网络安全实效性衡量指南 如何作出准确评测
发布时间:2022-05-20 08:58:32 所属栏目:安全 来源:互联网
导读:你会衡量你的网络安全工作的价值和有效性吗?事实上,目前世界上大多数公司都没有做到这一点。甚至当新的信息安全功能生成和企业安全数据交付时,都没有统一的标准来读
|
你会衡量你的网络安全工作的价值和有效性吗?事实上,目前世界上大多数公司都没有做到这一点。甚至当新的信息安全功能生成和企业安全数据交付时,都没有统一的标准来读取。如果不建立适当的网络安全度量标准,这的确无法定义。 ISF信息安全论坛是一个专门讨论网络安全问题的非营利性组织,这个组织的总经理Steve Durbin认为,企业效益和网络安全之间缺乏一种衡量机制。两者之间应该建立起一种共同语言,我们应该从企业盈利的角度来看待网络安全问题。 如何衡量网络安全工作的有效性? Cybera Thycotic是特权帐户管理(PAM)和端点的权限管理解决方案的供应商,它调查了超过400个全球业务和安全主管,从而创造SMI基准调查。研究发现,在针对这些企业的网络安全工作有效性评估中,有58%的受访企业得分不及格。 调查还发现,虽然全球公司每年在网络安全防御上花费超过1000亿美元,但32%的公司做出商业决策时,盲目购买网络安全技术。超过80%的企业在网络安全购买决策时没有对业务用户构成影响。他们也没有设立一个指导委员会来评估与网络安全投资相关的业务影响和风险。 制定KPI和KRI的四个步骤 为实现安全部门与业务部门挂钩,ISF提出了四个步骤的实用方法来制定有效的KPI和KRI。Durbin说,这种方法将有助于信息安全功能主动响应业务需求。他说,关键是要和正确的人进行正确的对话。ISF的方法设计适用于组织的各个层面,这四个步骤包括: ·通过了解企业环境建立关联,确定共同的利益发展KPI和KRI ·从生产/效益的角度出发,校准和解释KPI/KRI。 ·参与讨论有关共同利益的建议,并就下一步的规则制定作出决定,从而带来积极效果。 ·通过开发学习和改进计划来学习和改进 依据ISF提出的这四个步骤,建立网络安全与生产效益之间的联系,从而使安全功能更好地响应业务需求。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