【51CTO.com快譯】你會衡量你的網絡安全工作的價值和有效性嗎？事實上，目前世界上大多數公司都沒有做到這一點。甚至當新的信息安全功能生成和企業安全數據交付時，都沒有統一的標準來讀取。如果不建立適當的網絡安全度量標準，這的確無法定義。

Thycotic公司***安全科學家Joseph Carson根據ISO27001規定、行業專家和協會的經驗，針對網絡安全工作推出了SMI安全測量指數。Joseph Carson認為，許多公司在網絡安全方面做出努力，但這些努力和公司的效益并不掛鉤。許多公司沒有評估網絡風險對其業務的影響。他們不是從對業務影響的角度來看待這個問題。他們做網絡安全只是為了滿足合規性，許多安全指標都是這么設定的。
 

[[205131]]

ISF信息安全論壇是一個專門討論網絡安全問題的非營利性組織，這個組織的總經理Steve Durbin認為，企業效益和網絡安全之間缺乏一種衡量機制。兩者之間應該建立起一種共同語言，我們應該從企業盈利的角度來看待網絡安全問題。

如何衡量網絡安全工作的有效性？
Cybera Thycotic是特權帳戶管理（PAM）和端點的權限管理解決方案的供應商，它調查了超過400個全球業務和安全主管，從而創造SMI基準調查。研究發現，在針對這些企業的網絡安全工作有效性評估中，有58%的受訪企業得分不及格。

調查還發現，雖然全球公司每年在網絡安全防御上花費超過1000億美元，但32%的公司做出商業決策時，盲目購買網絡安全技術。超過80%的企業在網絡安全購買決策時沒有對業務用戶構成影響。他們也沒有設立一個指導委員會來評估與網絡安全投資相關的業務影響和風險。

ISF調查發現，許多***信息安全官（CISO）錯報了關鍵績效指標（KPI）和關鍵風險指標（KRIS）。大多數CISO很少或根本沒有從用戶的角度獲取安全有效性的實際效果。他們在試圖猜測他們的受眾需要什么，在試圖提供關于信息安全有效性、組織風險和信息安全安排等主題的管理報告時，失去了有效的指標。

網絡安全人員時常在考慮成本問題，而CISO們要承擔的是許多繁重的工作。對于網絡安全，CIO也發揮著重要的作用：提供安全功能與數據。Carson認為"CIO的核心職責是確保組織擁有正確決策所需的信息。他們需要確定組織的核心、高級資產是什么，對它們進行分類，再與***信息安全官協同工作來保護它們。"

制定KPI和KRI的四個步驟
為實現安全部門與業務部門掛鉤，ISF提出了四個步驟的實用方法來制定有效的KPI和KRI。Durbin說，這種方法將有助于信息安全功能主動響應業務需求。他說，關鍵是要和正確的人進行正確的對話。ISF的方法設計適用于組織的各個層面，這四個步驟包括：

·通過了解企業環境建立關聯，確定共同的利益發展KPI和KRI
·從生產/效益的角度出發，校準和解釋KPI/KRI。
·參與討論有關共同利益的建議，并就下一步的規則制定作出決定，從而帶來積極效果。
·通過開發學習和改進計劃來學習和改進
依據ISF提出的這四個步驟，建立網絡安全與生產效益之間的聯系，從而使安全功能更好地響應業務需求。

制定的規則來源于正確的數據
開始建立關聯必須依靠正確的數據作為支撐，數據必須來自精準的用戶，才能支撐起正確的結構。然后必須在整個組織中一致地使用這些數據。建立關聯，需要六個步驟：

·理解業務內容
·識別受眾和合作者
·確定共同利益
·確定關鍵的信息安全問題
·設計KPI/KRI
·測試和確認KPI/KRI

一旦獲得數據，你就要從中洞察和產生新的見解，可信的見解還來自于對KPI和KRI的理解。產生的見解，包括以下三個步驟：

·收集數據
·生產和檢定KPI/KRI
·闡明KPI/KRI設定的意義

有了真知灼見之后，是時候產生影響了，確保信息被報道并以一種被所有人所接受和理解的方式呈現。這導致了決策和行動：

·認同結論，提出建議
·制作報告和演示文稿
·準備報告和分發報告
·提出并商定下一步

***一步是根據前面的步驟進行的改進計劃。根據ISF的調研，改進計劃基于績效和風險的預估，提供信息安全、組織保證功能就是主動回應企業的優先事項和其他需要。Carson說，"你需要養成一種不斷進化的心態。"這是一種文化，一種意識工程。它總是在進行中。"

作者：ThorOlavsrud
原文鏈接：https://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html
劉妮娜譯

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】