网络安全实效性衡量指南:如何作出准确评估
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
【51CTO.com快译】你会衡量你的网络安全工作的价值和有效性吗?事实上,目前世界上大多数公司都没有做到这一点。甚至当新的信息安全功能生成和企业安全数据交付时,都没有统一的标准来读取。如果不建立适当的网络安全度量标准,这的确无法定义。
Thycotic公司***安全科学家Joseph Carson根据ISO27001规定、行业专家和协会的经验,针对网络安全工作推出了SMI安全测量指数。Joseph Carson认为,许多公司在网络安全方面做出努力,但这些努力和公司的效益并不挂钩。许多公司没有评估网络风险对其业务的影响。他们不是从对业务影响的角度来看待这个问题。他们做网络安全只是为了满足合规性,许多安全指标都是这么设定的。
ISF信息安全论坛是一个专门讨论网络安全问题的非营利性组织,这个组织的总经理Steve Durbin认为,企业效益和网络安全之间缺乏一种衡量机制。两者之间应该建立起一种共同语言,我们应该从企业盈利的角度来看待网络安全问题。
如何衡量网络安全工作的有效性?
Cybera Thycotic是特权帐户管理(PAM)和端点的权限管理解决方案的供应商,它调查了超过400个全球业务和安全主管,从而创造SMI基准调查。研究发现,在针对这些企业的网络安全工作有效性评估中,有58%的受访企业得分不及格。
调查还发现,虽然全球公司每年在网络安全防御上花费超过1000亿美元,但32%的公司做出商业决策时,盲目购买网络安全技术。超过80%的企业在网络安全购买决策时没有对业务用户构成影响。他们也没有设立一个指导委员会来评估与网络安全投资相关的业务影响和风险。
ISF调查发现,许多***信息安全官(CISO)错报了关键绩效指标(KPI)和关键风险指标(KRIS)。大多数CISO很少或根本没有从用户的角度获取安全有效性的实际效果。他们在试图猜测他们的受众需要什么,在试图提供关于信息安全有效性、组织风险和信息安全安排等主题的管理报告时,失去了有效的指标。
网络安全人员时常在考虑成本问题,而CISO们要承担的是许多繁重的工作。对于网络安全,CIO也发挥着重要的作用:提供安全功能与数据。Carson认为"CIO的核心职责是确保组织拥有正确决策所需的信息。他们需要确定组织的核心、高级资产是什么,对它们进行分类,再与***信息安全官协同工作来保护它们。"
制定KPI和KRI的四个步骤
为实现安全部门与业务部门挂钩,ISF提出了四个步骤的实用方法来制定有效的KPI和KRI。Durbin说,这种方法将有助于信息安全功能主动响应业务需求。他说,关键是要和正确的人进行正确的对话。ISF的方法设计适用于组织的各个层面,这四个步骤包括:
·通过了解企业环境建立关联,确定共同的利益发展KPI和KRI
·从生产/效益的角度出发,校准和解释KPI/KRI。
·参与讨论有关共同利益的建议,并就下一步的规则制定作出决定,从而带来积极效果。
·通过开发学习和改进计划来学习和改进
依据ISF提出的这四个步骤,建立网络安全与生产效益之间的联系,从而使安全功能更好地响应业务需求。
制定的规则来源于正确的数据
开始建立关联必须依靠正确的数据作为支撑,数据必须来自精准的用户,才能支撑起正确的结构。然后必须在整个组织中一致地使用这些数据。建立关联,需要六个步骤:
·理解业务内容
·识别受众和合作者
·确定共同利益
·确定关键的信息安全问题
·设计KPI/KRI
·测试和确认KPI/KRI
一旦获得数据,你就要从中洞察和产生新的见解,可信的见解还来自于对KPI和KRI的理解。产生的见解,包括以下三个步骤:
·收集数据
·生产和检定KPI/KRI
·阐明KPI/KRI设定的意义
有了真知灼见之后,是时候产生影响了,确保信息被报道并以一种被所有人所接受和理解的方式呈现。这导致了决策和行动:
·认同结论,提出建议
·制作报告和演示文稿
·准备报告和分发报告
·提出并商定下一步
***一步是根据前面的步骤进行的改进计划。根据ISF的调研,改进计划基于绩效和风险的预估,提供信息安全、组织保证功能就是主动回应企业的优先事项和其他需要。Carson说,"你需要养成一种不断进化的心态。"这是一种文化,一种意识工程。它总是在进行中。"
作者:ThorOlavsrud
原文链接:https://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html
刘妮娜译
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
当安全团队在寻求解决方案的时候,他们在寻找什么?
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 虽然我们很难准确地指出信息安全市场的确切规模,但可以肯定的是,即其规模日渐增长。无论是对人力、过程,还是技术方面的投资,在未来的几年都将继续增长。但是,对于所有这些投资,如果你问一些安全购买者在找什么样的方案或产品,其中的多数可能会说还没有找到正在找的东西。 信息安全市场由大量的厂商以及子市场组成。让我们做一个大胆的假设:信息安全的购买者成功地记住了名片资料、电子邮件、职业社交网站的邀请。那么,问题就变成:企业要传达什么样的卖点,如何引起购买者的共鸣? 某厂商所强调的产品或服务也许在激烈的市场竞争中只是比竞争者稍微好一点。或者,可能厂商宣传中所描述的产品或服务并不适合购买者的策略计划或预算?或者,厂商详细描述的产品或服务,但购买者已经投资购买了呢? 这种问题还可以举出很多,真正的问题是:安全购买者在找什么呢?进一步讲,卖方如何理解购买者正在寻找的东西,从而决定自己提供的产品或服务是否适合,以及如何用适当的方式来传达服务或产品的价值?因此,测试、评估、审核在买卖双方的会话中可以起巨大作用。 拥有大型安全团队的大型企业...
- 下一篇
火绒完成Pre-A轮融资 终端安全再次成为行业焦点
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 近日,北京火绒网络科技有限公司宣布,已完成Pre-A轮融资。老牌安全厂商北京天融信公司向其注资1,500万元人民币,并签署了战略合作协议。火绒将利用其技术优势,帮助天融信打造终端安全产品,完善其下一代网络安全架构体系,携手进军企业终端安全市场。 成立于2011年的火绒,是安全创业公司中的另类,不畏360、腾讯管家等强大对手,以“独立、纯粹”的姿态,执着耕耘在PC安全领域,经过长达6年的沉寂前行才逐渐浮出水面。火绒拥有新一代反病毒引擎等多项核心技术,被认为是终端安全领域的新锐,其倡导的“情报驱动安全”新理念也日渐被同行所认可。 火绒安全CEO刘刚表示:“感谢天融信的认可和帮助,我们有相同的理念,坚持以客户需求为产品核心,这是达成合作的重要原因。这轮融资对火绒意义很大,在获得投资的同时,还将通过技术合作,获得长期、稳定的商业收入“。 目前,政府、企业的办公电脑、服务器等终端设备的安全防护需求,日益受到关注,被认为是安全市场的新增长点,天融信、绿盟、深信服、启明星辰等一线安全厂商纷纷开始布局。通过6年时间完成了技术积累...
相关文章
文章评论
共有0条评论来说两句吧...