Специалисты по кибербезопасности, заинтересованные в метриках и мерах, часто размышляют и рассуждают о том, какие меры лучше всего продемонстрировать совету директоров. Это может быть сложным предложением, потому что «мы должны говорить так же, как бизнес» - это тоже устойчивое выражение.
Определение показателей кибербезопасности с точки зрения бизнеса может оказаться сложной задачей. Итак, как можно решить эту проблему и предоставить полезную информацию?
Ну, во-первых, мы должны признать, что уровень совета директоров является высшим стратегическим уровнем в компании. Если вы предоставляете метрики о статусе исправления и результатах фишинговых тестов, вы, по сути, признаете, что ваша программа кибербезопасности построена на нескольких смешениях понятий и молитвах, пишет издание CSO.
Профессионалы в области кибербезопасности часто очерняют «красно-желто-зеленые» индикаторы, но имейте в виду, что правлению не нужны технические детали или вариативность.
Если они могут обойтись показателями «продажи на квадратный фут» в розничных магазинах, продающих смартфоны и шоколадные батончики, или показателями «использования коек» в больницах, которые лечат обезвоживание и проводят операции на головном мозге, они могут работать с масштабами «большой картины» на трех-пяти уровнях.
«Красный-желтый-зеленый» не может быть полностью исключен, если уровни определены и имеют детали, их объясняющие. Более серьезная проблема сейчас заключается в том, что члены совета директоров все чаще несут ответственность за халатность, и они действительно должны и хотят иметь больше информации.
Главные вопросы о кибербезопасности от советов директоров
Теперь мы возвращаемся к тому, с чего начали, - к попыткам предоставить ориентированным на бизнес членам совета директоров технические данные о кибербезопасности на стратегическом уровне. Может быть полезно установить базовый уровень того, что члены совета директоров действительно хотят знать о кибербезопасности в любой компании. Вот их пять основных вопросов:
Мы в безопасности? Этот вопрос является проклятием для многих профессионалов в области кибербезопасности, потому что ответ сейчас и всегда будет «нет» с буквальной точки зрения 100% защиты. Если мы изменим вопрос на «Каков наш уровень воздействия?» мы можем начать продвигаться вперед.
Наш уровень соответствует? На этот вопрос часто легко ответить с помощью результатов аудита, но это может не дать реального утешения из-за точки зрения «на момент времени», которая может измениться в любой момент. Лучше оценить нашу программу кибербезопасности с помощью системы контроля.
Были ли у нас какие-либо (значимые) инциденты? Члены правления будут хорошо осведомлены о любых значительных инцидентах, поэтому на этот вопрос обычно отвечают с подробностями, а также приводят оценки затрат и потенциальной ответственности.
Существует пять вопросов, но обычно сформулированными бывают три приведенных выше. Последние два пункта считаются стандартным элементом хорошего управления совета директоров:
Насколько эффективна наша программа безопасности? Качество прежде всего.
Насколько эффективна наша программа безопасности? А потом количество.
Показатели кибербезопасности для корпоративных советов
При построении программы целью должно быть прямое преобразование самых подробных технических данных в стратегическую структуру, понятную на уровне бизнеса. Нужно учитывать тот факт, что члены совета директоров не глупы и могут научиться всему, что им нужно, что поможет им принимать стратегические решения. Технологии захватывают их жизнь так же, как и нашу, и сейчас, когда весь мир переживает цифровую трансформацию, просто удивительно, как легко они подбирают показатели SaaS по мере необходимости.
Мы будем работать с метриками:
ИТ-активы (количество пользователей, устройств, серверов, приложений и т. д.)
Активность использования (сеансы, потоки, сообщения и т. д.)
Управление процессом (создание/изменение/удаление учетной записи пользователя, обнаружение/исправление уязвимости, обнаружение/реагирование на инцидент и т. д.)
Элементы управления в режиме реального времени (встроенные) (защита от вредоносных программ, брандмауэр, защита электронной почты и т. д.)
Инциденты
Вот хороший базовый набор метрик правления, которые обеспечивают стратегическое понимание программы корпоративной кибербезопасности:
Кибер-риск: процент ненадлежащих действий по использованию по сравнению со всеми действиями.
Эффективность кибербезопасности: процентное снижение киберриска, обеспечиваемое средствами контроля кибербезопасности в режиме реального времени.
Кибер-уязвимость: среднее количество действий по использованию одного ИТ-актива
Киберустойчивость: среднее количество средств контроля в реальном времени, применяемых для каждого действия использования.
Коэффициент неприятия риска: готовность мириться с ухудшением производительности (например, с ошибкой пароля, ложными срабатываниями) по сравнению с допустимой или запрещенной вредоносной активностью (истинно положительные плюс ложноотрицательные)
Кроме того, нам необходимо учитывать затраты и стоимость. В конце концов, финансовая информация является основой делового мира:
Отношение убытков к стоимости: расходы на кибербезопасность, включая убытки от инцидентов, по сравнению с финансовой ценностью, обеспечиваемой ИТ-активами.
Стоимость контроля на ИТ-актив (вероятно, приложение): распределенные затраты на средства контроля кибербезопасности по ИТ-активам.
Снижение риска на единицу стоимости: финансовая стоимость сниженного риска по сравнению с общими расходами на кибербезопасность.
Можно взглянуть на заседания совета директоров и отчеты о прибылях и убытках публично торгуемых компаний или даже огромное количество финансовых коэффициентов на ваших любимых инвестиционных веб-сайтах, и вы увидите, что описанные выше показатели находятся на гораздо более подходящем стратегическом уровне, чем мешанина уровней исправлений и найденных вредоносных программ.
Если мы хотим, чтобы руководители серьезно относились к кибербезопасности на предприятии, это и есть самый корректный способ добиться этого.
Автор: Pete LindstromНажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться