ГИС

Показатели кибербезопасности, которые совет директоров хочет видеть перед собой

Показатели кибербезопасности, которые совет директоров хочет видеть перед собой
Показатели кибербезопасности, которые совет директоров хочет видеть перед собой
04.05.2022

Специалисты по кибербезопасности, заинтересованные в метриках и мерах, часто размышляют и рассуждают о том, какие меры лучше всего продемонстрировать совету директоров. Это может быть сложным предложением, потому что «мы должны говорить так же, как бизнес» - это тоже устойчивое выражение. 

Определение показателей кибербезопасности с точки зрения бизнеса может оказаться сложной задачей. Итак, как можно решить эту проблему и предоставить полезную информацию?

Ну, во-первых, мы должны признать, что уровень совета директоров является высшим стратегическим уровнем в компании. Если вы предоставляете метрики о статусе исправления и результатах фишинговых тестов, вы, по сути, признаете, что ваша программа кибербезопасности построена на нескольких смешениях понятий и молитвах, пишет издание CSO.

Профессионалы в области кибербезопасности часто очерняют «красно-желто-зеленые» индикаторы, но имейте в виду, что правлению не нужны технические детали или вариативность. 

Если они могут обойтись показателями «продажи на квадратный фут» в розничных магазинах, продающих смартфоны и шоколадные батончики, или показателями «использования коек» в больницах, которые лечат обезвоживание и проводят операции на головном мозге, они могут работать с масштабами «большой картины» на трех-пяти уровнях. 

«Красный-желтый-зеленый» не может быть полностью исключен, если уровни определены и имеют детали, их объясняющие. Более серьезная проблема сейчас заключается в том, что члены совета директоров все чаще несут ответственность за халатность, и они действительно должны и хотят иметь больше информации.

Главные вопросы о кибербезопасности от советов директоров

Теперь мы возвращаемся к тому, с чего начали, - к попыткам предоставить ориентированным на бизнес членам совета директоров технические данные о кибербезопасности на стратегическом уровне. Может быть полезно установить базовый уровень того, что члены совета директоров действительно хотят знать о кибербезопасности в любой компании. Вот их пять основных вопросов:

  • Мы в безопасности? Этот вопрос является проклятием для многих профессионалов в области кибербезопасности, потому что ответ сейчас и всегда будет «нет» с буквальной точки зрения 100% защиты. Если мы изменим вопрос на «Каков наш уровень воздействия?» мы можем начать продвигаться вперед.

  • Наш уровень соответствует? На этот вопрос часто легко ответить с помощью результатов аудита, но это может не дать реального утешения из-за точки зрения «на момент времени», которая может измениться в любой момент. Лучше оценить нашу программу кибербезопасности с помощью системы контроля.

  • Были ли у нас какие-либо (значимые) инциденты? Члены правления будут хорошо осведомлены о любых значительных инцидентах, поэтому на этот вопрос обычно отвечают с подробностями, а также приводят оценки затрат и потенциальной ответственности.

Существует пять вопросов, но обычно сформулированными бывают три приведенных выше. Последние два пункта считаются стандартным элементом хорошего управления совета директоров:

  • Насколько эффективна наша программа безопасности? Качество прежде всего.

  • Насколько эффективна наша программа безопасности? А потом количество.

Показатели кибербезопасности для корпоративных советов

При построении программы целью должно быть прямое преобразование самых подробных технических данных в стратегическую структуру, понятную на уровне бизнеса. Нужно учитывать тот факт, что члены совета директоров не глупы и могут научиться всему, что им нужно, что поможет им принимать стратегические решения. Технологии захватывают их жизнь так же, как и нашу, и сейчас, когда весь мир переживает цифровую трансформацию, просто удивительно, как легко они подбирают показатели SaaS по мере необходимости.

Мы будем работать с метриками:

  • ИТ-активы (количество пользователей, устройств, серверов, приложений и т. д.)

  • Активность использования (сеансы, потоки, сообщения и т. д.)

  • Управление процессом (создание/изменение/удаление учетной записи пользователя, обнаружение/исправление уязвимости, обнаружение/реагирование на инцидент и т. д.)

  • Элементы управления в режиме реального времени (встроенные) (защита от вредоносных программ, брандмауэр, защита электронной почты и т. д.)

  • Инциденты

Вот хороший базовый набор метрик правления, которые обеспечивают стратегическое понимание программы корпоративной кибербезопасности:


  • Кибер-риск: процент ненадлежащих действий по использованию по сравнению со всеми действиями.

  • Эффективность кибербезопасности: процентное снижение киберриска, обеспечиваемое средствами контроля кибербезопасности в режиме реального времени.

  • Кибер-уязвимость: среднее количество действий по использованию одного ИТ-актива

  • Киберустойчивость: среднее количество средств контроля в реальном времени, применяемых для каждого действия использования.

  • Коэффициент неприятия риска: готовность мириться с ухудшением производительности (например, с ошибкой пароля, ложными срабатываниями) по сравнению с допустимой или запрещенной вредоносной активностью (истинно положительные плюс ложноотрицательные)

Кроме того, нам необходимо учитывать затраты и стоимость. В конце концов, финансовая информация является основой делового мира:

  • Отношение убытков к стоимости: расходы на кибербезопасность, включая убытки от инцидентов, по сравнению с финансовой ценностью, обеспечиваемой ИТ-активами.

  • Стоимость контроля на ИТ-актив (вероятно, приложение): распределенные затраты на средства контроля кибербезопасности по ИТ-активам.

  • Снижение риска на единицу стоимости: финансовая стоимость сниженного риска по сравнению с общими расходами на кибербезопасность.

Можно взглянуть на заседания совета директоров и отчеты о прибылях и убытках публично торгуемых компаний или даже огромное количество финансовых коэффициентов на ваших любимых инвестиционных веб-сайтах, и вы увидите, что описанные выше показатели находятся на гораздо более подходящем стратегическом уровне, чем мешанина уровней исправлений и найденных вредоносных программ.

Если мы хотим, чтобы руководители серьезно относились к кибербезопасности на предприятии, это и есть самый корректный способ добиться этого.

Автор: Pete Lindstrom

Комментарии 0