Mierzenie wydajności w zakresie bezpieczeństwa może nie brzmieć jak najbardziej ekscytujące ćwiczenie w programie CISO, ale odpowiednie wskaźniki mogą przynieść znaczącą wartość liderom bezpieczeństwa i znacznie pomóc im w radzeniu sobie z różnorodnymi wyzwaniami. Przecięcie nowoczesnego bezpieczeństwa i biznesu oznacza, że istnieje wiele wskaźników, które CISO mogą wykorzystać nie tylko do pomiaru i poprawy skuteczności swoich działań w zakresie bezpieczeństwa, ale także do wykazania cennego strategicznego dostosowania do organizacji, wśród wielu innych korzyści. Aby jednak uzyskać prawdziwą wartość z wszelkich wskaźników wydajności bezpieczeństwa, ważne jest, aby CISO unikali tonięcia w metrykach, które nie mają znaczenia lub kontekstu, koncentrując się na tych, które pokazują, w jaki sposób bezpieczeństwo wspiera biznes.

Tysiące rzeczy można zmierzyć pod względem wydajności bezpieczeństwa, a wyodrębnienie tych pomiarów i raportowanie ich wymaga poważnego czasu, wysiłku i zasobów, mówi Richard Absalom, główny analityk badawczy w Information Security Forum (ISF). „Ważną rzeczą, którą należy zawsze rozważyć, jest: Dlaczego to mierzymy? W jaki sposób ten pomiar pomaga? Na jakie pytanie może pomóc odpowiedzieć? Jeśli pomiar nie pomaga odpowiedzieć na coś, co interesariusz/decydent musi wiedzieć, prawdopodobnie zostanie zignorowany”.

Zobacz również:

• Generatywna sztuczna inteligencja przeraża CISO. Mimo to jej wdrażanie nie zwalnia tempa

CISO potrzebują wskaźników istotnych dla biznesu, skoncentrowanych na ryzyku i - co najważniejsze - opartych na dowodach, mówi Brian Contos, CSO w Sevco Security. „Obszary o najwyższym priorytecie, które wymagają wskaźników, obejmują ciągłość biznesową, zgodność z przepisami, ochronę zasobów, wydajność operacyjną i umożliwienie realizacji misji biznesowej".

Oto 10 korzyści, jakie odpowiednie wskaźniki wydajności bezpieczeństwa mogą zaoferować CISO:

1. Obiektywne podejmowanie decyzji

Wskaźniki reakcji na incydenty - takie jak średni czas do wykrycia (MTTD) i średni czas reakcji (MTTR) - oferują dane ilościowe, które pomagają CISO w podejmowaniu obiektywnych decyzji. „Śledząc i analizując kluczowe wskaźniki bezpieczeństwa, CISO mogą ustalać priorytety działań, przydzielać zasoby i koncentrować się na obszarach, które wymagają największej poprawy”, mówi Frank Kim, pracownik SANS Institute i lider programu Cybersecurity Leadership Curriculum.

2. Wykazanie zwrotu z inwestycji

Wskaźniki inwestycji w bezpieczeństwo - takie jak procent kluczowych inicjatyw biznesowych z wbudowanym przetwarzaniem bezpieczeństwa - pozwalają CISO zademonstrować kierownictwu wykonawczemu i interesariuszom zwrot z inwestycji (ROI) w inicjatywy związane z bezpieczeństwem. Pomaga to uzasadnić budżety i inwestycje, pokazując, w jaki sposób te wysiłki przyczyniają się do zmniejszenia ryzyka i zapobiegania incydentom. „Jeśli chodzi o ryzyko, to interesariusze nie są zainteresowani ryzykiem cybernetycznym, ale ryzykiem biznesowym związanym z cyberbezpieczeństwem”, mówi Contos. Dokładniej rzecz ujmując, chodzi o ryzyko związane z przychodami, marką, działalnością operacyjną oraz środowiskiem, sprawami społecznymi i ładem korporacyjnym.

3. Skuteczna komunikacja

Wskaźniki świadomości bezpieczeństwa - takie jak odsetek jednostek biznesowych z regularnym zaangażowaniem w program ambasadorski - pomagają przekazać, czy organizacja buduje kulturę świadomą bezpieczeństwa i ryzyka, zapewniając wspólny język do komunikowania zagrożeń bezpieczeństwa i ulepszeń nietechnicznym interesariuszom, uważa Kim. CISO mogą wykorzystywać wskaźniki do wyjaśniania skuteczności środków bezpieczeństwa i ogólnego stanu bezpieczeństwa organizacji, co tradycyjnie stanowiło wyzwanie dla wielu liderów ds. bezpieczeństwa.

Należy pamiętać, że CISO, którzy przedstawiają zarządowi bardzo techniczne odczyty wskaźników, często mijają się z celem, ponieważ członkowie zarządu nie mogą ich kontekstualizować, mówi Fred Rica, partner w firmie księgowej i konsultingowej BPM i były szef praktyki cybernetycznej KPMG „Powiedzenie zarządowi, że zablokowałeś 100 000 zdarzeń na zaporze ogniowej, jest bez znaczenia. Członkowie zarządu powinni zadawać (a CISO odpowiadać) na trzy proste pytania: Co robimy? Czy to wystarczy? Skąd to wiemy?”.

