此前,发布了《CIO必须知道的16项结果驱动指标(上)》、《CIO必须知道的16项结果驱动指标(中)》,这周继续更新完结篇——《CIO必须知道的16项结果驱动指标(下)》:
12 访问权限移除时间:在(雇员)提出离职请求后,取消关键访问的时间
从终止对敏感或高风险系统或信息的访问请求到取消所有访问的平均小时数是多少?
取消设置访问所需的时间越长,未经授权的个人访问他们不再有权访问的数据的时间就越长。终止和撤消保护在不同的组织中差异很大,所以它是基于组织对终止访问的定义,这将被视为一种威胁。访问删除时间是解决未经授权的系统和数据访问的保护级别,也是你在访问控制方面投资的价值衡量标准。
范围内访问更改请求是指需要删除对敏感或高风险系统或信息的访问的任何更改。
“所有访问”:这包括提供敏感数据和资源访问的目录、应用程序和所有身份验证通道。
“访问终止时间”:从收到原始请求终止员工访问到取消所有访问的时间。
访问删除时间的计算:
访问删除时间=最近12个月期间,所有域内访问变更请求的所有访问终止时间除以域内访问终止请求的总数。
13 特权访问管理:控制“永远在线”的个人特权账户
你的个人特权账户与应该使用这些账户的人的比例是多少?
特权访问最好是实时的,也就是说,授权用户将在短时间内获得特权访问,然后失去它(直到他们再次需要它)。然而,一些例外情况将需要被批准,这个数字应尽可能保持在低水平。始终在线的账户与可能使用这些账户的个人的比例是对未经授权访问敏感、强大账户的保护水平,也是你在特权访问管理方面投资的价值衡量标准。
在业务范围内的个人和账户,即:范围内的个人是需要访问特权帐户的系统管理员;范围内的帐户由范围内的个人拥有,并具有特权访问权限。
“特权帐户”具有特权访问,可能对生产系统或其他业务结果产生负面影响,包括访问敏感信息。
特权访问管理的计算:
特权访问管理=在最近的12个月期间中,特权帐户的数量除以范围内的个人数量。注:如果特权账户数量超过个人数量,则此比率可能大于1。
14 安全意识培训:员工安全培训覆盖率
你的员工和承包商中有多少比例已经完成了强制性的安全培训?
经过培训的员工更有可能在他们的角色中理解并执行正确的安全行为。受过培训的员工是人们理解安全行为的保护措施,也是你对人们以安全方式行事的投资的价值衡量。
范围内的个人由每个组织定义,通常包括员工、承包商和其他能够访问关键和高风险系统的人。
安全意识培训覆盖范围的计算:
安全意识培训覆盖范围=在最近的12个月期间内,完成强制性安全培训的范围内个人总数除以范围内个人总数。
15 网络钓鱼培训的点击率:识别和避免网络钓鱼邮件
在过去的12个月里,你的标准组织范围内的网络钓鱼活动的点击率是多少?
衡量点击率并不是一个完美的措施。然而,它是非常普遍的,而且它已经与你的董事会和高管进行了社交。网络钓鱼培训的点击率是防止员工点击危险链接的保护级别,也是对你在网络钓鱼培训中的投资的价值衡量。
范围内的个人是受钓鱼活动的员工或其他需要的个人。
“标准活动”由每个组织定义。它既不是最强、最具侵略性的战役,也不是最弱、最不具侵略性的战役。
“点击”定义为点击钓鱼邮件中的链接。如果一个人在过去12个月里通过标准的钓鱼活动点击了任何钓鱼培训链接,就被视为点击。任何点击一个真正的网络钓鱼电子邮件也应该被视作这个指标的一部分。
钓鱼训练的计算:
钓鱼训练=在最近的12个月里,在标准钓鱼活动(或真正的钓鱼邮件)中点击钓鱼培训链接的员工人数除以范围内的个人总数。
注意:员工点击网络钓鱼链接的次数不会影响此指标。如果员工在过去12个月内点击了钓鱼链接,则该计算分子中仅为1。
16 网络钓鱼报告率:报告疑似网络钓鱼的员工
为您的标准组织范围的钓鱼活动报告可疑邮件的员工百分比是多少?
报告疑似网络钓鱼邮件的员工有助于组织提高防御能力并限制网络钓鱼的损害。关于点击率的网络钓鱼培训是防止员工点击危险链接的保护级别,也是衡量您在网络钓鱼培训方面投资的价值标准。
“标准活动”由每个组织定义。它既不是最强、最具侵略性的战役,也不是最弱、最不具侵略性的战役。
“报告可疑电子邮件”的定义是通过正常渠道报告网络钓鱼企图。如果个人报告过去12个月内试图进行网络钓鱼,则视为该指标的报告。
钓鱼报告率的计算:
钓鱼报告率=最近12个月期间,报告收到可疑电子邮件(培训或真实电子邮件)的个人人数除以员工总数。
注意:员工报告疑似网络钓鱼的次数不会影响此指标。如果员工在过去12个月内报告了钓鱼链接,则该计算分子为1。
本文来源:网络安全16项指标