Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Jak zmierzyć bezpieczeństwo?

Jak zmierzyć bezpieczeństwo?

Zmierzyć całą organizację

Organizacja powinna posiadać metrykę, która określa więcej niż jeden parametr. Window Snyder, twórca Matasano Security, późniejszy starszy strateg bezpieczeństwa w Microsofcie, a obecnie główny strateg bezpieczeństwa fundacji Mozilla, jest zdania, że metryka powinna uwzględniać: ilość dni od zgłoszenia do wydania aktualizacji, przezroczystość procesu aktualizacji, bezpieczeństwo samej architektury i zakres kodu objęty łatami. Metryka tego typu jest trudna do rozpoznawania na pierwszy rzut oka, ale przynajmniej jeden taki wskaźnik jest niezbędny do oceny ogółu procesów związanych z produkcją oprogramowania.

Bezpieczeństwo całej organizacji jest trudno mierzalne, gdyż na całokształt ochrony firmy składa się wiele czynników. Należy pamiętać, że przedsiębiorstwo posiadające nawet najlepsze zabezpieczenia sieci lokalnej i najwyższej klasy zapory sieciowe, jest bezbronne w przypadku kradzieży niezabezpieczonego notebooka. Podobnie najsprawniejsze zabezpieczenia techniczne można wyłączyć lub obejść. Dlatego metryki bezpieczeństwa powinny obejmować różne obszary, nie tylko obszary zabezpieczeń systemów teleinformatycznych.

Przy wyborze kategorii pomiaru dla kilku działów, często wybiera się taki zestaw parametrów:

- zgodność z wymaganiami audytu

- budżet (dwa mierniki, bardzo ważne)

- komunikacja

- odpowiedź na incydenty

- zarządzanie procesami.

O ile zgodność z regulacjami audytowymi powoduje początkowo najwięcej złych wyników, szybko ulegają one poprawie, jeśli procedury naprawcze są prawidłowo wdrożone.

Znacznie ciekawszym miernikiem jest skuteczność wykorzystania środków przeznaczonych na bezpieczeństwo. Pierwszym miernikiem z tej grupy jest odsetek pieniędzy wydanych na cele bezpieczeństwa w stosunku do zaplanowanych w budżecie środków na ten cel. Drugim miernikiem jest ilość środków wydana na bezpieczeństwo podzielona przez odsetek wysokiego ryzyka wśród zagrożeń organizacji. Jeśli firma nie może przeciwdziałać incydentom o wysokiej ważności, koncentrując się na kosztownych zabezpieczeniach przed mało ważnymi zagrożeniami, wskaźnik ten będzie miał niekorzystne wartości, odzwierciedlając niewłaściwą alokację środków.

Komunikacja również powinna być mierzona, gdyż problemy w tej dziedzinie skutkują obniżeniem bezpieczeństwa. Pomiar czasu spędzanego na spotkaniach, czas odpowiedzi na zgłoszenia i zrozumiałość komunikatów umożliwiają sprawdzenie rzeczywistych parametrów komunikacji działów w organizacji.

Przykłady prostych i zrozumiałych mierników bezpieczeństwa:

- odsetek komputerów przenośnych chronionych przez oprogramowanie ochronne,

- liczba naruszeń bezpieczeństwa sieci zarejestrowanych w ciągu danego czasu, podzielonych przez liczbę użytkowników korzystających z tej sieci,

- odsetek naruszeń bezpieczeństwa, które zostały niezwłocznie wykryte przez systemy obronne w stosunku do całkowitej liczby (obejmującej także incydenty wykryte w czasie późniejszym lub przez przypadek),

- odsetek ogółu naruszeń bezpieczeństwa dotyczył obiektów pobranych z Internetu,

- liczba zarejestrowanych naruszeń bezpieczeństwa w porównaniu do roku ubiegłego.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas