顶流CISO都关注的十大安全绩效指标

正确的安全绩效指标可以帮助企业CISO提高网络安全工作的有效性、展示安全给业务带来的价值,并给CISO的多项工作带来巨大价值。

很多CISO都低估了安全绩效指标(SPM,Security Performance Metrics)的价值,事实上,安全绩效指标虽然听起来很乏味,但正确的指标可以为CISO和网络安全工作带来巨大的价值。

CISO一方面需要避免淹没在大量缺乏意义或背景的(技术)指标中,同时又要重点关注那些能够展示安全如何促进业务的价值指标。网络安全与企业业务的融合趋势意味着CISO不仅可用安全绩效指标来度量和提高安全工作的有效性,还可展示其与企业战略的一致性。

SevcoSecurity的CSOBrianContos指出:CISO需要重点关注与业务相关、风险驱动的指标,最重要的是基于证据的指标。需要用指标评估的优先级较高的领域包括业务连续性、合规性、资产保护、运营效率和业务支持。

以下我们列举一些“顶流CISO”关注的十大安全绩效指标(及其为CISO工作带来的价值):

1、事件响应指标(客观决策)

事件响应指标(例如平均检测时间(MTTD)和平均响应时间(MTTR))可提供定量数据,帮助CISO做出客观决策。SANS研究所研究员兼网络安全领导力课程负责人FrankKim表示:“通过跟踪和分析关键安全指标,CISO可以确定工作的优先顺序、分配资源并重点关注最需要改进的领域。”

2、安全投资指标(展示投资回报率)

安全投资指标有助于CISO向高级管理层和利益相关者展示安全计划的投资回报(ROI),通过展示安全投资如何降低风险和预防事件来证明安全预算和投资的合理性。利益相关者关心的重点不是网络风险,而是来自网络的业务风险,具体而言是与收入、品牌、运营以及环境、社会和治理(ESG)相关的风险。

3、安全意识指标(有效沟通)

安全意识指标(例如定期参与培训计划的业务部门的百分比)有助于展现企业是否正在积极建立安全意识和风险意识文化,该指标能提供“一种通用语言来沟通和缓解安全风险”。CISO可以使用安全意识指标来解释安全措施的有效性和企业的整体安全状况,这对于许多安全领导者来说一直是一个挑战。

会计和咨询公司BPM的合伙人、毕马威(KPMG)网络业务前负责人弗雷德·里卡(FredRica)表示:大多数向董事会展示技术性指标的CISO都没有达到预期目标,因为董事会成员无法理解技术指标。“宣称在防火墙上阻止10万次攻击尝试是没有意义的。董事会成员需要问(CISO需要回答)三个简单的问题:我们在做什么?这是否足够?我们怎么知道?”

4、漏洞管理指标(风险评估)

漏洞管理指标(例如暴露窗口)可帮助CISO更好地了解企业的风险状况。通过监控趋势和识别潜在漏洞,CISO可以在安全威胁升级之前主动解决它们。

Kim表示:“归根结底,漏洞管理的目的是解决企业的破窗和未上锁的门的问题。这些指标展示了这些门可能打开的时间,并有助于汇总日常运营活动,例如扫描覆盖范围、时间等,并进行分析和确定修补的优先级和时间。

5、安全流程改进指标(持续改进)

安全流程改进指标(例如相同原因事件重复发生的百分比)随着时间的推移跟踪进度,使CISO能够设定具体目标。这种数据驱动的方法有助于推动安全实践的持续改进,并培育问责文化。此外,这些基于风险的指标可以纳入年度报告、公司治理文件和委员会章程中,因为安全对于企业来说具有战略意义。

6、安全成熟度指标(基准测试)

安全成熟度指标(例如能力成熟度分数)可以与各种互联网安全中心(CIS)基准等行业基准甚至过去的绩效指标进行比较,以帮助CISO了解其企业在安全成熟度方面的表现。这些信息可以指导现实安全目标和策略的制定。

很多企业的董事会已经就NIST网络安全框架的五个支柱达成共识,CISO们应该积极寻找有助于回答与五大支柱相关问题的指标:

  • 识别威胁和面临风险的资产。
  • 保护已识别资产。
  • 威胁/事件检测。
  • 响应检测到的事件。
  • 从事件中恢复并限制其影响。

7、合规指标(监管合规性)

由于许多法规和标准要求企业报告特定的安全指标,因此随时提供合规指标(例如符合必要标准或法规的系统的百分比)可以更轻松地满足合规性要求,并避免潜在的处罚。

8、威胁检测指标(及早发现问题)

威胁检测指标(例如内部实体与外部实体检测到的事件数量或误报/阴性率)可以作为潜在安全事件或安全基础设施弱点的早期预警信号。CISO可以主动解决这些问题,以防止更大规模的数据泄露事件。

9、资源利用率指标(资源优化)

资源利用率指标(例如花在主动安全任务与被动安全任务上的时间百分比)可帮助CISO识别效率低下或冗余的安全控制领域,从而更好的分配资源和优化成本。这对于缓解网络安全人才和技能短缺的老大难问题也至关重要。

英国科学、创新和技术部(DSIT)最近的一份报告发现,一半的英国企业面临基本的网络安全技能差距,三分之一的企业面临与安全方面相关的中高级技能短缺,例如取证漏洞分析、存储或传输个人数据,或检测和删除恶意软件。

10、安全透明度指标(建立信任)

安全透明度指标(例如向业务部门传达的安全事件数量或内部利益相关者对安全沟通的反馈分数)可以提高安全团队与其他业务部门之间的信任程度。当安全措施的有效性得到量化并透明地传达时,就会增强人们对安全计划的信心。

前一篇DSS 2023硬核成果 | 悬镜业内首次定义数字供应链安全
后一篇Windows更新导致大面积蓝屏死机,微软“甩锅”硬件厂商