается после инцидентов и ограничивает их последствия.
7. Метрики соответствия требованиям (Compliance)
Поскольку многие нормы и стандарты также требуют отчетности по определенным метрикам безопасности, имеет смысл иметь метрики соответствия — например, процент систем, которые соответствуют определенным требованиям.
Ким резюмирует: «Это упрощает выполнение требований соответствия и позволяет избежать потенциальных штрафов».
8. Метрики обнаружения угроз
Показатели в области обнаружения угроз — такие как количество выявленных инцидентов или соотношение ложноположительных/ложноотрицательных срабатываний — могут служить ранними предупреждающими знаками о потенциальных инцидентах безопасности или уязвимостях в инфраструктуре.
Это позволяет CISO активно решать проблемы и предотвращать более крупные нарушения безопасности.
9. Метрики использования ресурсов
Метрики использования ресурсов, такие как процент времени, затрачиваемого на активные и реактивные задачи по обеспечению безопасности, позволяют CISO выявлять неэффективные области или избыточные меры контроля безопасности.
Это может привести к лучшему распределению ресурсов и, следовательно, к оптимизации затрат. Во времена сохраняющегося дефицита специалистов по безопасности это может стать решающей поддержкой для ответственных за безопасность.
10. Метрики прозрачности безопасности
Показатели прозрачности безопасности — например, количество сообщений об инцидентах безопасности, доведенных до сведения компании, или оценки внутренних заинтересованных сторон относительно коммуникации по вопросам безопасности — могут укрепить доверие между командой безопасности и другими бизнес-подразделениями.
«Когда эффективность мер безопасности количественно оценивается и прозрачно сообщается, это укрепляет доверие к программе безопасности», — констатирует эксперт SANS Ким. (fm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Michael Hill