信息安全团队的KPI该如何制定?

admin 2023年2月27日23:08:19评论103 views字数 3755阅读12分31秒阅读模式

信息安全团队的KPI该如何制定?


在安在推出的超级CSO研修班中,有一个方面的课程格外受到学员们的关注,那就是量化与报告。对于不少甲方CSO来说,技术性的问题往往难不倒他们,但对于如何量化安全计划,如何将安全成果向上级汇报等问题却让他们十分困扰。


诚然,安全工作的量化非常困难,企业安全防护不是简单的敌来将挡,还要实现安全运营和安全管理,同时还要对业务的安全性进行衡量和把关,这导致很多安全工作如草蛇灰线,只有当威胁到来的时候才会发现价值。但是,即便如此,每一位网络安全从业者都应该尽可能的掌握量化安全工作和向上级汇报的能力。


大多数安全从业者都是技术出身,对各种安全技术侃侃而谈,但对于如何分析和报告网络安全工作却有些手足无措。成熟的网络安全风险计划的核心支柱是量化、分析和报告网络安全威胁和性能的能力。但对于大多数安全从业者而言,量化网络安全工作并不容易,一方面,商业领袖和组织高层难以理解信息风险(因为他们通常来自非网络背景),另一方面,安全从业者容易陷入过多的技术细节,最终导致利益相关者对安全的认识产生困惑。


在理想的情况下,安全从业者必须以高级管理人员能够理解的、发现切实有用的以及满足其好奇心的方式来量化和报告网络安全,并得出可操作的结果


信息安全团队的KPI该如何制定?



01
网络安全可以量化什么?



大多数的企业利益相关者通常对网络安全的风险、合规性及保障有疑问。然而,这些问题通常无法用单一的数据点来回答。幸运的是,为了解决利益相关者的问题和担忧,安全从业者可以从多个角度来衡量相关工作。

这些角度大致分类为:

控制性:为应对威胁和降低信息风险而采取的措施

资产:组织拥有的任何有价值的物品(包括数据、系统等)

脆弱性:系统中可被威胁利用的风险点

威胁事件:由能够对资产造成损害的威胁发起的行动

安全事件:在中断、停机、系统关闭、数据泄露、网络钓鱼、勒索软件等方面成功影响业务的事件。

以上类别可以根据数量、时间或成本进一步细分。例如,数字可以量化未修补服务器的总数和百分比,未修补服务器与所需基线和容量的比率,或可修补服务器的数量。时间可以量化识别事件所花费的时间,或特定威胁随时间的变化频率。成本可以帮助量化事故在财务方面的影响、恢复成本以及因停机而损失的业务成本。


信息安全团队的KPI该如何制定?


02
为什么关注KPI而不是其他低级指标?



安全从业者在向业务团队报告时必须选择最相关的指标。大多数安全团队专注于提供与资产、漏洞和威胁事件相关的低级指标,而执行团队往往关心关键绩效指标(KPI)和关键风险指标(KRI),因为它们可以帮助回答信息安全风险、状态以及与业务优先级相关的特定问题。例如:我们安全吗?安全投资是否为企业带来价值?我们是否从安全角度履行了监管义务?我们对勒索软件攻击或供应链攻击有何准备?

一般来说,网络安全KPI主要围绕着安全事件、安全事件所带来的经济损失、解决安全事件所需时间等等。下述描述的KPI可有助于CSO及安全从业者了解并制定相关KPI:

1.报告事件的增加(或减少)

跟踪报告的黑客事件往往是是网络安全工作的关键,特别是当安全团队需要资源来建立网络安全计划时,安全事件的增减可能是最主要的KPI

通常,安全从业者需要使用 Glances 等第三方工具来监控组织服务器中是否存在影响业务的可疑活动,而合作的安全公司也会帮助检测和监控组织内部的系统和应用程序,并查看事件是如何增加或减少的。

2. 大型安全事件数量

收集了有关安全事件增加或减少的数据之后,就该关注可能对组织业务产生巨大财务影响的事件了。往往一些大型的安全事件会导致组织损失巨大,但经济损失并不是关键,大型安全事件的黑客会带着组织一起拖入灾难性的安全事故。

3.小型安全事件数量

小型安全事件可能不会对企业产生影响,但安全从业者仍需要监控和追踪他们。小事件或许对业务的影响有限,但依然证明了当前组织内部安全存在缺陷,从业者需要对这些小事件加以警惕,并提高内部防护等级。同时,小事件可能不会轻易被系统检测出来,这就需要安全团队的勤奋和警惕,以防止小事件转变为大型事件。

4. 每次事件的成本

安全事件的成本包括解决安全事件所花费的成本和其造成业务受损的成本之和。据统计,评价每个安全事件的平均成本为 221 美元。安全从业者需要评估组织内部发生安全事件时所耗费的平均成本,并和其他部门及上级领导积极交流,以调整安全计划和部署。

5. 解决事件的时间

对于业务而言,时间就是金钱,因此,时间也应该成为网络安全 KPI 的一部分。记录解决网络攻击事件所花费的时间,从第一次发现到最后的总结会议或报告。值得注意的是,解决黑客攻击所花费的时间可能会造成其他生产力的下降,有时,安全团队或许不需要额外人员来处理黑客攻击,但有可能会落后其他的工作和任务。

以上是KPI和KRI帮助回答的问题类型,但这并不是全部,安全从业者需要专注于KPI和KRIs,以量化其安全绩效考核以及安全系统的有效性。


信息安全团队的KPI该如何制定?


