【51CTO.com快譯】你會(huì)衡量你的網(wǎng)絡(luò)安全工作的價(jià)值和有效性嗎？事實(shí)上，目前世界上大多數(shù)公司都沒(méi)有做到這一點(diǎn)。甚至當(dāng)新的信息安全功能生成和企業(yè)安全數(shù)據(jù)交付時(shí)，都沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)來(lái)讀取。如果不建立適當(dāng)?shù)木W(wǎng)絡(luò)安全度量標(biāo)準(zhǔn)，這的確無(wú)法定義。

Thycotic公司***安全科學(xué)家Joseph Carson根據(jù)ISO27001規(guī)定、行業(yè)專家和協(xié)會(huì)的經(jīng)驗(yàn)，針對(duì)網(wǎng)絡(luò)安全工作推出了SMI安全測(cè)量指數(shù)。Joseph Carson認(rèn)為，許多公司在網(wǎng)絡(luò)安全方面做出努力，但這些努力和公司的效益并不掛鉤。許多公司沒(méi)有評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的影響。他們不是從對(duì)業(yè)務(wù)影響的角度來(lái)看待這個(gè)問(wèn)題。他們做網(wǎng)絡(luò)安全只是為了滿足合規(guī)性，許多安全指標(biāo)都是這么設(shè)定的。
 

[[205131]]

ISF信息安全論壇是一個(gè)專門討論網(wǎng)絡(luò)安全問(wèn)題的非營(yíng)利性組織，這個(gè)組織的總經(jīng)理Steve Durbin認(rèn)為，企業(yè)效益和網(wǎng)絡(luò)安全之間缺乏一種衡量機(jī)制。兩者之間應(yīng)該建立起一種共同語(yǔ)言，我們應(yīng)該從企業(yè)盈利的角度來(lái)看待網(wǎng)絡(luò)安全問(wèn)題。

如何衡量網(wǎng)絡(luò)安全工作的有效性？
Cybera Thycotic是特權(quán)帳戶管理（PAM）和端點(diǎn)的權(quán)限管理解決方案的供應(yīng)商，它調(diào)查了超過(guò)400個(gè)全球業(yè)務(wù)和安全主管，從而創(chuàng)造SMI基準(zhǔn)調(diào)查。研究發(fā)現(xiàn)，在針對(duì)這些企業(yè)的網(wǎng)絡(luò)安全工作有效性評(píng)估中，有58%的受訪企業(yè)得分不及格。

調(diào)查還發(fā)現(xiàn)，雖然全球公司每年在網(wǎng)絡(luò)安全防御上花費(fèi)超過(guò)1000億美元，但32%的公司做出商業(yè)決策時(shí)，盲目購(gòu)買網(wǎng)絡(luò)安全技術(shù)。超過(guò)80%的企業(yè)在網(wǎng)絡(luò)安全購(gòu)買決策時(shí)沒(méi)有對(duì)業(yè)務(wù)用戶構(gòu)成影響。他們也沒(méi)有設(shè)立一個(gè)指導(dǎo)委員會(huì)來(lái)評(píng)估與網(wǎng)絡(luò)安全投資相關(guān)的業(yè)務(wù)影響和風(fēng)險(xiǎn)。

ISF調(diào)查發(fā)現(xiàn)，許多***信息安全官（CISO）錯(cuò)報(bào)了關(guān)鍵績(jī)效指標(biāo)（KPI）和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRIS）。大多數(shù)CISO很少或根本沒(méi)有從用戶的角度獲取安全有效性的實(shí)際效果。他們?cè)谠噲D猜測(cè)他們的受眾需要什么，在試圖提供關(guān)于信息安全有效性、組織風(fēng)險(xiǎn)和信息安全安排等主題的管理報(bào)告時(shí)，失去了有效的指標(biāo)。

