12 ключевых показателей кибербезопасности и ключевых показателей эффективности для отслеживания предприятиями

Содержание

1. Менеджеры по ИТ-безопасности должны отслеживать усилия по обеспечению кибербезопасности

2. Почему важно отслеживать показатели кибербезопасности

3. Обнаруженные попытки вторжения

4. Количество инцидентов безопасности

5. Уровни серьезности инцидентов

6. Сроки реагирования на инциденты

7. Сроки устранения инцидентов

8. Количество ложноположительных и отрицательных результатов

9. Время отклика на исправление уязвимостей

10. Результаты оценки уязвимостей

11. Приложения для конечных пользователей и уровни доступа к данным

12. Общий объем генерируемых данных

13. Количество аудитов, оценок и тестов на проникновение

14. Показатели безопасности для аналогичных организаций

15. Как управлять процессом отслеживания показателей кибербезопасности

 

Менеджеры по ИТ-безопасности должны отслеживать усилия по обеспечению кибербезопасности и быть уверенными в их эффективности. Эти 12 показателей и KPI помогут показать, что работает, а что нет.

 

Кибербезопасность имеет решающее значение - это знают все. Но оправдать инвестиции в инструменты и ресурсы, необходимые для обеспечения безопасности ИТ-инфраструктуры, не так просто. Вот почему менеджеры по ИТ-безопасности должны находить эффективные способы измерения усилий по кибербезопасности - как для отслеживания их прогресса, так и для демонстрации того, что они в конечном итоге предотвращают утечку данных, атаки программ-вымогателей и другие угрозы безопасности.

 

Кибербезопасность

Тот самый момент, когда вы игнорируете меры кибербезопасности и кто-то из таких парней подвергает ваш компьютер взлому...

 

Отслеживание показателей и KPI кибербезопасности также помогает составить представление о ландшафте угроз, с которыми сталкиваются предприятия. На основе этих показателей общая стратегия компании в области кибербезопасности может быть изменена по мере необходимости для блокирования текущих угроз и снижения долгосрочных киберрисков. Давайте рассмотрим некоторые из основных операционных показателей и KPI, которые необходимо отслеживать, и почему это является неотъемлемой частью процесса обеспечения кибербезопасности.

 

Почему важно отслеживать показатели кибербезопасности

Понимание подверженности бизнеса рискам безопасности является основной причиной для постоянного отслеживания показателей кибербезопасности. Это позволяет получить хронологический обзор произошедших событий безопасности и мест, где они произошли в ИТ-сетях и системах, а также актуальную информацию о том, насколько эффективно функционируют инструменты, процессы и команды обеспечения безопасности.

 

КибербезопасностьКогда вы отслеживаете все показатели своей кибербезопасности как профессионал...

 

Мониторинг показателей также позволяет группам безопасности лучше понимать, где субъекты угрозы в данный момент пытаются получить доступ к ИТ-инфраструктуре. Эти знания помогают командам определять приоритеты действий против текущих атак и внедрять набор инструментов и процессов, которые могут остановить неминуемые киберугрозы до того, как они повлияют на организацию.

Наконец, показатели и KPI - отличные инструменты для постановки будущих целей и планирования повышения эффективности безопасности. Например, менеджеры по безопасности могут использовать ежедневные или еженедельные отчеты, содержащие различные показатели, чтобы помочь своим командам быть более подготовленными к кибератакам - или, при необходимости, уделять больше внимания угрозам и уязвимым частям инфраструктуры.

 

КибербезопасностьТо самое чувство, когда вы понимаете, что у вас под контролем все 12 показателей кибербезопасности...

 

Имея это в виду, вот 12 показателей кибербезопасности, которые компаниям следует отслеживать.

1. Обнаруженные попытки вторжения

На первый взгляд, обнаруженные попытки вторжений могут показаться не самой важной статистикой ИТ-безопасности. Однако она дает общую картину общего количества угроз, с которыми сталкивается компания. Одна из проблем ИТ-безопасности заключается в том, что, когда механизмы предотвращения угроз работают и происходит мало инцидентов, бизнес-лидеры склонны считать, что организация больше не является мишенью. Обмен данными, подтверждающими обратное, является хорошим способом продемонстрировать, что угрозы кибербезопасности продолжают существовать и, в большинстве случаев, постоянно растут.

2. Количество инцидентов безопасности

Ключевым аспектом управления ИТ-безопасностью является отслеживание того, приводят ли изменения в инструментах и процессах к улучшениям. Значительная часть ИТ-бюджета часто тратится на кибербезопасность, поэтому отслеживаемые показатели должны указывать на разумное использование денег. Сбор данных о количестве и частоте инцидентов безопасности за определенные периоды может помочь руководителям CISOs и другим лидерам в области кибербезопасности убедиться, что введенные в действие средства защиты оказывают положительное влияние на защиту цифровых активов организации.

3. Уровни серьезности инцидентов

Понимание уровня серьезности кибератаки или кражи данных поможет расставить приоритеты в действиях, гарантирующих, что инциденты, наносящие ущерб бизнесу, не повторятся. Этот показатель также можно использовать с течением времени, чтобы увидеть, снижают ли новые инструменты безопасности или обновленные процессы количество инцидентов высокой степени тяжести.

