Thor+Olavsrud

編譯 楊勇

大多數(shù)企業(yè)并沒有把衡量標(biāo)準(zhǔn)應(yīng)用于網(wǎng)絡(luò)安全工作中，即使是應(yīng)用了的企業(yè)也經(jīng)常做錯。本文介紹了怎樣確保您的網(wǎng)絡(luò)安全項目得到回報。

您在衡量網(wǎng)絡(luò)安全工作的價值和有效性嗎？根據(jù)最近的安全衡量指數(shù)基準(zhǔn)調(diào)查，世界上大部分企業(yè)都沒有開展這項工作。如果沒有建立適當(dāng)?shù)暮饬繕?biāo)準(zhǔn)，您實際上是在盲目工作。

甚至當(dāng)企業(yè)的信息安全部門的確生成并提交了關(guān)于企業(yè)安全的數(shù)據(jù)時，也很少會有人去注意這些數(shù)據(jù)。

Joseph Carson是Thycotic的首席安全科學(xué)家，他根據(jù)ISO 27001規(guī)定的安全標(biāo)準(zhǔn)以及業(yè)界專家和協(xié)會的最佳實踐建立了其安全衡量指數(shù)（SMI），他說：“很多企業(yè)在網(wǎng)絡(luò)安全上做了一些努力，但他們并沒有考慮這能否有效地對業(yè)務(wù)有所幫助。很多企業(yè)沒有評估其風(fēng)險和影響。他們不是從業(yè)務(wù)影響評估或者業(yè)務(wù)影響角度來看待這個問題。他們這樣做是為了滿足合規(guī)要求，他們的很多安全標(biāo)準(zhǔn)都指向這一點?！?/p>

信息安全論壇（ISF）是研究和分析安全和風(fēng)險管理問題的非贏利協(xié)會，其常務(wù)理事Steve Durbin說：“安全和業(yè)務(wù)部門雙方缺少協(xié)作。他們有共同語言嗎？從安全部門的角度來看，自己所關(guān)注的重點應(yīng)怎樣與業(yè)務(wù)部門所關(guān)注的保持一致呢？”

在衡量網(wǎng)絡(luò)安全有效性方面哪些做得不對

Thycotic是授權(quán)帳戶管理（PAM）和端點權(quán)限管理解決方案提供商，通過調(diào)查400多名全球業(yè)務(wù)和安全高管，進(jìn)行了SMI基準(zhǔn)調(diào)查。研究發(fā)現(xiàn)，58%的受訪者評估了他們企業(yè)在衡量網(wǎng)絡(luò)安全投資和業(yè)績方面的工作，認(rèn)為效果不佳，遠(yuǎn)不如最佳實踐。

調(diào)查還發(fā)現(xiàn)，雖然全球企業(yè)每年在網(wǎng)絡(luò)安全防御上花費超過1千億美元，但32%的企業(yè)盲目地做出業(yè)務(wù)決策，購買網(wǎng)絡(luò)安全技術(shù)。此外，超過80%的受訪者在做出網(wǎng)絡(luò)安全采購決策時，沒有考慮到業(yè)務(wù)部門的用戶。他們也沒有設(shè)立指導(dǎo)委員會來評估與網(wǎng)絡(luò)安全投資相關(guān)的業(yè)務(wù)影響和風(fēng)險。

據(jù)Durbin講，這與ISF的看法是一致的。ISF發(fā)現(xiàn)很多首席信息安全官報告了錯誤的關(guān)鍵績效指標(biāo)（KPI）和關(guān)鍵風(fēng)險指標(biāo)（KRI）。Durbin把這歸因于這一事實——大多數(shù)首席信息安全官很少或者根本沒有與他們所報告的受眾有交流。結(jié)果，他們猜測受眾需要什么，在試圖提供關(guān)于信息安全有效性、企業(yè)風(fēng)險和信息安全計劃等主題的管理報告時，他們就顯得非常盲目。

Durbin說：“如果我不知道您在做什么，那我怎么幫助您？我要對您所做的工作做一些假設(shè)，這可能完全不對。安全人員總是在談?wù)摮杀尽Ｈ绻覀兿敫淖冞@種現(xiàn)狀，安全人員現(xiàn)在就會去找業(yè)務(wù)部門說，‘看，如果這對您來說非常重要，那我的工作就是幫助您進(jìn)行保護(hù)，但出于種種原因，我沒有足夠的資金。然后，業(yè)務(wù)部門就會打電話，看看能不能為解決該問題找到資金。這不再是安全部門的問題，而是業(yè)務(wù)部門的問題?！?/p>

