Mary K. Pratt

首席信息安全官最難落實的一項任務(wù)是怎樣對網(wǎng)絡(luò)安全功能的成功與價值進行量化。

事實上，安全主管及其部門多年來使用了無數(shù)的指標(biāo)。然而，很多高管和董事會成員抱怨說，這些指標(biāo)無法讓他們充分深入分析或者理解安全部門的表現(xiàn)、改進情況，以及在哪些方面還存在不足。

安全公司SpearTip的總裁兼首席執(zhí)行官Jarrett Kolthoff解釋說：“首席執(zhí)行官和董事會聽到的技術(shù)術(shù)語太多了。首席信息安全官一直在向董事會通報關(guān)鍵漏洞和補丁程序的數(shù)量，而董事會并不理解這些，因為沒有提供適當(dāng)?shù)沫h(huán)境?！?/p>

他補充道：“這些數(shù)字可能對首席信息安全官很有用，但首席信息安全官應(yīng)制訂配有適當(dāng)環(huán)境的指標(biāo)，以便董事會能夠理解風(fēng)險，知道需要在安全方面進行多少投資?！?/p>

包括Kolthoff在內(nèi)的網(wǎng)絡(luò)安全專家認為，沒有一個指標(biāo)能讓所有首席信息安全官證明他們的安全工作多么有效，以及他們是否在隨著時間的推移而不斷改進工作。但是，有一些指標(biāo)，也就是度量標(biāo)準(zhǔn)和敘述的適當(dāng)組合，比其他指標(biāo)更有用。

對業(yè)務(wù)最重要的安全指標(biāo)

科技公司Armis的首席信息安全官、Sysco食品公司的前任首席信息安全官Curtis Simpson認為，考慮到對安全的期望越來越高，董事會在這一領(lǐng)域的監(jiān)管力度也越來越大，安全指標(biāo)比以往任何時候都更為重要。

和其他首席信息安全官一樣，Simpson也認為關(guān)鍵是要有正確的指標(biāo)。他說：“我最喜歡的指標(biāo)是企業(yè)真正關(guān)心的指標(biāo)?！睂Υ耍麑ふ颐枋霭踩鯓訋椭髽I(yè)實現(xiàn)其目標(biāo)的指標(biāo)。

作為一個例子，他列舉了他在Sysco公司使用的指標(biāo)，該公司既定目標(biāo)是24小時全天候為全球客戶提供服務(wù)。他解釋說：“我必須講一個故事，說明安全高風(fēng)險會對實現(xiàn)這一目標(biāo)造成多大的困難。”

他沒有報告公司遭受的攻擊次數(shù)，而是用這些數(shù)據(jù)來衡量這些攻擊對工作效率和運維等領(lǐng)域的影響，并展示以多大的成本怎樣進行改進，改進措施將怎樣降低風(fēng)險，并最終改善影響業(yè)務(wù)的指標(biāo)——所有這些都是為了實現(xiàn)全天候的客戶支持。

Simpson說：“這樣每次都會引起共鳴，因為我們正在討論的恰恰是業(yè)務(wù)部門想要實現(xiàn)的?！?/p>

Simpson承認，某些具體的指標(biāo)可能不適用于其他首席信息安全官。他建議他們找到有助于他們今后能夠衡量安全相關(guān)業(yè)務(wù)影響、關(guān)鍵目標(biāo)風(fēng)險和緩解成功的指標(biāo)。

專家們一致認為，重要的不僅僅是所使用的數(shù)據(jù)，而是這些指標(biāo)怎樣突顯業(yè)務(wù)工作的重要性，并說明首席信息安全官正在做什么來解決問題，推進實現(xiàn)業(yè)務(wù)目標(biāo)。

IT-Harvest首席研究分析師、《安全年鑒2020》一書的作者Richard Stiennon說，他與國防行業(yè)的一家公司合作，跟蹤威脅并將威脅從低級別到武器化進行分類，并就此進行了報告。

他介紹說，實際上，這家公司改變了通常毫無意義的數(shù)字（威脅的數(shù)量），并提供了其他高管和董事會成員能夠理解的威脅環(huán)境，有助于針對安全改進措施的投資做出正確的決策。

Stiennon補充道：“這里的教訓(xùn)是，不要只提供數(shù)字，而是要把所有人都關(guān)心的術(shù)語解釋清楚?！?/p>

其他人也提出了類似的建議。

Murray安全服務(wù)公司總裁兼首席執(zhí)行官、信息系統(tǒng)安全協(xié)會（ISSA）首席運營官Shawn P.Murray說：“你自己的指標(biāo)要與企業(yè)內(nèi)部的關(guān)鍵業(yè)務(wù)職能相一致，對董事會來說這才是最重要的。首席信息安全官的整個想法是與業(yè)務(wù)部門合作，了解需要維護哪些關(guān)鍵流程才能幫助業(yè)務(wù)部門成功。我們需要通過制訂正確的指標(biāo)來做到這一點?！?/p>

他建議首席信息安全官根據(jù)與資產(chǎn)和目標(biāo)相一致的信息分類，建立關(guān)鍵風(fēng)險指標(biāo)。

因此，如果一個部門的安全目標(biāo)是盡可能不出現(xiàn)中斷，那么這個目標(biāo)是可以測量和跟蹤的?；蛘?，如果一個部門希望安全改進措施與技術(shù)部署是一致的，首席信息安全官可以建立并跟蹤指標(biāo)，這類指標(biāo)顯示安全部門怎樣、何時、何地參與和技術(shù)相關(guān)的采購，以及今后是怎樣改進的。

