2021年9月15日
2021年9月15日
贡献:苏珊摩尔
使用保健框架开发指标,证明你的网络安全计划的可信性和安全性。
在提出记录罚款万豪国际和英国航空公司的母公司在欧洲的数据隐私法律,英国信息专员伊丽莎白德纳姆解释说,罚款不相关的严重程度的影响,而是缺乏适当的行动来保护人们的数据。在发行大幅削减后的最后好,专员据报道了“经济影响和负担能力”考虑在内。
当一个组织面临数据泄露或其他网络安全事件,并不取决于它是否有一个低数量的漏洞或如果它花了足够多的安全工具。问题是它是否基于预算做了正确的事情,大小和需求。
Gartner预测,三年内,80%的罚款的大小后,监管机构网络安全漏洞将失败归因于证明由于保健的责任而不是破坏的影响。
立即下载:成熟的信息安全路线图
在过去,网络安全优先级和投资在很大程度上基于做来避免一个结果。例如,您可以实现一个补丁管理工具,以避免事件造成没有修补安全漏洞。
这不是最好的做法。网络安全应该基于优先级和投资实现一组一致的结果,充分、合理、有效的(保健)。Gartner介绍护理作为一个框架来帮助组织评估他们的网络安全项目的可信度和安全性。
例如,而不是简单地确认工具和流程修补漏洞的存在,一个组织应该测量结果直接相关的保护水平,如所需要的天数与关键补丁更新关键系统。
但是因为没有行业标准的安全标准或kpi,每个组织需要灵活地满足其独特的环境。
说,“最终,这是价值判断克劳德·曼迪Gartner分析师,高级主管。”这四个特点体现了无数机会为这个组织做什么是最好的。使用框架,以确保您的安全程序提供更好的结果,不仅更大的花。”
我们建议作为一个安全与风险管理的领导者,您开发一个目录20到30保健指标操作指标转化为容易被非技术受众理解的东西。
以下类型的安全指标包括仪表板帮助证明关键利益相关者,如监管机构、客户和股东,你会见了注意义务。
这些评估是否安全控制工作一直随着时间的推移,整个组织。他们应该不断更新,测量和报告每周、每月或季度证明他们保持一致。例如:
这些评估控制是否满足业务需求和利益相关者的期望。例如:
这些证明你的安全控制是合适的,公平和温和,取决于他们的业务影响和他们造成的摩擦。例如:
这些评估你是否安全控制产生期望的结果。例如:
安全和风险管理领导,由你为听众提供背景,深入细节对于特定的业务单位和系统,和链接保健指标的业务成果。
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
*请注意,某些文件可能不会Gartner提供给所有客户。