寻求管理网络安全投资的首席信息官(CIO)必须使用由结果驱动的指标。Gartner 定义了 16 个保护级别的成果,为与董事会、首席信息安全官(CISO)和首席财务官(CFO)的有效合作奠定了基础。
这些指标可以作为管理企业主导的网络安全投资的价值杠杆。其目标是达到一个预期的网络安全准备水平,与组织的支付意愿相一致。
在所有情况下,组织应默认在组织认为属于最高风险等级的资产、警报、漏洞和事件的背景下衡量这些结果驱动的指标。
01
事件控制:平均遏制时间 (以分钟计)
对于严重和高风险安全事件,从警报被分配(分流开始)到该问题的初步遏制反应(缓解),你的平均时间是多少(以分钟计)?
上述问题反映的就是平均遏制时间(MTTC),它通常是一个SOC指标。遏制是指从事件确定为优先补救(分类)到避免造成进一步损害或风险的时间。遏制事件的速度是防止安全事件破坏业务成果的保护级别,也是事件响应投资的价值衡量。如果您所在的组织将SOC外包出去,那么组织的供应商将拥有这些信息。
遏制的范围内事件,是指为避免对组织运作、组织资产或个人造成严重或灾难性的不利影响而必须处理的所有类别的事件或状况。但这不包括:记录了假阳性的事件;被自动修复和关闭的事件。
当分类警报时,计时器将启动,这意味着它被确定为处于补救的优先级类中。当事件被控制时,计时器将停止,这意味着安全部门已采取必要措施防止进一步损坏,并将其移交给内部非安全操作团队,使系统恢复正常运行。
MTTC的计算:
MTTC =在最近的12个月期间,每个范围内的事件,从警报被分流(或分配)到对该警报执行初始响应之间的平均时间差。
02
事件补救:平均补救时间(以小时计)
对于严重和高风险安全事件,事件发现(票据生成)到事件关闭(票据关闭)之间的平均时间(以小时为单位)是多少?
上述问题反映的是平均补救时间(MTTR),它通常是一个SOC指标。补救是指从打开事件记录单开始补救活动到关闭记录单的时间,这意味着所有系统都已恢复正常运行。你修复事件的速度是防止安全事件损害你的业务成果的保护级别,也是事件响应投资的价值衡量。如果您所在的组织将SOC外包出去,那么组织的提供商将拥有这些信息。
补救的范围内事件是指为避免对组织运作、组织资产或个人造成严重或灾难性的不利影响而必须处理的所有类别的事件或状况。但这不包括:记录了假阳性的事件;被自动修复和关闭的事件。另外要注意的是,导致涉及取证的违规响应事件,并可能延迟数天、数周或数月。
当事件被记录时,计时器开始,这意味着打开了一张票据以开始补救行动。当事件被关闭时,计时器就会停止,这意味着所有的系统都已恢复了正常运行。
MTTR的计算:
MTTR =在最近的12个月期间,所有范围内的事件,从事件票据生成和票据关闭之间的平均时间(以小时为单位)。
03
操作系统程序补丁(标准):系统暴露的平均天数
在标准补丁流程中应用关键操作系统补丁的平均时间(每天)是多少?
这衡量的是标准的操作系统补丁,不需要特殊处理。你部署补丁的速度是一个保护级别,可以减少漏洞可被利用的时间,也是你在威胁和漏洞管理方面投资的价值衡量标准。
修补程序和系统的范围内补丁都是用来解决支持业务成果的系统上的严重和高风险漏洞的操作系统补丁。
其中,补丁部署时间是指:在100%的关键和高风险资产上,从范围内的补丁可用性到补丁部署(包括测试)的天数。组织可以用所有范围内资产的90%来代替;
标准补丁流程是指:对操作系统补丁进行优先排序、测试和部署,不需要特殊处理或处理。
系统暴露的平均天数的计算:
操作系统补丁时间=在最近的12个月期间,所有范围内补丁的平均部署时间(见上面的定义)。
04
第三方网络安全风险参与度
在已知的严重和高风险的第三方中,有多大比例的网络安全评估结果不佳(不符合要求)的第三方已被组织聘用?
该指标反映了组织的高管们接受已知风险的决定,并与在组织的网络安全风险评估中得分较低的供应商和合作伙伴合作。这将包括任何表明第三方是不良风险的迹象或避免参与的建议。
这些数据是与您的组织有工作关系的供应商和合作伙伴的交叉(通常在采购中发现)和网络安全评估记录。第三方网络安全风险参与是对产生网络安全风险的商业决策的保护级别,也是对你在整个第三方风险管理方面投资的价值衡量。
第三方包括:
• 已知的第三方已经完成了正常的采购流程。
• 未知的第三方(那些有业务关系但没有进行采购的第三方)被排除在外。
• 未评估的第三方或评估过期或过期的第三方也被排除在外,并以一个单独的基准指标进行衡量。就本基准而言,各组织应将超过三年的评估视为过期。
其中,“不良安全评估结果”被定义为最近的安全评估,表明第三方是不良风险或避免参与的建议。这是每个组织根据自己的评分和风险承受能力做出的决定。
“参与”则是指第三方与组织有工作关系,并存在严重和高风险。这意味着违反保密性、完整性或可用性将对组织运营、组织资产、监管行动、组织声誉或其他重大业务成果或影响产生严重或灾难性的不利影响。
第三方网络安全风险参与度的计算:
第三方风险参与=在最近的12个月期间内,已知的安全评估结果较差的关键和高风险第三方的总数除以范围内第三方的总数。
05
未经评估的第三方:第三方网络安全风险能见度差
已知的严重和高风险第三方目前没有网络安全风险评估?
该指标反映了对目前没有网络安全评估的供应商和合作伙伴的第三方风险的能见度较差。通用和所需的评估水平由组织决定。未评估的第三方指标是对网络安全风险可见性的保护级别,也是对您在第三方风险管理方面投资的价值衡量。
范围内的修补程序和系统,是指在此范围内的第三方是已知的,并且已经完成了正常的采购流程。
被排除的第三方(未经评估的第三方)包括:
• 未知的第三方(那些有业务关系但没有进行采购的第三方)被排除在外。
• 未评估的第三方或评估过期或过期的第三方。就本基准而言,组织应考虑超过三年以上的评估,除非组织规定的时间少于三年。
其中,“通用和所需的评估水平”由每个组织的政策来定义。“参与”指:第三方与组织有工作关系,并存在严重和高风险。这意味着违反保密性、完整性或可用性将对组织运营、组织资产、监管行动、组织声誉或其他重大业务结果或影响产生严重或灾难性的不利影响。
未经评估的第三方的计算:
未经评估的第三方=在最近的12个月期间里,没有进行网络安全风险评估的已知关键和高风险第三方的总数除以范围内第三方的总数。
未完待续......
本文来源:网络安全16项指标