Jak zmierzyć bezpieczeństwo?

Pomiar bezpieczeństwa nigdy nie był prostą sprawą. Eksperci stosują skomplikowane współczynniki, które trudno zrozumieć. Jak więc prosto zmierzyć bezpieczeństwo firmy?

Organizacje używają skomplikowanych metryk, aby mierzyć bezpieczeństwo. Jak podają analitycy Forrester Research, o wiele korzystniejszym modelem jest jednak uproszczenie pomiaru. "Niektóre decyzje podejmowane są bardzo emocjonalnie, na podstawie własnych percepcji poziomu ryzyka oraz wiadomości prasowych. Nie jest to najlepsza metoda" - mówią. Aby zmierzyć bezpieczeństwo w firmie we właściwy sposób, organizacje muszą zdefiniować proste i spójne mierniki w jasno określonych obszarach. Nawet najprostsze mierniki są lepsze niż ich brak lub istnienie niezrozumiałych.

Liczy się nie tylko ilość

Kadra zarządzająca nie ma zbyt dużo czasu na rozpoznawanie działania metryk, dlatego należy przygotować proste odpowiedzi, na których zarządzający mogą polegać. Utworzenie prostych metryk da szansę zademonstrowania poziomu bezpieczeństwa w efektywniejszy sposób niż przy złożonych metrykach, które trudno na pierwszy rzut oka kierownictwu zrozumieć. Niektóre z nich mają niewiele wspólnego z kontekstem biznesowym.

Na bezpieczeństwo ma wpływ wiele czynników. Jednym z nich jest istotność danej luki w bezpieczeństwie. Im jest poważniejsza, tym wyższe jest ryzyko i metryki muszą to w pewien sposób uwzględniać. Jeśli chodzi o bezpieczeństwo oprogramowania, najważniejsze są luki określane jako krytyczne, dlatego jedna z metryk powinna uwzględniać ich ilość, a także odsetek w stosunku do wszystkich stwierdzonych problemów. Przykładowy wynik pomiarów, który stwierdza, że w ciągu roku w produkcie wykryto ogółem 20 luk, nie jest tak alarmujący, jak ten, że odsetek luk krytycznych (tych, które z wysokim prawdopodobieństwem mogą posłużyć do naruszenia bezpieczeństwa) w stosunku do ogólnej ich liczby wynosi aż 25%.

Drugim parametrem, rzadko podawanym przez dostawców oprogramowania, jest czas, który upływa od zgłoszenia luki (szczególnie krytycznej) do opublikowania łaty usuwającej dany błąd. Im ten czas jest krótszy, tym lepiej, gdyż szybka reakcja umożliwia usunięcie luki u końcowych użytkowników. Czas ten można liczyć od daty ukazania się informacji o niej w powszechnie uznawanych biuletynach do chwili założenia łaty udostępnionej przez dostawcę systemu lub aplikacji. Czas ten jest ważnym parametrem w przypadku serwisów internetowych.

Przy wyborze aplikacji, specjaliści często opierają się na statystykach czasu wsparcia technicznego. W takich przypadkach należy wierzyć oficjalnym statystykom wykonywanym przez niezależne laboratoria, a informacje dostarczane przez dział marketingu dostawców trzeba traktować ostrożnie. Warto pamiętać, że niektóre luki bywają niezałatane miesiącami, nawet w przypadku dużych i poważnych dostawców. W tym czasie systemy klientów są podatne na naruszenie bezpieczeństwa.