目前擔(dān)任SecureAuth公司首席信息安全官的Bil Harmer是從業(yè)30年的IT和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)，他認為，用戶滿意度是另一個需要考慮的指標(biāo)。他說，“所謂安全，一直都是怎樣在可用性和安全性之間達到平衡”，并指出，可用性問題常常會導(dǎo)致折中方案，從而達不到預(yù)期的安全效果。

不過，Harmer等人認為，不管是可用性還是其他指標(biāo)，重要的是，首席信息安全官都必須找到實際能產(chǎn)生可量化信息的領(lǐng)域，他們能夠從中實際獲得數(shù)據(jù)以生成這些指標(biāo)，并且可以一直這樣做下去，而且會根據(jù)與業(yè)務(wù)目標(biāo)相關(guān)的情況來衡量安全措施是否有效。

Murray補充道：“首席信息安全官負責(zé)項目的所有功能都應(yīng)與業(yè)務(wù)需求保持一致，首席信息安全官應(yīng)理解這種一致性。一旦理解了這種一致性，首席信息安全官就可以建立很好的指標(biāo)來衡量其目標(biāo)績效，以確保整個企業(yè)在戰(zhàn)略上保持一致，業(yè)務(wù)上能夠達到所預(yù)期的成功水平?！?h3>6個仍然有價值的傳統(tǒng)指標(biāo)

盡管評估安全與業(yè)務(wù)目標(biāo)之間關(guān)系的指標(biāo)仍然在使用，但資深的首席信息安全官和安全管理顧問表示，他們認為安全部門過去使用的很多指標(biāo)仍然是很有價值的。

不過，他們也表示，首席信息安全官也應(yīng)該考慮這些指標(biāo)所處的新環(huán)境。反煙草非營利組織Truth Initiative的首席信息官兼網(wǎng)絡(luò)安全官Derrick A. Butts解釋說，董事會不在乎截獲了多少釣魚郵件等類似的事件。他們關(guān)心的是，我們的系統(tǒng)能不能有效地防范這些風(fēng)險，并防止對業(yè)務(wù)產(chǎn)生影響。”

下面是Butts和其他安全領(lǐng)導(dǎo)們使用的一些指標(biāo)，這些指標(biāo)的使用有其相應(yīng)的環(huán)境。

模擬網(wǎng)絡(luò)釣魚攻擊的結(jié)果。Butts使用模擬的網(wǎng)絡(luò)釣魚攻擊來幫助他評估安全意識培訓(xùn)的效果，并設(shè)定改進目標(biāo)。

平均恢復(fù)時間。Harmer根據(jù)企業(yè)既定的風(fēng)險目標(biāo)，衡量受安全事件影響的用戶百分比、安全部門多快能夠解決問題，以及解決問題的時間是否滿足、超過或者低于目標(biāo)時間。

平均探測時間。Stiennon說，他建議使用平均探測時間等指標(biāo)來衡量從攻擊成功到被探測到所需的時間，因為這也表明了一個安全程序的工作是否有效，可以進行跟蹤以顯示改進情況。他說，這些指標(biāo)有助于首席信息安全官與高管和董事會討論需要在哪些方面投資才能帶來改進。此外，這類指標(biāo)鼓勵持續(xù)改進：將平均探測時間減少到幾分鐘，而首席信息安全官可以要求將其減少到秒級。

滲透測試。與模擬的網(wǎng)絡(luò)釣魚攻擊一樣，滲透測試的指標(biāo)表明了企業(yè)能夠抵御此類事件的能力，并能夠隨著時間的推移跟蹤改進情況。對于Harmer來說，這是他作為首席信息安全官以及其他高管和董事會成員應(yīng)理解和重視的信息。

漏洞管理。Murray建議首席信息安全官開發(fā)一個指標(biāo)，用于報告其漏洞管理程序的有效性。他說，這不應(yīng)該報告打上了多少補丁，而是根據(jù)企業(yè)的安全態(tài)勢來衡量安全部門管理漏洞以達到最佳效果的能力。他說，畢竟，不僅僅是要打上100個低風(fēng)險的補丁，而是一定要盡快打上風(fēng)險最大的補丁。

Murray補充道：“如果不相關(guān)或者不重要，那么作為首席信息安全官，我就不會報告。我只報告董事會需要知道的，因為這會影響業(yè)務(wù)。我會準(zhǔn)備好這方面的指標(biāo)?！?/p>

企業(yè)安全審計。Butts使用的記分卡是美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、信息技術(shù)基礎(chǔ)設(shè)施圖書館（ITIL）和互聯(lián)網(wǎng)安全中心（CIS）框架為他的部門開發(fā)的。他說：“這個指標(biāo)是一個很好的快照，顯示了工作是怎樣開展的?！?h3>4個應(yīng)放棄的指標(biāo)

隨著衡量安全功能有效性、經(jīng)過改進的一系列新指標(biāo)的出現(xiàn)，專家們建議，以下指標(biāo)應(yīng)該盡量少用——或者全部放棄。

攻擊次數(shù)。“沒有人關(guān)心你在一個月內(nèi)受到了10萬次攻擊，并阻止了攻擊。這其實就是讓人們說，‘如果你已經(jīng)做得非常好了，為什么還要再給你100萬美元？”Simpson說。此外，重點不在于阻止了10萬次低級攻擊，而是挫敗了一次能讓公司倒閉的致命攻擊。

補丁打好了;已發(fā)現(xiàn)的漏洞數(shù)量;病毒被阻止。對于首席信息安全官來說，雖然這些指標(biāo)可以在企業(yè)內(nèi)部用于衡量已經(jīng)完成的工作，或者用于確定某個部門是否遵守某些規(guī)定等，但這些指標(biāo)本身幾乎沒有價值。Stiennon說：“另外，這些指標(biāo)可能會讓你產(chǎn)生一種虛假的安全感?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3530230/6-security-metrics-that-matter-and-4-that-don-t.html