4. Сроки реагирования на инциденты

Скорость критически важна, когда дело доходит до выявления и устранения киберугроз. Отслеживание сроков реагирования на инциденты позволяет менеджерам по безопасности видеть, насколько эффективно их команды реагируют на предупреждения и приступают к работе над угрозами. Располагая этой информацией, менеджеры могут сосредоточиться на сокращении времени реагирования, если оно недостаточно быстрое. В дополнение к мониторингу ответов на отдельные угрозы, среднее время реагирования (MTTR) обычно рассчитывается как среднее значение. Среднее время обнаружения, или MTTD, является соответствующим средним показателем для выявления атак и других угроз.

5. Сроки устранения инцидентов

Быстрое реагирование на инцидент кибербезопасности - это только половина дела. Другая половина связана со скоростью, с которой вредоносное ПО или другая идентифицированная угроза могут быть изолированы, помещены в карантин и полностью удалены с ИТ-оборудования. Некоторые специалисты в области безопасности в качестве альтернативы используют MTTR в этом контексте как среднее время для исправления. Если сроки исправления сокращаются, это явный признак того, что в программу безопасности необходимо внести изменения.

6. Количество ложноположительных и отрицательных результатов

В сфере кибербезопасности используются различные инструменты, которые автоматизируют идентификацию вредоносного ПО или подозрительного поведения и предупреждают службы безопасности об угрозах. Однако эти инструменты требуют тонкой настройки и регулярного обслуживания, чтобы они не позволяли ошибочно отмечать аномалии, которые могут выглядеть как угроза, но на самом деле неопасны, или пропускать реальные инциденты безопасности. Отслеживание ложноположительных и отрицательных результатов помогает командам определить, были ли инструменты правильно настроены.

7. Время отклика на исправление уязвимостей

Хорошо известно, что одним из лучших способов защиты критически важного для бизнеса программного обеспечения является внесение исправлений в операционные системы и приложения, как только у поставщиков появляются исправления ошибок. Отслеживание того, как быстро команды по кибербезопасности устанавливают исправления программного обеспечения, показывает эффективность этой важнейшей практики предотвращения рисков.

8. Результаты оценки уязвимостей

Инструменты сканирования уязвимостей проводят тесты в ИТ-системах и пользовательских устройствах, чтобы проверить, исправлены ли известные уязвимости, и выявить другие потенциальные проблемы безопасности. Результаты оценки, полученные в результате сканирования, включают списки новых и все еще открытых уязвимостей, рейтинги рисков, коэффициенты прохождения уязвимостей и другие данные. Эта информация может быть использована вместе с показателем времени отклика на исправления, чтобы определить, следует ли выделять больше ресурсов для обеспечения соответствия усилий по управлению уязвимостями целям.

 

 

9. Приложения для конечных пользователей и уровни доступа к данным

Бизнес-лидеры могут предположить, что угрозы кибербезопасности в основном исходят извне организации. Однако в некоторых компаниях показатели кибербезопасности внутренних пользователей показывают, что внутренние угрозы являются гораздо более серьезной проблемой. Сбор и анализ информации о привилегиях доступа и доступе сотрудников к приложениям и данным может выявить проблемы внутренней безопасности, а также необходимые изменения в контроле доступа пользователей.

10. Общий объем генерируемых данных

Хотя отслеживание объема данных, генерируемых и отправляемых через корпоративную сеть, не является строго показателем безопасности, оно может иметь большое значение для выявления потенциальных угроз и определения того, насколько хорошо будут масштабироваться инструменты и процессы безопасности. Изменения объемов трафика, будь то постепенные или резкие, могут указывать на вторжения вредоносных программ или другие типы кибератак. Этот показатель также может помочь обосновать необходимость новых или усовершенствованных мер безопасности. Это поможет осознать - и правильно - идею о том, что по мере увеличения использования сети должно увеличиваться и количество денег, выделяемых на защиту сети и ИТ-систем.

11. Количество аудитов, оценок и тестов на проникновение

"Ведение домашнего хозяйства" в области кибербезопасности включает в себя серию аудитов, оценок, тестов на проникновение и других проверок, проводимых для обеспечения того, чтобы процессы и инструменты безопасности работали должным образом. Однако довольно часто команды ИТ-безопасности настолько перегружены повседневными задачами, что эти важные процедуры откладываются или забываются. Отслеживание их частоты обеспечивает наглядное представление об этом аспекте кибербезопасности, чтобы менеджеры по безопасности могли убедиться, что он не уходит на второй план.

12. Показатели безопасности для аналогичных организаций

Несколько облачных инструментов аналитики безопасности предоставляют возможность сравнивать анонимизированные показатели кибербезопасности с показателями других организаций в той же отрасли. В некотором смысле это "показатель сравнения показателей". Такой бенчмаркинг помогает определить, находится ли команда ИТ-безопасности на верном пути или нуждается в перезагрузке по сравнению с аналогичными подразделениями отрасли.

 

Как управлять процессом отслеживания показателей кибербезопасности

Ознакомление с важнейшими показателями и KPI кибербезопасности мало что даст организации, если команды безопасности не понимают, как их использовать для достижения стратегических целей. Именно здесь вступают в игру эффективные методы управления. Для достижения желаемых результатов в области кибербезопасности с использованием соответствующих данных в режиме реального времени и исторических данных, применяйте следующие передовые методы: