Mary K. Pratt

首席信息安全官最難落實的一項任務是怎樣對網(wǎng)絡安全功能的成功與價值進行量化。

事實上，安全主管及其部門多年來使用了無數(shù)的指標。然而，很多高管和董事會成員抱怨說，這些指標無法讓他們充分深入分析或者理解安全部門的表現(xiàn)、改進情況，以及在哪些方面還存在不足。

安全公司SpearTip的總裁兼首席執(zhí)行官Jarrett Kolthoff解釋說：“首席執(zhí)行官和董事會聽到的技術術語太多了。首席信息安全官一直在向董事會通報關鍵漏洞和補丁程序的數(shù)量，而董事會并不理解這些，因為沒有提供適當?shù)沫h(huán)境。”

他補充道：“這些數(shù)字可能對首席信息安全官很有用，但首席信息安全官應制訂配有適當環(huán)境的指標，以便董事會能夠理解風險，知道需要在安全方面進行多少投資。”

包括Kolthoff在內(nèi)的網(wǎng)絡安全專家認為，沒有一個指標能讓所有首席信息安全官證明他們的安全工作多么有效，以及他們是否在隨著時間的推移而不斷改進工作。但是，有一些指標，也就是度量標準和敘述的適當組合，比其他指標更有用。

對業(yè)務最重要的安全指標

科技公司Armis的首席信息安全官、Sysco食品公司的前任首席信息安全官Curtis Simpson認為，考慮到對安全的期望越來越高，董事會在這一領域的監(jiān)管力度也越來越大，安全指標比以往任何時候都更為重要。

和其他首席信息安全官一樣，Simpson也認為關鍵是要有正確的指標。他說：“我最喜歡的指標是企業(yè)真正關心的指標?！睂Υ耍麑ふ颐枋霭踩鯓訋椭髽I(yè)實現(xiàn)其目標的指標。

作為一個例子，他列舉了他在Sysco公司使用的指標，該公司既定目標是24小時全天候為全球客戶提供服務。他解釋說：“我必須講一個故事，說明安全高風險會對實現(xiàn)這一目標造成多大的困難?！?/p>

他沒有報告公司遭受的攻擊次數(shù)，而是用這些數(shù)據(jù)來衡量這些攻擊對工作效率和運維等領域的影響，并展示以多大的成本怎樣進行改進，改進措施將怎樣降低風險，并最終改善影響業(yè)務的指標——所有這些都是為了實現(xiàn)全天候的客戶支持。

Simpson說：“這樣每次都會引起共鳴，因為我們正在討論的恰恰是業(yè)務部門想要實現(xiàn)的?！?/p>

Simpson承認，某些具體的指標可能不適用于其他首席信息安全官。他建議他們找到有助于他們今后能夠衡量安全相關業(yè)務影響、關鍵目標風險和緩解成功的指標。

專家們一致認為，重要的不僅僅是所使用的數(shù)據(jù)，而是這些指標怎樣突顯業(yè)務工作的重要性，并說明首席信息安全官正在做什么來解決問題，推進實現(xiàn)業(yè)務目標。

IT-Harvest首席研究分析師、《安全年鑒2020》一書的作者Richard Stiennon說，他與國防行業(yè)的一家公司合作，跟蹤威脅并將威脅從低級別到武器化進行分類，并就此進行了報告。

他介紹說，實際上，這家公司改變了通常毫無意義的數(shù)字（威脅的數(shù)量），并提供了其他高管和董事會成員能夠理解的威脅環(huán)境，有助于針對安全改進措施的投資做出正確的決策。

Stiennon補充道：“這里的教訓是，不要只提供數(shù)字，而是要把所有人都關心的術語解釋清楚。”

其他人也提出了類似的建議。

Murray安全服務公司總裁兼首席執(zhí)行官、信息系統(tǒng)安全協(xié)會（ISSA）首席運營官Shawn P.Murray說：“你自己的指標要與企業(yè)內(nèi)部的關鍵業(yè)務職能相一致，對董事會來說這才是最重要的。首席信息安全官的整個想法是與業(yè)務部門合作，了解需要維護哪些關鍵流程才能幫助業(yè)務部門成功。我們需要通過制訂正確的指標來做到這一點?！?/p>

他建議首席信息安全官根據(jù)與資產(chǎn)和目標相一致的信息分類，建立關鍵風險指標。

因此，如果一個部門的安全目標是盡可能不出現(xiàn)中斷，那么這個目標是可以測量和跟蹤的。或者，如果一個部門希望安全改進措施與技術部署是一致的，首席信息安全官可以建立并跟蹤指標，這類指標顯示安全部門怎樣、何時、何地參與和技術相關的采購，以及今后是怎樣改進的。

目前擔任SecureAuth公司首席信息安全官的Bil Harmer是從業(yè)30年的IT和網(wǎng)絡安全領導，他認為，用戶滿意度是另一個需要考慮的指標。他說，“所謂安全，一直都是怎樣在可用性和安全性之間達到平衡”，并指出，可用性問題常常會導致折中方案，從而達不到預期的安全效果。