03
安全团队如何量化网络安全?



构建正确的度量框架是一个渐进、迭代的过程。而构建网络安全量化周期主要分为五个步骤。

首先要定义要求,安全团队要与利益相关者进行双向对话,以便定义和理解他们的需求。起初,利益相关者可能不会对信息风险或信息安全需求有很好的理解,所以需要自下而上的向上级汇报信息安全相关工作及内容。安全从业者要衡量自认为重要的内容并向上报告,通过这种对话交流的方式提出自己的观点和问题,帮助上级能够认知安全并制定相关指标。

其次要选择关键指标,一旦安全团队确定了利益相关者的要求,应极快确定和选择有助于支持这些要求的关键指标。这个过程需要与所有利益相关者进行沟通,并主要指标和衡量标准告知他们。这些关键指标的作用是使利益相关者能够做出决定,因此,这些指标应处于较高水平,且数量较少。关键指标的目标是帮助决策,而不是堆砌数据混淆视听。

第三是确定指标,在确定了高级别目标和指标之后,安全团队必须专注于确定有助于报告上述指标的低级别指标。这些低级别指标质可能会涉及数十种,包括上文概述的那些类别。

第四是收集和分析指标,以计算关键指标。在商定了需求,选择了关键指标并确定了度量标准之后,安全从业者现在可以开始根据这些关键指标收集和分析数据。度量标准只能使用准确、及时、相关和可靠的数据得出。否则,可能会导致企业做出错误的决定,并对组织的安全态势造成严重后果。安全团队可以主动寻求持续收集这些数据的方法(大多数数据都需要查看一段时间内的趋势),并最好使过程尽可能自动化(手动过程可能会很累且耗时)。

最后是向利益相关者报告关键指标。关键指标必须及时向决策者报告,从业者和利益相关者应该就一个节奏达成一致:报告需要多久进行一次?报告风格也必须达成一致,因为不同的方法适合不同的利益相关者;PPT是否可以完成?关键指标是否清晰可见,易于理解。最终,报告应该促成决策或行动。

与此同时,在每个报告周期之后,安全从业者需要审查关键指标并与利益相关者一起重新验证。安全团队和利益相关者必须要清楚报告的指标是否仍然有价值,或者是否需要改变?如果业务需求确实发生了变化,那么安全从业者必须重新定义需求并分析不同的指标和度量。


信息安全团队的KPI该如何制定?


04
专家观点


乐信集团信息安全中心总监刘志诚表示,在数据安全和个人隐私保护中有个环节叫做PIA(个人信息影响分析),安全团队在分析公司战略目标和业务目标时可以借鉴,简称为CIA(网络空间安全影响分析)。主要目的是了解公司整体的战略目标和业务分布的轻重缓急,根据业务分析业务运作模式在数字化技术体系下的框架和结构,分析可能面对的威胁、存在的脆弱性,根据业务的规模、投入产出,估算风险的可能性以及最佳的成本配置,找到平衡的目标框架。

这个环节相对于风险评估而言,关注的不是定量的技术漏洞相关的分析,而是从定性的角度,估算整体的影响以及网络空间安全的定位和投入量级。这个环节中尤为重要的是跳出技术基础设施保障的传统思维,寻找到业务场景中安全助力业务发展的独特优势,找到亮点,与业务形成共鸣,也是业务安全的关键目标,真正是围绕着业务目标实现网络空间安全。

某信息安全专家表示,以前搞绩效,评定标准跟主管的喜好相关,没有实际落于文本的考量标准。后面部门开始推kpi,间接增加了一些工作量和管理成本,但是从要求部门的兄弟们制定kpi开始,每个人从了解部门的object开始,都提升了很多。其中,日会的重要性不言而喻,人天生就是惰性生物,通过日会的方式可以促进部门成员的交流,以季度答辩的方式来验收成员的工作成果。

PPT报告可以围绕领导或者BOSS的喜好来设定,制定个主题,确保领导能够理解PPT的内容最好先把自己当成领导,思考一下。如果自己作为领导,如何总结才能受到认同。找领导关心重视的点进行描述,总结之前的成果,指出现有的不足,计划后面的改变。


05
尾声


网络威胁环境总是在演变,安全也必须同步发展。组织、利益相关者和安全从业者不应该害怕倒退或前进。制定合理的KPI可以有效帮助组织快速失败、继续前进、即兴发挥或重新调整,对于衡量网络安全工作也至关重要。




参考文献:

●Measuring cybersecurity: The what, why, and how-Steve Durbin


● 了解八个网络安全KPI


信息安全团队的KPI该如何制定?
END


信息安全团队的KPI该如何制定?


信息安全团队的KPI该如何制定?


信息安全团队的KPI该如何制定?


信息安全团队的KPI该如何制定?
信息安全团队的KPI该如何制定?




信息安全团队的KPI该如何制定?

点【在看】的人最好看


信息安全团队的KPI该如何制定?

原文始发于微信公众号(安在):信息安全团队的KPI该如何制定?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月27日23:08:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全团队的KPI该如何制定?https://cn-sec.com/archives/1578769.html

发表评论

匿名网友 填写信息