網(wǎng)絡(luò)安全人員時(shí)常在考慮成本問(wèn)題，而CISO們要承擔(dān)的是許多繁重的工作。對(duì)于網(wǎng)絡(luò)安全，CIO也發(fā)揮著重要的作用：提供安全功能與數(shù)據(jù)。Carson認(rèn)為"CIO的核心職責(zé)是確保組織擁有正確決策所需的信息。他們需要確定組織的核心、高級(jí)資產(chǎn)是什么，對(duì)它們進(jìn)行分類，再與***信息安全官協(xié)同工作來(lái)保護(hù)它們。"

制定KPI和KRI的四個(gè)步驟
為實(shí)現(xiàn)安全部門與業(yè)務(wù)部門掛鉤，ISF提出了四個(gè)步驟的實(shí)用方法來(lái)制定有效的KPI和KRI。Durbin說(shuō)，這種方法將有助于信息安全功能主動(dòng)響應(yīng)業(yè)務(wù)需求。他說(shuō)，關(guān)鍵是要和正確的人進(jìn)行正確的對(duì)話。ISF的方法設(shè)計(jì)適用于組織的各個(gè)層面，這四個(gè)步驟包括：

·通過(guò)了解企業(yè)環(huán)境建立關(guān)聯(lián)，確定共同的利益發(fā)展KPI和KRI
·從生產(chǎn)/效益的角度出發(fā)，校準(zhǔn)和解釋KPI/KRI。
·參與討論有關(guān)共同利益的建議，并就下一步的規(guī)則制定作出決定，從而帶來(lái)積極效果。
·通過(guò)開(kāi)發(fā)學(xué)習(xí)和改進(jìn)計(jì)劃來(lái)學(xué)習(xí)和改進(jìn)
依據(jù)ISF提出的這四個(gè)步驟，建立網(wǎng)絡(luò)安全與生產(chǎn)效益之間的聯(lián)系，從而使安全功能更好地響應(yīng)業(yè)務(wù)需求。

制定的規(guī)則來(lái)源于正確的數(shù)據(jù)
開(kāi)始建立關(guān)聯(lián)必須依靠正確的數(shù)據(jù)作為支撐，數(shù)據(jù)必須來(lái)自精準(zhǔn)的用戶，才能支撐起正確的結(jié)構(gòu)。然后必須在整個(gè)組織中一致地使用這些數(shù)據(jù)。建立關(guān)聯(lián)，需要六個(gè)步驟：

·理解業(yè)務(wù)內(nèi)容
·識(shí)別受眾和合作者
·確定共同利益
·確定關(guān)鍵的信息安全問(wèn)題
·設(shè)計(jì)KPI/KRI
·測(cè)試和確認(rèn)KPI/KRI

一旦獲得數(shù)據(jù)，你就要從中洞察和產(chǎn)生新的見(jiàn)解，可信的見(jiàn)解還來(lái)自于對(duì)KPI和KRI的理解。產(chǎn)生的見(jiàn)解，包括以下三個(gè)步驟：

·收集數(shù)據(jù)
·生產(chǎn)和檢定KPI/KRI
·闡明KPI/KRI設(shè)定的意義

有了真知灼見(jiàn)之后，是時(shí)候產(chǎn)生影響了，確保信息被報(bào)道并以一種被所有人所接受和理解的方式呈現(xiàn)。這導(dǎo)致了決策和行動(dòng)：

·認(rèn)同結(jié)論，提出建議
·制作報(bào)告和演示文稿
·準(zhǔn)備報(bào)告和分發(fā)報(bào)告
·提出并商定下一步

***一步是根據(jù)前面的步驟進(jìn)行的改進(jìn)計(jì)劃。根據(jù)ISF的調(diào)研，改進(jìn)計(jì)劃基于績(jī)效和風(fēng)險(xiǎn)的預(yù)估，提供信息安全、組織保證功能就是主動(dòng)回應(yīng)企業(yè)的優(yōu)先事項(xiàng)和其他需要。Carson說(shuō)，"你需要養(yǎng)成一種不斷進(jìn)化的心態(tài)。"這是一種文化，一種意識(shí)工程。它總是在進(jìn)行中。"

作者：ThorOlavsrud
原文鏈接：https://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html
劉妮娜譯

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】