董事会最关心的七个安全指标

向董事会汇报企业安全态势并争取更多安全预算并不是一件容易的事情。事实上,企业的安全主管们面临的最大挑战之一就是如何向非技术背景的管理层解释网络安全战略以及安全为整体业务带来的价值。

安全主管们在董事会上的报告应当简明扼要,用通俗易懂(不要过于技术化)的语言和指标来描绘当前威胁形势以及相应的网络安全运营指标和措施。以下是董事会上需要重点呈现的七大网络安全指标。

网络攻击(尝试)统计数据

从网络安全的角度来看,以时间轴呈现的攻击统计也许并不是多么重要的统计数据,但它确能以非常直观的方式让董事会了解了企业每天面临的威胁。企业网络安全的困境在于,当防御措施得力很少发生安全事件时,业务领导者往往会对网络安全“无感”,甚至轻视。攻击统计能够证明威胁不仅始终“在门外徘徊”,而且在不断增长中。

事故率、严重程度、响应时间和补救时间

随着时间的推移,以及重大网络安全事件的触动,董事会成员可能会对网络安全产生浓厚兴趣。当然,即便把网络安全看作是一种投资,安全主管们也需要通过“事故率、严重程度、响应时间和补救时间”等关键指标来证明董事会批准的安全预算被合理使用并产生效果了。收集和绘制安全事件、记录其严重性级别、响应时间和补救时间是表明现有安全工具和员工正在输出价值的好方法。

漏洞补丁响应时间

即使是非技术背景的董事会成员也明白,当关键业务软件发现漏洞时,必须迅速修补。“漏洞补丁响应时间”这个指标可以直观展示应用程序、操作系统和工具在补丁发布日期之后的修补速度有多快,这也表明安全团队有能力快速响应最新的安全漏洞。

按应用程序/数据访问级别细分的内部威胁指标

很多董事会成员可能仍然错误地认为大多数网络安全威胁来自组织外部。为董事会呈现内部人员网络安全指标,是帮助企业领导者重视内部威胁的好方法。为了帮助管理者理解这一点,使用数据——包括内部数据丢失指标、入职和离职人数以及员工应用程序访问跟踪——说明数据丢失和被盗更有可能来自员工。它还有助于董事会成员了解部署先进预防措施的必要性,例如实施零信任框架。

业务数据总量

业务数据总量虽然不一定是安全指标,但在制订预算的季节,安全主管强调公司网络生成和发送的数据总量可能具有重要价值。通过流量的变化,无论是渐进的还是突然的,都有助于证明对新的或升级的安全工具的需求是合理的。该指标将有助于推动这样一种传统观念,即随着网络使用量的增加,为保护这种增长而分配的网络安全预算也应水涨船高。

同行衬托指标

网络安全主管自我肯定工作成果的最佳方式之一是“同行衬托”——展示您如何与业内同行竞争。董事会成员热衷于关注同行竞争,因此,他们会很有兴趣了解他们与同行业其他企业在安全能力方面的竞争态势。幸运的是,许多基于云的安全分析工具提供了这样一个机会,获取您业务的匿名安全指标并将其与同行业中的其他企业进行比较。从某种意义上说,这是一种“比较指标的指标”——这是利用董事会成员的竞争本能,使其对发展企业网络安全能力产生兴趣的有效方法之一。

留神“厂商预制报告”

许多专业而热心的网络安全厂商会替安全主管们撰写面向业务领导者的报告。但这些报告通常过于细化或技术性太强。毫无悬念,这些报告不会有人关注,网络安全团队也错失了在董事会成员面前展示自身价值的绝佳机会。

前一篇《数据出境安全评估办法》9月1日实施 企业如何保障出境合规?
后一篇NSA和CISA发布软件供应链开发安全指南