網絡日志、漏洞管理、基礎設施監控工具和安全設備不斷在產生大量實時數據，IT風險管理人員必須想辦法將這些數據轉換成一套統一的風險指標，從而來幫助企業作出決策。

規范化企業內的各種安全數據是幫助企業創建風險指標的關鍵

Tripwire公司首席技術官Dwayne Melancon表示：“我們如何將這些數據轉變成有用的指標來幫助企業確定其安全性，或者風險評分正在下降呢?”

這不是簡單的事情，但企業可以從某種類型的數據規范化過程開始。數據規范化可以幫助企業更好地進行數據比對，從而發現異常數據。

RSA公司eGRC解決方案經理Steve Schlarman認為這些指標不應該過于復雜，“規范化安全數據的過程應該著眼于列出企業面臨的關鍵的安全風險，這些風險可以通過量化的、一致的和可測量的指標來評估，如果數據需要花很長時間來編譯、報告或者評估，那么企業將無法得出可行的指標。”

為了規范化安全數據，并將其轉化為風險指標，Melancon認為首先應該從業務部分開始，這樣做能夠列出更短和更相關的需要規范化的數據清單。他表示：“很多人習慣從控制開始，而最后結果是他們得到更多的控制，更加復雜化。”

因此，如果是一家上市公司，首先應該通過查看其年度報告來了解該公司如何賺錢，并思考威脅其主要收入的最大風險。

“然后回過頭來說，‘我們有哪些控制來幫助我們監控這些風險?’”他表示來自這些工具的數據就是企業用于建立安全性能指標和風險評分的數據。Melancon說道，企業應該基于某些資產對企業的重要程度來規范化數據。

在評估企業資產來確定哪些數據應該被規范化后，企業將能夠確定規范化其測量指標所需要的控制數量。這不僅能幫助建立一致性，而且能提高響應速度。Cirries Technology公司總裁Rick Aguirre表示，“數據規范化的現實目標是能夠實時分析有用的數據，特別是用于風險評估和管理。” 企業應該為每個指標明確定義7個核心屬性：指標描述、指標測量過程或公示、指標所有權、指標范圍、指標來源、測量頻率以及趨勢預期。在此基礎上，風險管理團隊應該為指標所有者提供某種形式的論壇來進行報告以及分析根本原因。

他表示：“我們的目標是建立可持續使用的程序，而不是一次性，然后，隨著時間的推移，程序內某些指標在必要時‘被激活’或‘廢除’。”

目前，企業對其資產數據的安全和風險評級有些混亂，有些使用保密性、完整性和可用性評級，有些可能會使用NIST框架。其中，他認為由NIST和美國國土安全局共同開發的持續資產評估、情境感知和風險評分(CAESARS)框架比較具有潛力。

Melancon 表示：“其概念是將防病毒、IDS、IPS、文件完整性監控、數據庫活動監控等所有不同的評分，變成一個綜合指標，然后你使用該指標來追蹤你的風險情況，這是個很好的想法，但執行很困難。”

他認為業界需要推出“更輕量級”版本的CAESARS，這樣，即使是預算有限或者人員有限的企業，仍然可以利用其中的5到10個指標來評估風險。

通過建立這些指標，IT部門能夠更容易地向高層關鍵風險指標，從而幫助他們做出正確的決策。