4. Ocena ryzyka

Wskaźniki zarządzania podatnościami - takie jak okno ekspozycji - pomagają CISO lepiej zrozumieć profil ryzyka organizacji, a monitorując trendy i identyfikując potencjalne luki w zabezpieczeniach, mogą proaktywnie reagować na zagrożenia bezpieczeństwa, zanim dojdzie do ich eskalacji.

„Ostatecznie w zarządzaniu podatnościami na zagrożenia chodzi o zajęcie się rozbitymi oknami i odblokowanymi drzwiami przedsiębiorstwa”, mówi Kim. „Te wskaźniki pokazują, jak długo te drzwi są potencjalnie otwarte i służą do podsumowania codziennych działań operacyjnych, takich jak zasięg skanowania, czas na analizę i ustalenie priorytetów, a także czas na łatanie”, dodaje.

5. Ciągłe doskonalenie

Wskaźniki poprawy procesów bezpieczeństwa - takie jak odsetek incydentów z tą samą powtarzającą się przyczyną źródłową - śledzą postępy w czasie, umożliwiając CISO wyznaczanie konkretnych celów. „Takie podejście oparte na danych pomaga w ciągłym doskonaleniu praktyk bezpieczeństwa i wspiera kulturę odpowiedzialności”, mówi Kim. Te oparte na ryzyku wskaźniki mogą następnie znaleźć się w raportach rocznych, dokumentach ładu korporacyjnego i kartach komitetów, tak jak powinny, ponieważ bezpieczeństwo ma strategiczne znaczenie dla firmy, mówi Contos.

6. Analiza porównawcza

Wskaźniki dojrzałości bezpieczeństwa - takie jak wyniki dojrzałości zdolności - można porównać z branżowymi benchmarkami, takimi jak różne benchmarki Center for Internet Security (CIS), a nawet z wynikami z przeszłości, aby pomóc CISO zrozumieć, jak radzi sobie ich organizacja pod względem dojrzałości bezpieczeństwa. Informacje te mogą pomóc w opracowaniu realistycznych celów i strategii bezpieczeństwa.

Absalom mówi, że dla zarządu pięć filarów NIST Cybersecurity Framework często wydaje się rezonować. Liderzy ds. bezpieczeństwa powinni szukać wskaźników i metryk, które pomogą odpowiedzieć na pytanie, jak dobrze organizacja:

• Identyfikuje zagrożenia i zagrożone aktywa.

• Chroni zidentyfikowane zasoby.

• Wykrywa zdarzenia zagrożeń.

• Reaguje na wykryte zdarzenia.

• Usuwa skutki incydentów i ogranicza ich wpływ.

7. Zgodność z przepisami (compliance)

Ponieważ wiele przepisów i norm wymaga od organizacji raportowania określonych wskaźników bezpieczeństwa, posiadanie łatwo dostępnych wskaźników zgodności - takich jak procent systemów zgodnych z niezbędnymi normami lub przepisami - ułatwia spełnienie wymagań zgodności i uniknięcie potencjalnych kar, mówi Kim.

8. Wczesne wykrywanie problemów

Wskaźniki wykrywania zagrożeń - takie jak liczba incydentów wykrytych przez podmioty wewnętrzne i zewnętrzne lub wskaźniki fałszywie pozytywnych/negatywnych - mogą służyć jako wczesne sygnały ostrzegawcze o potencjalnych incydentach bezpieczeństwa lub słabościach infrastruktury bezpieczeństwa. CISO mogą proaktywnie zająć się tymi kwestiami, aby zapobiec naruszeniom na większą skalę.

9. Optymalizacja zasobów

Wskaźniki wykorzystania zasobów - takie jak procent czasu spędzonego na proaktywnych i reaktywnych zadaniach związanych z bezpieczeństwem - mogą umożliwić CISO identyfikację obszarów nieefektywności lub zbędnych kontroli bezpieczeństwa, prowadząc do lepszej alokacji zasobów i optymalizacji kosztów. Może to okazać się kluczowe, aby pomóc liderom ds. bezpieczeństwa w radzeniu sobie z często krytykowanym niedoborem umiejętności w zakresie cyberbezpieczeństwa.

Niedawny raport Departamentu Nauki, Innowacji i Technologii (DSIT) wykazał, że połowa brytyjskich firm cierpi na niedobór podstawowych umiejętności w zakresie cyberbezpieczeństwa, a jedna trzecia boryka się z bardziej zaawansowanymi niedoborami umiejętności w odniesieniu do takich aspektów bezpieczeństwa, jak analiza naruszeń kryminalistycznych, przechowywanie lub przesyłanie danych osobowych lub wykrywanie i usuwanie złośliwego oprogramowania.

10. Budowanie zaufania

Wskaźniki przejrzystości bezpieczeństwa - takie jak liczba incydentów związanych z bezpieczeństwem, o których firma została poinformowana, lub wyniki informacji zwrotnych od wewnętrznych interesariuszy na temat komunikacji w zakresie bezpieczeństwa - mogą zwiększyć poziom zaufania między zespołem ds. bezpieczeństwa a innymi jednostkami biznesowymi. Kiedy skuteczność środków bezpieczeństwa jest określana ilościowo i przekazywana w przejrzysty sposób, zwiększa to zaufanie do programu bezpieczeństwa, mówi Kim.

Źródło: CSO