Как держать все процессы под контролем: метрики в информационной безопасности

Метрики — это незаменимый инструмент в информационной безопасности. Они помогают компаниям реально оценить, насколько эффективно работают их системы защиты, и на каком уровне они находятся. Когда технологии становятся частью любой компании, метрики не просто помогают держать всё под контролем, но и показывают слабые места, помогают следить за зрелостью систем и вовремя реагировать на любые проблемы.

Каждая компания хочет быть уверенной, что её система безопасности надежна и эффективна. Но как убедиться, что вы движетесь в правильном направлении? Метрики тут — как компас: они помогают ориентироваться в сложных процессах и делать правильные шаги.

Почему метрики так важны?

Специалист по информационной безопасности каждый день работает с огромным количеством данных и процессов. Ему нужно следить за множеством направлений, оценивать результаты и управлять процессами. И вот тут на помощь приходят метрики: они упрощают анализ и помогают навести порядок в информации.

Сначала может показаться, что цифры и статистика никак не влияют на ежедневные задачи службы безопасности. Но это не так. Именно благодаря метрикам можно разложить все процессы на конкретные измеримые показатели и получить объективную картину состояния безопасности в компании.

Какие бывают метрики?

Существует множество различных фреймворков в информационной безопасности, таких как CIS Critical Security Controls v8 или 21 приказ ФСТЭК по персональным данным. Они помогают структурировать работу службы ИБ по разным направлениям. Например инвентаризация и контроль устройств, Защита данных, Управление учетными записями, Повышение осведомленности, Защита сети

Каждое из этих направлений включает свои процессы и данные. Например, защита данных требует учёта используемых ресурсов, управления резервным копированием и работы с DLP-системами. В области повышения осведомленности нужно проводить тренинги, фишинговые рассылки и обрабатывать сообщения об инцидентах. Когда мы преобразуем эти процессы в метрики, то можем получить конкретные числовые показатели эффективности.

Например, чтобы управлять уязвимостями, необходимо знать процент охваченной инфраструктуры, количество найденных уязвимостей, среднее время их устранения. Можно упростить управление поставщиками услуг — вывести в метрики процент контрагентов с подписанными NDA.

Как правильно понимать метрики?

Метрика должна четко показывать, как обстоит ситуация с конкретным процессом. Например, если метрика показывает процент учетных записей, которые не использовались более трех месяцев, то до 95% — все отлично, до 80% — удовлетворительно, ниже 80% говорит о поломке.

Но иногда метрика не даёт точного ответа сразу. Она может служить ориентиром для дальнейшего анализа, и ее ценность проявляется со временем, когда можно отследить динамику. Метрики помогают понять, как меняются процессы в компании, и выявить области, требующие улучшений.

Как управлять метриками?

Когда вы определили важные метрики и выбрали процессы для их сбора, нужно решить, как эти метрики систематизировать и рассчитывать. Вот несколько подходов:

1. Excel. Куда без него? Это классический способ, который подходит на начальном этапе, когда данных еще не так много. Но по мере роста компании работа с Excel может стать трудоемкой и утомительной.
2. В некоторых случаях можно собирать метрики с систем защиты информации. Этот подход более автоматизированный. Метрики собираются прямо из систем, таких как антивирусы и межсетевые экраны. Данные поступают автоматически, и это позволяет оперативно получать актуальную информацию. Однако у каждого средства защиты есть ограничения, и иногда приходится возвращаться к ручной работе.
3. BI-системы объединяют данные из разных источников и визуализируют их в виде дашбордов. Это упрощает работу с метриками, но BI-системы не всегда могут полноценно участвовать в операционных процессах. Они дают отличную визуализацию, но не могут автоматически реагировать на изменения.
4. Существуют специальные платформы управления информационной безопасностью, которые позволяют централизованно собирать данные и интегрировать их в общие процессы ИБ. Они могут автоматически собирать данные как из технической инфраструктуры, так и от сотрудников через опросы и заявки.

Как собирать данные для метрик?

Данные можно собирать из двух основных источников — из технической инфраструктуры, когда данные передаются через API или интеграции с системами защиты, или же собирать данные от сотрудников через опросы и заявки. Это особенно важно для процессов, связанных с управлением инцидентами или обучением.

На основе собранных данных создаются телеметрии — показатели, которые отражают состояние процесса. Например, количество рабочих станций с активным антивирусом или количество документов, которые нужно обновить. Эти телеметрии превращаются в метрики, которые служат основой для анализа и принятия решений.

Как метрики использовать для повышения уровня безопасности?

Метрики могут не только показывать состояние дел, но и активно участвовать в управлении безопасностью.

Каждый руководитель видит только те метрики, которые касаются его области ответственности, и может быстро реагировать на изменения, создавая дашборды для визуализации данных. Чем нагляднее проблема, тем легче ее исправить.

Если метрика достигает критического значения, можно настроить автоматическое создание задач для сотрудников или отделов. Например, если актуальность данных падает ниже 80%, система автоматически создаст задачу по их актуализации.

Многие стандарты можно связать с техническими и организационными метриками. Это позволяет автоматически оценивать соответствие требованиям регуляторов при изменении метрик.

Ключевые индикаторы рисков могут изменяться под влиянием разных факторов. Метрики помогают отслеживать эти изменения и управлять рисками более эффективно.

Заключение

Метрики играют ключевую роль в оценке и управлении процессами в информационной безопасности. Они помогают не только понять текущее состояние систем, но и выявить слабые места и точки роста. Внедрение метрик и автоматизация работы с ними позволяют оперативно реагировать на изменения, снижать риски и улучшать общую безопасность.

Начните с метрик, которые напрямую связаны с ключевыми рисками и приоритетами вашей компании. Со временем расширяйте их список. Внедрение автоматизации требует времени и ресурсов, но современные системы управления процессами информационной безопасности, упрощают этот процесс. Метрики не заменяют человеческий контроль, но значительно облегчают его, позволяя быстрее выявлять проблемы и реагировать на них.