证明你的网络安全计划有效的4个指标

在提出根据欧洲的数据隐私法，万豪国际(Marriott International)和英国航空(British Airways)的母公司被处以创纪录的罚款英国信息专员邓汉姆(Elizabeth Denham)解释说，罚款的严重程度与受到影响的是谁无关，而是与没有采取适当行动保护人们的数据有关。在开出大幅减少的最终罚款时，专员也据报道，“经济影响和负担能力”考虑在内。

当一个组织遭受数据泄露或其他网络安全事件时，判断它的标准不是它的漏洞数量是否低，也不是它在安全工具上的投入是否足够。问题在于，从预算、规模和需求来看，它是否做了正确的事情。

Gartner预测，在三年内，监管机构在网络安全漏洞发生后开出的罚款金额中，80%将归因于未能证明履行了应有的注意义务，而不是漏洞的影响。

立即下载:成熟的信息安全路线图

如何表现出你对网络安全的关心

在过去,网络安全优先级投资很大程度上是基于做一些事情来避免一个结果。例如，您可以实现一个补丁管理工具，以避免由未打补丁的安全漏洞导致的事件。

这不是最好的做法。网络安全优先事项和投资应基于实现一系列一致、充分、合理和有效的成果(CARE)。Gartner引入CARE作为一个框架，帮助组织评估其网络安全项目的可信度和可防御性。

例如，与其简单地确认修补漏洞的工具和流程的存在，组织应该测量与保护级别直接相关的结果，例如用关键补丁更新关键系统所需的天数。

但是因为没有安全度量或kpi的行业标准集，所以每个组织都需要灵活性来满足其独特的环境。

“归根结底，这些都是价值判断，”他说克劳德·曼迪， Gartner的高级总监分析师。这四个特点体现了为公司做最好的事情的无数机会。使用这个框架来确保你的安全计划提供更好的结果，而不仅仅是更多的支出。”

我们建议作为安全和风险管理领导者，您开发一个包含20到30个CARE度量的目录，将操作度量转换为非技术人员容易理解的内容。

以下是要包含在仪表板中的安全度量类型，以帮助向监管机构、客户和股东等关键利益相关方证明您履行了注意义务。

一致性指标

这些测试评估安全控制是否在整个组织中持续工作。应当每周、每月或每季度不断更新、衡量和报告这些指标，以证明它们保持一致。例如:

• 第三方风险评估:安全控制可以是具有完整风险评估的第三方的覆盖率或百分比。
• 安全意识:控制可以是货币或在过去X个月内接受过钓鱼培训的员工的百分比。

充分性度量

这些评估控制是否满足业务需求和涉众期望。例如:

• 修补的成就:在保护级别协议中定期修补的资产百分比(PLA)
• 恶意软件升级PLA成果:在PLA中定期应用反恶意软件定义的端点的百分比

合理的指标

它们证明您的安全控制是适当的、公平的和适度的，这是由它们的业务影响和它们引起的摩擦所决定的。例如:

• 延误和停机时间:添加新访问时的平均延迟(以小时为单位)
• 投诉:由特定安全控制引发的投诉数量

有效性指标

这些测试评估您的安全控制是否产生了预期的结果。例如:

• 漏洞修复:控制可以是及时性，例如需要的平均或最大天数补救严重的安全漏洞．
• 云安全事件的发生率:每年与云配置问题相关的云安全问题的数量

作为安全和风险管理的领导者，需要由您来为观众进行背景分析，深入研究特定业务单元和系统的细节，并将CARE指标与业务结果联系起来。