重要的度量標準：如何衡量企業安全計劃的有效性？

如果你不知道你的安全計劃是否有效，那麼在它上面花費時間、資源和金錢又有什麼意義呢?為安全計劃建立正確的度量標準和擁有這樣的計劃一樣重要!我們經常說「不是所有被度量的東西都很重要，但是重要的東西應該被度量」，這對於安全性和任何其他關鍵業務功能一樣適用。那麼組織應該如何衡量他們安全計劃的有效性呢?對此我們建議根據您組織的安全計劃成熟度採用三階段方法(類似於「爬行/步行/跑步」)。

三個測量階段

第一階段:基本 - 度量能力和成熟度

對於剛開始掌握安全計劃的企業來說，他們可能根本不知道自己有哪些不了解的地方。在這個階段，最合適的起點是基於框架的評估，它能夠驗證控制項，評估和報告等基本功能的存在及其計劃的成熟度。

該評估應針對公司獨特的安全計劃量身定製，側重於特定的業務需求，並以提高安全性對業務成功的影響為明確目標。為此，計劃和能力評估包括:組織威脅配置文件的基線，以及對對業務產生最大影響方案的理解;

驗證所有安全計劃應具備的基本功能，並分析程序如何處理關鍵風險;

衡量安全計劃和個人能力目前的表現;

了解行業同行和一流組織將在哪些方面，為與當前差距和未來支出相關的決策提供信息以及制定計劃，並通過優先轉型路線圖解決關鍵差距並優化現有能力。

該項工作的結果將使組織能夠理解程序的所有元素及其成熟度，並對路線圖進行改進。

第二階段：中級 - 衡量投資回報率

已經開始通過專註轉型投資增強安全計劃的公司，通常希望了解計劃策略是否仍然正確，以及是否獲得了預期的投資回報率。

在此階段，我們希望定義關鍵績效指標，以衡量能力的成熟度及其實現投資回報率的能力。度量標準應與要改進的內容相關。

例如:如果由於缺乏端點可見性而無法檢測到威脅，則度量標準必須與提高端點可見性的計劃相關，並且應顯示端點可見性的持續增加。

如果安全意識較低，則度量標準必須衡量培訓計劃，顯示測試分數的實質性增長。

如果組織的威脅評估確定了更有可能的特定攻擊向量，那麼度量標準應該顯示沿特定攻擊向量路徑的檢測能力的提高。

如果度量標準停滯不前，公司應該確定哪些指標是不起作用的。假設新功能得到了正確實施，造成這種停滯的一般原因包括缺乏足夠的工作人員，以及增加的額外技術或控制的數量成比例;由於新的數字足跡、收購或業務變化導致攻擊面增加;或缺乏流程更新以反映更新的技術控制，因此組織仍然以舊的方式執行或不一致。

第三階段:高級 - 測量準備響應

擁有更成熟安全計劃的企業已經超越了度量能力和投資回報率，並提出了最終的問題:他們是否擁有合適的人員、流程和技術組合，並通過他們的響應意願來進行度量?

發現答案的最佳方法是進行基於對手或場景的測試。這種類型的測試在所有階段都是有益的，但更成熟的組織將從這種類型的投資中看到最大價值，因為結果將突出顯示安全計劃中難以發現的弱點。從網路安全的角度來看，這通常通過以下方式實現：

模擬攻擊:一種技術評估，在這種技術評估中，雙方就某個方案或目標達成一致，公司在受控的環境中使用既定的交戰規則抵禦模擬對手的攻擊。攻擊模擬方的目的是測試公司的檢測和響應能力。

妥協評估或搜索:一種技術評估，評估人員在該公司的網路中搜索環境中是否存在活躍的攻擊者，或者是否可能存在潛在的攻擊向量。此評估的目的是增強公司的檢測能力。

Wargaming:一種模擬測試，用來測試公司組織是否準備好以一種跨企業的協調方式應對網路攻擊。這類模擬的目的是測試攻擊事件期間的響應、通信和升級過程。

這裡最有價值的度量標準，可以量化諸如平均檢測時間、停留時間和組織模擬威脅場景，以對安全操作團隊進行壓力測試的能力。

重要的度量標準應該與組織的業務目標、最相關的威脅以及程序的成熟階段相關。

定義度量標準和評估結果需要在整個企業中採用以結果為中心的方法。此外，構建全面的項目策略、檢測機制和響應能力可以從跨行業的角度受益。這種響應的核心是組織承諾定期溝通和客觀評估網路準備。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！