在首席信息安全官試圖想辦法向高管證明投資回報率以及提高安全操作的整體效能時，正確的指標可以幫助推動他們的工作。作為一個行業，信息安全已經非常成熟，很多企業安全領導都發現了創新的措施來追蹤效能以及推動不斷改善。本文中我們介紹了10個最佳指標來幫助企業證明安全有效性、尋求更大預算以及推動安全人員提高他們的日常工作。

檢測和響應的平均時間

也被稱為平均知道時間(MTTK)，平均檢測時間(ATD)衡量問題(攻擊或配置問題)出現以及安全團隊發現有問題之間的時間。

Lockheed Martin公司網絡主管Greg Boison表示：“通過減少ATD，安全運營中心(SOC)人員有更多時間來評估情況，并決定最佳做法來使企業完成自己的使命，同時防止損害企業的資產。”

同時，平均解決或響應時間則測量安全團隊適當回應問題和緩解風險的時間。

“平均響應時間(ATTR)可以讓SOC管理人員知道他們是否在迅速和正確地響應違反安全政策的行為，”Boison表示，“通過降低ATR，SOC人員可以減少安全違反行為的影響。”

持續追蹤這兩個指標可以說明安全計劃是否在改善或者惡化，理想情況下，應該逐漸改善。 

誤報率

追蹤誤報率(FPRR)可以幫助檢查低級別分析師的工作，確保他們作出的判斷會自動過濾誤報安全事件數據，然后再將篩選后的數據發送給響應團隊的其他人。

“盡管部署了自動過濾，SOC團隊必須做出最后決定，即他們警告的事件是否是真正的威脅，”Boison稱，“誤報會讓事件處理者和更高級別管理人員增加已經繁重的工作，如果過量的話，可能會降低他們的警惕度。”

高誤報率可能說明需要對低級別分析師進行更好的培訓，或者更好地調整分析工具。

“很多時候低級別分析師缺乏對事件原因的良好理解與可實現，而讓誤報發送到高級別分析師，”Cyberreason公司首席執行官Lior Div表示，“這導致了昂貴的資源浪費。” 

 #p#

平均修復軟件漏洞時間

無論是網絡、移動、云計算還是內部應用程序，構建定制軟件的企業都應該衡量從發現漏洞到修復漏洞的時間。

“這個指標可以幫助企業了解生產軟件中的漏洞情況，”Denim Group公司負責人John Dickson表示“然而，大多數企業不會內部公布這一指標，而導致最嚴重的應用程序漏洞(例如SQL注入)很長時間在生產中。”

實際上，這個數據可能被沒有發生的修復所歪曲，特別是在開發過程中。因此，企業應該追蹤報告的關鍵漏洞數量和已經修復的漏洞數量，這將會顯示靜態分析對企業的有效性。

Cigital公司安全舉措主管Caroline Wong表示：“為了獲得這個指標，軟件安全團隊必須進行靜態分析，計算最初發現的漏洞數量，并計算實際修復的漏洞數量。只有開發人員真正修復軟件漏洞，才可能提高代碼的質量。” 

漏洞修復延遲

漏洞修復延遲也可以顯示安全計劃的有效性。

“我們需要證明漏洞修復的進展，對于擁有成千上萬設備的很多企業來說，這可能是一個艱巨的任務。他們應該專注于關鍵漏洞，并報告修復延遲情況，”咨詢公司WGM Associates安全做法負責人Scott Shedd表示，“報告我們已經修復的漏洞，哪些還未修復，以及發現了多少新的漏洞。” 

事件響應量

追蹤事件響應的數量可以幫助首席信息安全官確定事件被發現和解決的情況。

“這可以顯示事件正在進行修復以及根本原因分析，”WGM公司Shedd表示，“這對于持續改進信息安全計劃非常重要。” 

已充分了解的事故率

這個指標也可以幫助了解事件響應和安全分析師的效率。

Cybereason的Div表示：“在安全事件中，安全團隊對多少事件有著全面的了解，造成警報的原因，其影響?”

與整體事故數量相比，這個數據越低，說明需要更多人力資源或工具。 

分析生產時間

你的安全計劃存在信息過量?測量收集數據的時間與分析數據的時間，可以幫助回答這個問題。

IKANOW公司總裁Christopher Morgan表示：“減少分析事件讓IT團隊可以更快識別和采取行動來防止或檢測和解決安全泄露事故，從而提高整體安全狀況。”

他表示：“縮短分析安全數據的時間—無論是來自內部防火墻或SIEM信息或外部威脅情報源，都需要給數據科學家工具盒時間來專注于數據分析。” 

按時和按預算完成項目的百分比

首席信息安全官可以向高管提供按時按預算完成IT安全項目的百分比，讓他們了解其開支情況。Security Mentor公司首席戰略官兼首席安全官Dan Lohrmann表示：“這可能是加密項目、新防火墻或其他安全項目。這一指標可以確保安全可以向管理團隊提供價值和改進。” 

自動控制檢測的安全事件百分比

衡量檢測工具的一種方法是追蹤通過自動工具檢測的安全事件的百分比。

Tripwire公司首席技術官Dwayne Melancon 表示：“這一指標不僅可以鼓勵你熟悉事件檢測情況，還可以讓你專注于自動化，這減少了人力資源要求。這還可以更容易地獲得預算，因為你可以說明自動化帶來的成本節約，同時提高企業安全性。” 

員工行為指標

安全意識培訓是否有效?我們有很多方法來追蹤和衡量這一點，主要是通過網絡釣魚和社會工程學壓力測試，其中你對你的員工進行相關測試。

基本上，你需要運行一個假的釣魚網站，并打一些社會工程學電話，研究公司主管Santorelli表示：“對取得好成績的員工予以獎勵和宣傳，幫助犯錯的員工學習經驗教訓，這樣，你就會提高員工的抵御力，至少在幾周時間內是這樣。”

原文地址：http://www.darkreading.com/10-ways-to-measure-it-security-program-effectiveness/d/d-id/1319494?_mc=RSS_DR_EDT&image_number=1