在網(wǎng)絡(luò)安全方面，首席信息安全官有繁重的工作要做，而首席信息官也發(fā)揮著重要的作用，首先從提供實現(xiàn)安全功能所需的數(shù)據(jù)開始。

Carson說：“首席信息官的核心職責(zé)是確保企業(yè)擁有做出正確決策所需的信息。他們需要確定企業(yè)的核心、高級資產(chǎn)是什么，并對其進(jìn)行分類。然后與首席信息安全官一起來保護(hù)它們?！?/p>

實現(xiàn)KPI和KRI的4個步驟

為幫助安全部門與業(yè)務(wù)部門相協(xié)調(diào)，ISF已經(jīng)開發(fā)了四階段的實用方法來實現(xiàn)KPI和KRI。Durbin說，這種方法將有助于信息安全職能部門主動響應(yīng)業(yè)務(wù)部門的需求。他說，關(guān)鍵是要和正確的人進(jìn)行正確的交流。

ISF的方法旨在應(yīng)用于企業(yè)的各個層面，包括了四個階段：

1. 通過參與了解業(yè)務(wù)環(huán)境，確定共同利益，同時開發(fā)KPR和KRI，從而建立關(guān)系。

2. 參與產(chǎn)生、校準(zhǔn)和解釋KPI/KRI組合，從而生成深度分析結(jié)果。

3. 通過參與向共同利益方提出相關(guān)建議，做出下一步?jīng)Q策，從而產(chǎn)生影響。

4. 通過參與開發(fā)學(xué)習(xí)和改進(jìn)計劃，不斷學(xué)習(xí)和提高。

ISF方法的核心是參與的理念。參與可以建立關(guān)系并增進(jìn)理解，從而使安全職能部門更好地響應(yīng)業(yè)務(wù)需求。

參與始于正確的數(shù)據(jù)

參與從建立關(guān)系開始。在ISF的方法中，這意味著獲得正確的數(shù)據(jù)，在合適的結(jié)構(gòu)的支持下，為相應(yīng)的受眾校準(zhǔn)這些數(shù)據(jù)。然后在整個企業(yè)中使用這些數(shù)據(jù)時，要保證其一致性。據(jù)ISF，建立關(guān)系需要六個步驟：

1. 了解業(yè)務(wù)環(huán)境；

2. 確定受眾和合作者；

3. 確定共同利益；

4. 確定關(guān)鍵信息安全優(yōu)先事項；

5. 設(shè)計KPI/KRI組合；

6. 測試和確認(rèn)KPI/KRI組合。

一旦有了數(shù)據(jù)，就需要從中獲得深度分析結(jié)果。ISF說，可靠的深度分析結(jié)果來自于理解KPI和KRI。生成深度分析結(jié)果涉及以下三個步驟：

1 收集數(shù)據(jù)；

2 產(chǎn)生和校準(zhǔn)KPI/KRI組合；

3 解釋KPI/KRI組合，以得到深度分析結(jié)果。

得到深度分析結(jié)果后，就可以去宣傳推廣了，確保以一種能被所有人接受和理解的方式報告和呈現(xiàn)信息。這就導(dǎo)致了決策和行動，如下所示：

1. 同意結(jié)論和建議；

2. 制作報告和演示文稿；

3. 準(zhǔn)備報告和分發(fā)報告；

4.提出并商定下一步措施。

最后一步是根據(jù)前面步驟得到的所有一切來制定學(xué)習(xí)和改進(jìn)計劃。這樣，根據(jù)ISF的做法，在準(zhǔn)確把握業(yè)績和風(fēng)險的基礎(chǔ)上做出合理的決策，企業(yè)就會相信信息安全職能部門能夠積極響應(yīng)業(yè)務(wù)部門的重要需求。

Carson說：“您應(yīng)該養(yǎng)成一種不斷發(fā)展的思維模式。這是一種文化，是一種意識。一切總是在不斷發(fā)展中。”

Thor Olavsrud——資深作家，為CIO.com撰寫IT安全、大數(shù)據(jù)、開源技術(shù)、Microsoft工具和服務(wù)器的文章。

原文網(wǎng)址：

http：//www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html