2021年9月15日
2021年9月15日
贡献者:Susan Moore
使用CARE框架来开发指标,以证明您的网络安全计划的可信性和可防御性。
在提出根据欧洲数据隐私法,万豪国际(Marriott International)和英国航空(British Airways)的母公司被处以创纪录的罚款英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)解释说,罚款的严重程度与受到影响的人无关,而是与没有采取适当行动保护人们的数据有关。在发布大大减少的最终罚款时,专员也据报道,“经济影响和负担能力”考虑在内。
当一个组织遭受数据泄露或其他网络安全事件时,并不是根据其漏洞数量是否少或是否在安全工具上投入了足够的资金来判断的。问题在于,从预算、规模和需求来看,它是否做了正确的事情。
Gartner预测,在三年内,监管机构在网络安全漏洞后开出的罚单中,80%将归因于未能证明履行了应有的注意义务,而不是违规行为的影响。
立即下载:日趋成熟的资讯保安路线图
在过去,网络安全优先级投资很大程度上是基于做一些事情来避免结果。例如,您可以实现一个补丁管理工具,以避免由于未打补丁的安全漏洞而导致的事故。
这不是最好的做法。网络安全优先事项和投资应基于实现一系列一致、充分、合理和有效的结果(CARE)。Gartner引入CARE作为一个框架,帮助组织评估其网络安全计划的可信度和可防御性。
例如,组织不应该简单地确认是否存在修补漏洞的工具和流程,而应该度量与保护级别直接相关的结果,例如用关键补丁更新关键系统所需的天数。
但是,由于没有安全度量或kpi的行业标准集,因此每个组织都需要灵活性来满足其独特的环境。
“归根结底,这些都是价值判断,”他说克劳德·曼迪, Gartner高级总监分析师。这四个特点体现了无数的机会去做对组织最有利的事情。使用这个框架来确保你的安全项目产生更好的结果,而不仅仅是增加支出。”
我们建议,作为安全和风险管理的领导者,您开发一个包含20到30个CARE指标的目录,将可操作的指标转换为非技术人员容易理解的内容。
以下是要包含在仪表板中的安全度量类型,以帮助向关键涉众(如监管机构、客户和股东)证明您履行了注意义务。
这些测试评估安全控制是否在整个组织中始终如一地工作。它们应该每周、每月或每季度不断更新、测量和报告,以证明它们保持一致。例如:
评估控制是否满足业务需求和涉众期望。例如:
这些证明您的安全控制是适当的、公平的和适度的,这取决于它们的业务影响和它们引起的摩擦。例如:
这些评估您的安全控制是否产生了期望的结果。例如:
作为安全和风险管理的领导者,您需要为受众提供上下文,深入了解特定业务单位和系统的细节,并将CARE指标与业务结果联系起来。
加入我们由IAM领导者和Gartner专家组成的小组,探索关键的市场见解、业务目标、战略计划等。
推荐给Gartner客户的资源*:
*请注意,某些文档可能不适用于所有Gartner客户。