沟通鸿沟让许多 CISO 难以解释安全投资的价值——如果安全专业人员无法传达该价值,他们就有可能与业务优先事项不同步,或给领导者一种关于安全准备的错误信心。
好消息是,在网络安全方面,董事会认识到参与网络安全问题的重要性,并且在该主题上变得更加复杂。据 Gartner 称,到 2025 年,40% 的董事会将拥有一个由合格董事会成员监督的专门网络安全委员会,而目前这一比例不到 10%。但安全计划的日常指标与董事会优先事项之间仍然存在差距。
1. 迷失在翻译中
幸运的是,有些指标对两个团队都有意义且重要,因此每个人都可以说同一种语言——不需要翻译。这些指标产生洞察力,董事会和安全团队可以在考虑人员、流程和技术的同时共同采取行动。
董事会的核心是批准组织的战略方向以及组织如何分配资源和降低风险。安全领导者必须提出与业务目标一致的指标,才能在指标经常达不到这个目标的原因:董事会层面产生影响。这就是为什么许多安全。
诸如每日网络钓鱼警报数量之类的指标不提供上下文——也就是说,它们不会通知CISO这些数字是好消息还是坏消息。如果指标不指向后续步骤,例如更改流程、更好地配置产品或识别自动化机会,则行动路径尚不清楚。
指标通常说明工具的使用方式,而不是它们产生的结果以及这些结果的实际含义。基于工具的度量标准被认为是安全领域的唾手可得的成果——它们很容易获得,但无助于解决问题。
通常,组织不会处理人员、流程和技术——构建公司安全模型如何执行的全局视图所必需的三个关键支柱。
虽然这些是需要避免的指标,但有一些不同的指标对领导力很重要,并且可以为更多利益相关者所理解,而不仅仅是安全团队。这些指标侧重于正在部署的资源(即安全程序工具和人员)的有效性,以及确保具有适当的可见性以降低风险。
2. 工具功效
董事会成员和安全专业人员需要知道安全投资是否有回报。要了解当前工具是否有效,请衡量团队在使用这些工具时遇到的问题数量、中断或不活动服务的数量以及供应商支持票的数量等因素。此外,跟踪每个工具的特性和功能的集成程度——这是衡量工具投资回报率的一个很好的方法。
3. 能见度
计算支持企业的系统总数以及这些系统中有多少收集和分析日志。对每个环境进行相同的数学计算。例如,如果有多个云环境,对这些环境的可见性范围是否与本地数据中心相同?然后,确定是否从这些系统中收集了足够数量的数据,以符合适用的行业框架(例如 NIST、CSF 和 MITRE),这些框架可以评估由此产生的威胁检测和响应能力。
4. 团队生产力
考虑团队花时间做什么,比如处理误报——这可能导致警报疲劳——或故障排除和管理工具,以及他们在这些干扰的情况下通常对问题的响应速度有多快(使用平均响应时间,或 MTTR)。通过汇总各种团队指标,组织可以了解他们是否配备适当的人员或团队是否需要更多培训。随着重点转向提供背景和数字的指标,组织也可以考虑从合作伙伴或研究机构那里寻找指标——尤其是如果这意味着寻找同行或行业基准统计数据来衡量团队的绩效。当然,这是一个很难衡量的类别——但因为它是“人”的支柱,所以它非常重要。
衡量工具功效、可见性和团队绩效的指标对于长期跟踪以获取有关趋势的信息也很重要——这是为指标提供上下文的另一个关键要求。理想情况下,组织应展示对人员、流程和技术的每项投资如何改进安全计划并降低企业风险。如果可以共享此类指标,沟通差距将开始消失,每个人都将使用相同的业务语言——确保组织的安全计划与业务目标保持一致,并且组织可以专注于其核心使命。