2021年9月15日
- Gartner的客户吗?登录为个性化的搜索结果。
4个指标,证明你的网络安全项目工作
贡献:苏珊摩尔
使用保健框架开发指标,证明你的网络安全计划的可信性和安全性。
在提出记录罚款万豪国际和英国航空公司的母公司在欧洲的数据隐私法律,英国信息专员伊丽莎白德纳姆解释说,罚款不相关的严重程度的影响,而是缺乏适当的行动来保护人们的数据。在发行大幅削减后的最后好,专员据报道了“经济影响和负担能力”考虑在内。
当一个组织面临数据泄露或其他网络安全事件,并不取决于它是否有一个低数量的漏洞或如果它花了足够多的安全工具。问题是它是否基于预算做了正确的事情,大小和需求。
Gartner预测,三年内,80%的罚款的大小后,监管机构网络安全漏洞将失败归因于证明由于保健的责任而不是破坏的影响。
立即下载:成熟的信息安全路线图
如何显示你关心网络安全
在过去,网络安全优先级和投资在很大程度上基于做来避免一个结果。例如,您可以实现一个补丁管理工具,以避免事件造成没有修补安全漏洞。
这不是最好的做法。网络安全应该基于优先级和投资实现一组一致的结果,充分、合理、有效的(保健)。Gartner介绍护理作为一个框架来帮助组织评估他们的网络安全项目的可信度和安全性。
例如,而不是简单地确认工具和流程修补漏洞的存在,一个组织应该测量结果直接相关的保护水平,如所需要的天数与关键补丁更新关键系统。
但是因为没有行业标准的安全标准或kpi,每个组织需要灵活地满足其独特的环境。
说,“最终,这是价值判断克劳德·曼迪Gartner分析师,高级主管。”这四个特点体现了无数机会为这个组织做什么是最好的。使用框架,以确保您的安全程序提供更好的结果,不仅更大的花。”
我们建议作为一个安全与风险管理的领导者,您开发一个目录20到30保健指标操作指标转化为容易被非技术受众理解的东西。
以下类型的安全指标包括仪表板帮助证明关键利益相关者,如监管机构、客户和股东,你会见了注意义务。
一致性指标
这些评估是否安全控制工作一直随着时间的推移,整个组织。他们应该不断更新,测量和报告每周、每月或季度证明他们保持一致。例如:
- 第三方风险评估:安全控制可以覆盖或第三方的百分比完成风险评估。
- 安全意识:控制货币或雇员的百分比已经收到钓鱼X个月培训。
充分性度量
这些评估控制是否满足业务需求和利益相关者的期望。例如:
- 修补的成就:比例的资产定期修补在保护水平协议(PLA)
- 成就的恶意软件更新计划:比例的端点与反恶意软件定义经常应用在解放军
合理的指标
这些证明你的安全控制是合适的,公平和温和,取决于他们的业务影响和他们造成的摩擦。例如:
- 延误和停机时间:平均延迟(小时)当添加新的访问
- 投诉:投诉的数量由一个特定的安全控制
有效性指标
这些评估你是否安全控制产生期望的结果。例如:
- 漏洞修复:控制可能是及时性,如平均或最大天数要求解决关键的安全漏洞。
- 流行的云安全事件:每年的云安全问题相关的云配置问题
安全和风险管理领导,由你为听众提供背景,深入细节对于特定的业务单位和系统,和链接保健指标的业务成果。
体验安全和风险管理会议
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
*请注意,某些文件可能不会Gartner提供给所有客户。
Gartner使用< / >和< a href = " / en /关于/政策/隐私”目标= "平等" >隐私政策。< / > < / p >">
登录到您的帐户< / >,访问你的研究和工具。< / p >" class="eloqua-text">
登录到您的帐户< / >,访问你的研究和工具。< / p >" class="optin-text">