2021年9月15日
2021年9月15日
贡献:苏珊摩尔
使用CARE框架开发指标,以证明您的网络安全项目的可信度和可防御性。
在提出根据欧洲的数据隐私法,万豪国际(Marriott International)和英国航空(British Airways)的母公司被处以创纪录的罚款英国信息专员邓汉姆(Elizabeth Denham)解释说,罚款的严重程度与受到影响的是谁无关,而是与没有采取适当行动保护人们的数据有关。在开出大幅减少的最终罚款时,专员也据报道,“经济影响和负担能力”考虑在内。
当一个组织遭受数据泄露或其他网络安全事件时,判断它的标准不是它的漏洞数量是否低,也不是它在安全工具上的投入是否足够。问题在于,从预算、规模和需求来看,它是否做了正确的事情。
Gartner预测,在三年内,监管机构在网络安全漏洞发生后开出的罚款金额中,80%将归因于未能证明履行了应有的注意义务,而不是漏洞的影响。
立即下载:成熟的信息安全路线图
在过去,网络安全优先级投资很大程度上是基于做一些事情来避免一个结果。例如,您可以实现一个补丁管理工具,以避免由未打补丁的安全漏洞导致的事件。
这不是最好的做法。网络安全优先事项和投资应基于实现一系列一致、充分、合理和有效的成果(CARE)。Gartner引入CARE作为一个框架,帮助组织评估其网络安全项目的可信度和可防御性。
例如,与其简单地确认修补漏洞的工具和流程的存在,组织应该测量与保护级别直接相关的结果,例如用关键补丁更新关键系统所需的天数。
但是因为没有安全度量或kpi的行业标准集,所以每个组织都需要灵活性来满足其独特的环境。
“归根结底,这些都是价值判断,”他说克劳德·曼迪, Gartner的高级总监分析师。这四个特点体现了为公司做最好的事情的无数机会。使用这个框架来确保你的安全计划提供更好的结果,而不仅仅是更多的支出。”
我们建议作为安全和风险管理领导者,您开发一个包含20到30个CARE度量的目录,将操作度量转换为非技术人员容易理解的内容。
以下是要包含在仪表板中的安全度量类型,以帮助向监管机构、客户和股东等关键利益相关方证明您履行了注意义务。
这些测试评估安全控制是否在整个组织中持续工作。应当每周、每月或每季度不断更新、衡量和报告这些指标,以证明它们保持一致。例如:
这些评估控制是否满足业务需求和涉众期望。例如:
它们证明您的安全控制是适当的、公平的和适度的,这是由它们的业务影响和它们引起的摩擦所决定的。例如:
这些测试评估您的安全控制是否产生了预期的结果。例如:
作为安全和风险管理的领导者,需要由您来为观众进行背景分析,深入研究特定业务单元和系统的细节,并将CARE指标与业务结果联系起来。
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
*注意,有些文档可能不是所有Gartner客户都可以使用的。