Показатели кибербезопасности, которые совет директоров хочет видеть перед собой

Специалисты по кибербезопасности, заинтересованные в метриках и мерах, часто размышляют и рассуждают о том, какие меры лучше всего продемонстрировать совету директоров. Это может быть сложным предложением, потому что «мы должны говорить так же, как бизнес» - это тоже устойчивое выражение. 

Определение показателей кибербезопасности с точки зрения бизнеса может оказаться сложной задачей. Итак, как можно решить эту проблему и предоставить полезную информацию?

Ну, во-первых, мы должны признать, что уровень совета директоров является высшим стратегическим уровнем в компании. Если вы предоставляете метрики о статусе исправления и результатах фишинговых тестов, вы, по сути, признаете, что ваша программа кибербезопасности построена на нескольких смешениях понятий и молитвах, пишет издание CSO.

Профессионалы в области кибербезопасности часто очерняют «красно-желто-зеленые» индикаторы, но имейте в виду, что правлению не нужны технические детали или вариативность. 

Если они могут обойтись показателями «продажи на квадратный фут» в розничных магазинах, продающих смартфоны и шоколадные батончики, или показателями «использования коек» в больницах, которые лечат обезвоживание и проводят операции на головном мозге, они могут работать с масштабами «большой картины» на трех-пяти уровнях. 

«Красный-желтый-зеленый» не может быть полностью исключен, если уровни определены и имеют детали, их объясняющие. Более серьезная проблема сейчас заключается в том, что члены совета директоров все чаще несут ответственность за халатность, и они действительно должны и хотят иметь больше информации.

Главные вопросы о кибербезопасности от советов директоров

Теперь мы возвращаемся к тому, с чего начали, - к попыткам предоставить ориентированным на бизнес членам совета директоров технические данные о кибербезопасности на стратегическом уровне. Может быть полезно установить базовый уровень того, что члены совета директоров действительно хотят знать о кибербезопасности в любой компании. Вот их пять основных вопросов:

• Мы в безопасности? Этот вопрос является проклятием для многих профессионалов в области кибербезопасности, потому что ответ сейчас и всегда будет «нет» с буквальной точки зрения 100% защиты. Если мы изменим вопрос на «Каков наш уровень воздействия?» мы можем начать продвигаться вперед.

• Наш уровень соответствует? На этот вопрос часто легко ответить с помощью результатов аудита, но это может не дать реального утешения из-за точки зрения «на момент времени», которая может измениться в любой момент. Лучше оценить нашу программу кибербезопасности с помощью системы контроля.

• Были ли у нас какие-либо (значимые) инциденты? Члены правления будут хорошо осведомлены о любых значительных инцидентах, поэтому на этот вопрос обычно отвечают с подробностями, а также приводят оценки затрат и потенциальной ответственности.

Существует пять вопросов, но обычно сформулированными бывают три приведенных выше. Последние два пункта считаются стандартным элементом хорошего управления совета директоров:

• Насколько эффективна наша программа безопасности? Качество прежде всего.

• Насколько эффективна наша программа безопасности? А потом количество.

Показатели кибербезопасности для корпоративных советов

При построении программы целью должно быть прямое преобразование самых подробных технических данных в стратегическую структуру, понятную на уровне бизнеса. Нужно учитывать тот факт, что члены совета директоров не глупы и могут научиться всему, что им нужно, что поможет им принимать стратегические решения. Технологии захватывают их жизнь так же, как и нашу, и сейчас, когда весь мир переживает цифровую трансформацию, просто удивительно, как легко они подбирают показатели SaaS по мере необходимости.

Мы будем работать с метриками:

• ИТ-активы (количество пользователей, устройств, серверов, приложений и т. д.)

• Активность использования (сеансы, потоки, сообщения и т. д.)

• Управление процессом (создание/изменение/удаление учетной записи пользователя, обнаружение/исправление уязвимости, обнаружение/реагирование на инцидент и т. д.)

• Элементы управления в режиме реального времени (встроенные) (защита от вредоносных программ, брандмауэр, защита электронной почты и т. д.)

• Инциденты

Вот хороший базовый набор метрик правления, которые обеспечивают стратегическое понимание программы корпоративной кибербезопасности:

• Кибер-риск: процент ненадлежащих действий по использованию по сравнению со всеми действиями.

• Эффективность кибербезопасности: процентное снижение киберриска, обеспечиваемое средствами контроля кибербезопасности в режиме реального времени.

• Кибер-уязвимость: среднее количество действий по использованию одного ИТ-актива

• Киберустойчивость: среднее количество средств контроля в реальном времени, применяемых для каждого действия использования.

• Коэффициент неприятия риска: готовность мириться с ухудшением производительности (например, с ошибкой пароля, ложными срабатываниями) по сравнению с допустимой или запрещенной вредоносной активностью (истинно положительные плюс ложноотрицательные)

Кроме того, нам необходимо учитывать затраты и стоимость. В конце концов, финансовая информация является основой делового мира:

• Отношение убытков к стоимости: расходы на кибербезопасность, включая убытки от инцидентов, по сравнению с финансовой ценностью, обеспечиваемой ИТ-активами.

• Стоимость контроля на ИТ-актив (вероятно, приложение): распределенные затраты на средства контроля кибербезопасности по ИТ-активам.

• Снижение риска на единицу стоимости: финансовая стоимость сниженного риска по сравнению с общими расходами на кибербезопасность.

Можно взглянуть на заседания совета директоров и отчеты о прибылях и убытках публично торгуемых компаний или даже огромное количество финансовых коэффициентов на ваших любимых инвестиционных веб-сайтах, и вы увидите, что описанные выше показатели находятся на гораздо более подходящем стратегическом уровне, чем мешанина уровней исправлений и найденных вредоносных программ.

Если мы хотим, чтобы руководители серьезно относились к кибербезопасности на предприятии, это и есть самый корректный способ добиться этого.