衡量安全性能聽起來可能不是CISO議程上最令人興奮的工作，但正確的指標可以為安全領導者帶來重大價值，并在很大程度上幫助他們應對各種挑戰(zhàn)。現(xiàn)代安全和業(yè)務的交集意味著有多種衡量標準，CISO不僅可以用來衡量和提高其安全工作的有效性，還可以展示與企業(yè)的有價值的戰(zhàn)略一致性，以及許多其他好處。

然而，為了從任何安全性能指標中獲得真正的價值，重要的是CIO避免淹沒在缺乏意義的指標中，專注于那些顯示安全如何支持業(yè)務的指標。

信息安全論壇(ISF)的首席研究分析師理查德·阿卜杜勒姆表示，有數(shù)千種東西可以用安全性能來衡量，提取這些衡量標準并進行報告需要足夠的時間、精力和資源。“需要始終考慮的重要一點是：我們?yōu)槭裁匆饬窟@一點?這種衡量有什么幫助?它可以幫助回答什么問題?如果衡量無助于回答利益相關者/決策者需要知道的事情，它很可能會被忽視。”

Sevco Security的CSO布萊恩·康托斯告訴CSO，CISO需要與業(yè)務相關、專注于風險，而且最關鍵的是基于證據(jù)的指標。需要指標的最優(yōu)先領域包括業(yè)務連續(xù)性、法規(guī)遵從性、資產(chǎn)保護、運營效率和業(yè)務使命實現(xiàn)。

以下是正確的安全性能指標可以為CISO提供的10大優(yōu)勢：

1、客觀決策

事件響應指標——如平均檢測時間和平均響應時間——提供了有助于CISO做出客觀決策的定量數(shù)據(jù)。SANS研究所研究員、網(wǎng)絡安全領導力課程負責人Frank Kim表示，通過跟蹤和分析關鍵安全指標，CISO可以確定努力的優(yōu)先順序，分配資源，并將重點放在最需要改進的領域。

2、展示投資回報

安全投資指標——例如處理了嵌入式安全的關鍵業(yè)務計劃的百分比——使CIO能夠向執(zhí)行領導層和利益相關者展示安全計劃的ROI。這有助于證明預算和投資的合理性，因為它顯示了這些努力如何有助于降低風險和預防事故。“關于風險，利益相關者擔心的不是網(wǎng)絡風險，而是網(wǎng)絡帶來的業(yè)務風險。”康托斯說。更具體地說，這是與收入、品牌、運營以及環(huán)境、社會和治理相關的風險，他補充道。

3、有效溝通

Kim說，安全意識指標——例如定期參與大使計劃的業(yè)務部門的活動，有助于傳達一個企業(yè)是否正在建立一種具有安全意識和風險意識的文化，為向非技術(shù)利益相關者傳達安全風險和改進提供了共同語言。CISO可以使用指標來解釋安全措施的有效性和企業(yè)的整體安全態(tài)勢，這在傳統(tǒng)上是許多安全領導者面臨的挑戰(zhàn)。

會計和咨詢公司BPM的合伙人、畢馬威網(wǎng)絡業(yè)務前負責人弗雷德·里奇表示，記住，多次向董事會提交非常技術(shù)性的指標讀數(shù)的CIO沒有抓住重點，因為董事會成員無法將它們聯(lián)系起來。弗雷德·里奇曾擔任畢馬威網(wǎng)絡業(yè)務主管，他表示：“告訴董事會你已經(jīng)在防火墻上阻止了10萬個事件是毫無意義的。董事會成員需要問(而CIO需要回答)三個簡單的問題：我們在做什么?這足夠嗎?我們怎么知道?”

4、風險評估

漏洞管理指標——如暴露窗口——可幫助CIO更好地了解企業(yè)的風險概況，并通過監(jiān)控趨勢和識別潛在漏洞，在安全威脅升級之前主動應對。

“歸根結(jié)底，漏洞管理是為了解決企業(yè)的破損窗戶和未上鎖的門。”他補充說。“這些指標傳達了這些門可能會打開多長時間，并用于匯總?cè)粘＿\營活動，如掃描覆蓋范圍、分析和確定優(yōu)先順序的時間，以及修補時間。”他補充道。

5、持續(xù)改進

安全流程改進指標——例如具有相同重復根本原因的事件的百分比——跟蹤一段時間內(nèi)的進展，從而使CISO能夠設定特定目標。“這種數(shù)據(jù)驅(qū)動的方法有助于推動安全實踐的持續(xù)改進，并培養(yǎng)一種負責任的文化。”Kim說。Contos說，這些基于風險的指標然后可以寫入年度報告、公司治理文件和委員會章程，因為安全對業(yè)務具有戰(zhàn)略意義。

6、標桿管理

安全成熟度指標——例如功能成熟度分數(shù)——可以與各種行業(yè)基準(如各種互聯(lián)網(wǎng)安全中心(CIS)基準，甚至過去的表現(xiàn))進行比較，以幫助CIO了解其企業(yè)在安全成熟度方面的表現(xiàn)。這些信息可以指導制定現(xiàn)實的安全目標和戰(zhàn)略。

Absalom說，對于董事會來說，NIST網(wǎng)絡安全框架的五大支柱似乎經(jīng)常引起共鳴。安全領導者應尋找有助于回答企業(yè)狀況的指標：

• 確定威脅和風險資產(chǎn)。
• 保護已確定的資產(chǎn)。
• 檢測威脅事件。
• 對檢測到的事件作出響應。
• 從事件中恢復過來，并限制其影響。

7、合規(guī)

Kim說，由于許多法規(guī)和標準要求企業(yè)報告特定的安全指標，擁有隨時可用的合規(guī)指標——例如符合必要標準或法規(guī)的系統(tǒng)的百分比——可以更容易地滿足合規(guī)要求，并避免潛在的處罰。

8、及早發(fā)現(xiàn)問題

威脅檢測指標——例如內(nèi)部實體與外部實體檢測到的事件數(shù)量或誤判——可以作為安全基礎設施中潛在安全事件或弱點的早期預警信號。CISO可以主動解決這些問題，以防止更大規(guī)模的違規(guī)行為。

9、資源優(yōu)化

資源利用率指標——例如花在主動安全任務和被動安全任務上的時間百分比——使CISO能夠識別效率低下或冗余的安全控制領域，從而實現(xiàn)更好的資源分配和成本優(yōu)化。事實證明，這對于幫助安全領導人解決備受詬病的網(wǎng)絡安全技能短缺問題至關重要。

英國科學、創(chuàng)新和技術(shù)部(DSIT)最近的一份報告發(fā)現(xiàn)，一半的英國企業(yè)存在基本的網(wǎng)絡安全技能缺口，三分之一的企業(yè)在安全方面面臨更高級的技能短缺，如法醫(yī)漏洞分析、存儲或傳輸個人數(shù)據(jù)，或者檢測和刪除惡意軟件。

10、建立信任.

安全透明度指標——例如傳達給業(yè)務的安全事件數(shù)量或內(nèi)部利益相關者對安全通信的反饋分數(shù)——可以增強安全團隊和其他業(yè)務部門之間的信任級別。Kim說，當安全措施的有效性被量化并透明地傳達時，它會增強人們對安全計劃的信心。