Jak zmierzyć bezpieczeństwo?
- 05.05.2009
Zmierzyć całą organizację
Organizacja powinna posiadać metrykę, która określa więcej niż jeden parametr. Window Snyder, twórca Matasano Security, późniejszy starszy strateg bezpieczeństwa w Microsofcie, a obecnie główny strateg bezpieczeństwa fundacji Mozilla, jest zdania, że metryka powinna uwzględniać: ilość dni od zgłoszenia do wydania aktualizacji, przezroczystość procesu aktualizacji, bezpieczeństwo samej architektury i zakres kodu objęty łatami. Metryka tego typu jest trudna do rozpoznawania na pierwszy rzut oka, ale przynajmniej jeden taki wskaźnik jest niezbędny do oceny ogółu procesów związanych z produkcją oprogramowania.
Przy wyborze kategorii pomiaru dla kilku działów, często wybiera się taki zestaw parametrów:
- zgodność z wymaganiami audytu
- budżet (dwa mierniki, bardzo ważne)
- komunikacja
- odpowiedź na incydenty
- zarządzanie procesami.
O ile zgodność z regulacjami audytowymi powoduje początkowo najwięcej złych wyników, szybko ulegają one poprawie, jeśli procedury naprawcze są prawidłowo wdrożone.
Znacznie ciekawszym miernikiem jest skuteczność wykorzystania środków przeznaczonych na bezpieczeństwo. Pierwszym miernikiem z tej grupy jest odsetek pieniędzy wydanych na cele bezpieczeństwa w stosunku do zaplanowanych w budżecie środków na ten cel. Drugim miernikiem jest ilość środków wydana na bezpieczeństwo podzielona przez odsetek wysokiego ryzyka wśród zagrożeń organizacji. Jeśli firma nie może przeciwdziałać incydentom o wysokiej ważności, koncentrując się na kosztownych zabezpieczeniach przed mało ważnymi zagrożeniami, wskaźnik ten będzie miał niekorzystne wartości, odzwierciedlając niewłaściwą alokację środków.
Komunikacja również powinna być mierzona, gdyż problemy w tej dziedzinie skutkują obniżeniem bezpieczeństwa. Pomiar czasu spędzanego na spotkaniach, czas odpowiedzi na zgłoszenia i zrozumiałość komunikatów umożliwiają sprawdzenie rzeczywistych parametrów komunikacji działów w organizacji.
Przykłady prostych i zrozumiałych mierników bezpieczeństwa:
- odsetek komputerów przenośnych chronionych przez oprogramowanie ochronne,
- liczba naruszeń bezpieczeństwa sieci zarejestrowanych w ciągu danego czasu, podzielonych przez liczbę użytkowników korzystających z tej sieci,
- odsetek naruszeń bezpieczeństwa, które zostały niezwłocznie wykryte przez systemy obronne w stosunku do całkowitej liczby (obejmującej także incydenty wykryte w czasie późniejszym lub przez przypadek),
- odsetek ogółu naruszeń bezpieczeństwa dotyczył obiektów pobranych z Internetu,
- liczba zarejestrowanych naruszeń bezpieczeństwa w porównaniu do roku ubiegłego.