网络安全实效性衡量指南:如何作出准确评估
  

红军 1704

{{ttag.title}}

Thycotic公司首席安全科学家Joseph Carson根据ISO27001规定、行业专家和协会的经验,针对网络安全工作推出了SMI安全测量指数。Joseph Carson认为,许多公司在网络安全方面做出努力,但这些努力和公司的效益并不挂钩。许多公司没有评估网络风险对其业务的影响。他们不是从对业务影响的角度来看待这个问题。他们做网络安全只是为了满足合规性,许多安全指标都是这么设定的。


ISF信息安全论坛是一个专门讨论网络安全问题的非营利性组织,这个组织的总经理Steve Durbin认为,企业效益和网络安全之间缺乏一种衡量机制。两者之间应该建立起一种共同语言,我们应该从企业盈利的角度来看待网络安全问题。

如何衡量网络安全工作的有效性?
Cybera Thycotic是特权帐户管理(PAM)和端点的权限管理解决方案的供应商,它调查了超过400个全球业务和安全主管,从而创造SMI基准调查。研究发现,在针对这些企业的网络安全工作有效性评估中,有58%的受访企业得分不及格。

调查还发现,虽然全球公司每年在网络安全防御上花费超过1000亿美元,但32%的公司做出商业决策时,盲目购买网络安全技术。超过80%的企业在网络安全购买决策时没有对业务用户构成影响。他们也没有设立一个指导委员会来评估与网络安全投资相关的业务影响和风险。

ISF调查发现,许多首席信息安全官(CISO)错报了关键绩效指标(KPI)和关键风险指标(KRIS)。大多数CISO很少或根本没有从用户的角度获取安全有效性的实际效果。他们在试图猜测他们的受众需要什么,在试图提供关于信息安全有效性、组织风险和信息安全安排等主题的管理报告时,失去了有效的指标。

网络安全人员时常在考虑成本问题,而CISO们要承担的是许多繁重的工作。对于网络安全,CIO也发挥着重要的作用:提供安全功能与数据。Carson认为"CIO的核心职责是确保组织拥有正确决策所需的信息。他们需要确定组织的核心、高级资产是什么,对它们进行分类,再与首席信息安全官协同工作来保护它们。"

制定KPI和KRI的四个步骤
为实现安全部门与业务部门挂钩,ISF提出了四个步骤的实用方法来制定有效的KPI和KRI。Durbin说,这种方法将有助于信息安全功能主动响应业务需求。他说,关键是要和正确的人进行正确的对话。ISF的方法设计适用于组织的各个层面,这四个步骤包括:
·通过了解企业环境建立关联,确定共同的利益发展KPI和KRI
·从生产/效益的角度出发,校准和解释KPI/KRI。
·参与讨论有关共同利益的建议,并就下一步的规则制定作出决定,从而带来积极效果。
·通过开发学习和改进计划来学习和改进依据ISF提出的这四个步骤,建立网络安全与生产效益之间的联系,从而使安全功能更好地响应业务需求。

制定的规则来源于正确的数据
开始建立关联必须依靠正确的数据作为支撑,数据必须来自精准的用户,才能支撑起正确的结构。然后必须在整个组织中一致地使用这些数据。建立关联,需要六个步骤:·理解业务内容
·识别受众和合作者
·确定共同利益
·确定关键的信息安全问题
·设计KPI/KRI
·测试和确认KPI/KRI一旦获得数据,你就要从中洞察和产生新的见解,可信的见解还来自于对KPI和KRI的理解。产生的见解,包括以下三个步骤:·收集数据
·生产和检定KPI/KRI
·阐明KPI/KRI设定的意义


有了真知灼见之后,是时候产生影响了,确保信息被报道并以一种被所有人所接受和理解的方式呈现。这导致了决策和行动:


·认同结论,提出建议
·制作报告和演示文稿
·准备报告和分发报告
·提出并商定下一步最后一步是根据前面的步骤进行的改进计划。根据ISF的调研,改进计划基于绩效和风险的预估,提供信息安全、组织保证功能就是主动回应企业的优先事项和其他需要。Carson说,"你需要养成一种不断进化的心态。"这是一种文化,一种意识工程。它总是在进行中。"

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

新手147804 发表于 2019-5-24 12:55
  
这个问题也一直困扰着我
新手147804 发表于 2019-5-20 00:23
  
第一次听到这样的论述,需要好好学习下
一个无趣的人 发表于 2019-4-7 21:56
  
谢谢分享!
魅力长安 发表于 2019-3-11 14:25
  
能把这个描述出来也是没谁了
厌児 发表于 2019-3-11 10:53
  
第一次听到这样的论述,需要好好学习下
hnyc 发表于 2019-3-11 10:52
  
66666666666666
hnyc 发表于 2019-3-11 10:50
  
66666666666
漫花红小豆 发表于 2019-3-11 00:16
  
你需要养成一种不断进化的心态。"这是一种文化,一种意识工程。它总是在进行中。"
一个无趣的人 发表于 2017-11-21 11:09
  
可以!!!很6666
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

461
247
13

发帖

粉丝

关注

本版达人

feeling

本周分享达人

新手29676...

本周提问达人