不過，Harmer等人認為，不管是可用性還是其他指標，重要的是，首席信息安全官都必須找到實際能產(chǎn)生可量化信息的領域，他們能夠從中實際獲得數(shù)據(jù)以生成這些指標，并且可以一直這樣做下去，而且會根據(jù)與業(yè)務目標相關的情況來衡量安全措施是否有效。

Murray補充道：“首席信息安全官負責項目的所有功能都應與業(yè)務需求保持一致，首席信息安全官應理解這種一致性。一旦理解了這種一致性，首席信息安全官就可以建立很好的指標來衡量其目標績效，以確保整個企業(yè)在戰(zhàn)略上保持一致，業(yè)務上能夠達到所預期的成功水平。”

6個仍然有價值的傳統(tǒng)指標

盡管評估安全與業(yè)務目標之間關系的指標仍然在使用，但資深的首席信息安全官和安全管理顧問表示，他們認為安全部門過去使用的很多指標仍然是很有價值的。

不過，他們也表示，首席信息安全官也應該考慮這些指標所處的新環(huán)境。反煙草非營利組織Truth Initiative的首席信息官兼網(wǎng)絡安全官Derrick A. Butts解釋說，董事會不在乎截獲了多少釣魚郵件等類似的事件。他們關心的是，我們的系統(tǒng)能不能有效地防范這些風險，并防止對業(yè)務產(chǎn)生影響?！?/p>

下面是Butts和其他安全領導們使用的一些指標，這些指標的使用有其相應的環(huán)境。

模擬網(wǎng)絡釣魚攻擊的結(jié)果。Butts使用模擬的網(wǎng)絡釣魚攻擊來幫助他評估安全意識培訓的效果，并設定改進目標。

平均恢復時間。Harmer根據(jù)企業(yè)既定的風險目標，衡量受安全事件影響的用戶百分比、安全部門多快能夠解決問題，以及解決問題的時間是否滿足、超過或者低于目標時間。

平均探測時間。Stiennon說，他建議使用平均探測時間等指標來衡量從攻擊成功到被探測到所需的時間，因為這也表明了一個安全程序的工作是否有效，可以進行跟蹤以顯示改進情況。他說，這些指標有助于首席信息安全官與高管和董事會討論需要在哪些方面投資才能帶來改進。此外，這類指標鼓勵持續(xù)改進：將平均探測時間減少到幾分鐘，而首席信息安全官可以要求將其減少到秒級。

滲透測試。與模擬的網(wǎng)絡釣魚攻擊一樣，滲透測試的指標表明了企業(yè)能夠抵御此類事件的能力，并能夠隨著時間的推移跟蹤改進情況。對于Harmer來說，這是他作為首席信息安全官以及其他高管和董事會成員應理解和重視的信息。

漏洞管理。Murray建議首席信息安全官開發(fā)一個指標，用于報告其漏洞管理程序的有效性。他說，這不應該報告打上了多少補丁，而是根據(jù)企業(yè)的安全態(tài)勢來衡量安全部門管理漏洞以達到最佳效果的能力。他說，畢竟，不僅僅是要打上100個低風險的補丁，而是一定要盡快打上風險最大的補丁。

Murray補充道：“如果不相關或者不重要，那么作為首席信息安全官，我就不會報告。我只報告董事會需要知道的，因為這會影響業(yè)務。我會準備好這方面的指標。”

企業(yè)安全審計。Butts使用的記分卡是美國國家標準與技術研究所（NIST）、信息技術基礎設施圖書館（ITIL）和互聯(lián)網(wǎng)安全中心（CIS）框架為他的部門開發(fā)的。他說：“這個指標是一個很好的快照，顯示了工作是怎樣開展的?！?h3>4個應放棄的指標

隨著衡量安全功能有效性、經(jīng)過改進的一系列新指標的出現(xiàn)，專家們建議，以下指標應該盡量少用——或者全部放棄。

攻擊次數(shù)。“沒有人關心你在一個月內(nèi)受到了10萬次攻擊，并阻止了攻擊。這其實就是讓人們說，‘如果你已經(jīng)做得非常好了，為什么還要再給你100萬美元？”Simpson說。此外，重點不在于阻止了10萬次低級攻擊，而是挫敗了一次能讓公司倒閉的致命攻擊。

補丁打好了;已發(fā)現(xiàn)的漏洞數(shù)量;病毒被阻止。對于首席信息安全官來說，雖然這些指標可以在企業(yè)內(nèi)部用于衡量已經(jīng)完成的工作，或者用于確定某個部門是否遵守某些規(guī)定等，但這些指標本身幾乎沒有價值。Stiennon說：“另外，這些指標可能會讓你產(chǎn)生一種虛假的安全感?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3530230/6-security-metrics-that-matter-and-4-that-don-t.html