证明网络安全计划有效的4个指标

在提出根据欧洲数据隐私法，万豪国际(Marriott International)和英国航空(British Airways)的母公司被处以创纪录的罚款英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)解释说，罚款的严重程度与受到影响的人无关，而是与没有采取适当行动保护人们的数据有关。在发布大大减少的最终罚款时，专员也据报道，“经济影响和负担能力”考虑在内。

当一个组织遭受数据泄露或其他网络安全事件时，并不是根据其漏洞数量是否少或是否在安全工具上投入了足够的资金来判断的。问题在于，从预算、规模和需求来看，它是否做了正确的事情。

Gartner预测，在三年内，监管机构在网络安全漏洞后开出的罚单中，80%将归因于未能证明履行了应有的注意义务，而不是违规行为的影响。

立即下载:日趋成熟的资讯保安路线图

如何展示你对网络安全的关心

在过去，网络安全优先级投资很大程度上是基于做一些事情来避免结果。例如，您可以实现一个补丁管理工具，以避免由于未打补丁的安全漏洞而导致的事故。

这不是最好的做法。网络安全优先事项和投资应基于实现一系列一致、充分、合理和有效的结果(CARE)。Gartner引入CARE作为一个框架，帮助组织评估其网络安全计划的可信度和可防御性。

例如，组织不应该简单地确认是否存在修补漏洞的工具和流程，而应该度量与保护级别直接相关的结果，例如用关键补丁更新关键系统所需的天数。

但是，由于没有安全度量或kpi的行业标准集，因此每个组织都需要灵活性来满足其独特的环境。

“归根结底，这些都是价值判断，”他说克劳德·曼迪， Gartner高级总监分析师。这四个特点体现了无数的机会去做对组织最有利的事情。使用这个框架来确保你的安全项目产生更好的结果，而不仅仅是增加支出。”

我们建议，作为安全和风险管理的领导者，您开发一个包含20到30个CARE指标的目录，将可操作的指标转换为非技术人员容易理解的内容。

以下是要包含在仪表板中的安全度量类型，以帮助向关键涉众(如监管机构、客户和股东)证明您履行了注意义务。

一致性指标

这些测试评估安全控制是否在整个组织中始终如一地工作。它们应该每周、每月或每季度不断更新、测量和报告，以证明它们保持一致。例如:

• 第三方风险评估:安全控制可以是覆盖率或完成风险评估的第三方的百分比。
• 安全意识:控制可以是货币或在过去X个月内接受过网络钓鱼培训的员工百分比。

充分性度量

评估控制是否满足业务需求和涉众期望。例如:

• 打补丁成果:根据保护级别协议(PLA)定期修补的资产百分比
• 恶意软件更新PLA实现:在PLA中定期应用反恶意软件定义的端点百分比

合理的指标

这些证明您的安全控制是适当的、公平的和适度的，这取决于它们的业务影响和它们引起的摩擦。例如:

• 延迟和停机时间:添加新访问时的平均延迟(小时)
• 投诉:由特定安全控制触发的投诉数

有效性指标

这些评估您的安全控制是否产生了期望的结果。例如:

• 漏洞修复:控制的可以是及时性，比如平均或最多需要的天数修复关键的安全漏洞．
• 云安全事件的流行程度:每年与云配置问题相关的云安全问题的数量

作为安全和风险管理的领导者，您需要为受众提供上下文，深入了解特定业务单位和系统的细节，并将CARE指标与业务结果联系起来。