高效CISO需要注意的几个安全指标
发布时间:2022-06-04 11:05:20 所属栏目:安全 来源:互联网
导读:当企业安全预算的增长面临不可持续风险,CISO应该开始重视哪些安全指标? CISO最具挑战性的工作之一就是选择正确的指标来量化企业网络安全体系的能力和价值,这是企业网络安全策略和效率的基
|
当企业安全预算的增长面临“不可持续”风险,CISO应该开始重视哪些安全指标? CISO最具挑战性的工作之一就是选择正确的指标来量化企业网络安全体系的能力和价值,这是企业网络安全策略和效率的基础。如果说KPI是一种病,那么,没有什么比选择错误的KPI指标更加可怕的事情了,尤其是企业安全预算开始吃紧的黑天鹅时期。 零信任需要钱、威胁情报需要钱、漏洞管理需要钱、下一代防火墙需要钱、下一代SOC/SOAR/SIEM需要钱、数据防泄漏需要钱、勒索软件需要钱、等保合规需要钱、安全意识培训需要钱……这些还都是肉眼可见的、优先级很高的“烧钱项”。 但是不少安全主管,甚至是知名跨国公司或上市公司的安全主管,兜里的预算,都无法完整覆盖多个安全重点投资领域。近日埃森哲的一份CISO报告给出了逐年递增的安全预算中,“最烧钱”的十七个安全技术,排名如下: CISO们给首席执行官和董事会的报告里包含太多技术术语,例如严重漏洞和补丁数量,但董事会其实并不了解他在说什么。 他补充说: 这些数字对于CISO可能非常有用,但是CISO需要基于安全指标和标准来提供背景信息,以便董事会了解风险以及需要在安全方面进行多少投资。 包括Kolthoff在内的网络安全专家认为,对于不同行业和规模企业的CISO来说,在衡量安全工作效果和策略方面,并没有一套放之四海皆准的安全指标。但是,有一点可以确定的是:有一些安全指标的组合,对于大多数企业来说,都需要格外重视。 五个对企业依然重要的“旧”安全指标 虽然不同地域、不同规模和不同行业的企业面临的安全威胁优先级不尽相同,但是在制定有效的新安全指标方面,有着共同诉求和基本原则: 安全指标需要与安全损失和业务目标挂钩,且能够容易被业务部门或者董事会所理解。 尽管“站在业务目标角度”评估安全性的新指标体系是当下CISO们关注的热点,但资深的CISO和安全管理顾问表示,过去安全团队使用的很多安全指标依然很有价值,CISO应该考虑围绕这些指标添加其他上下文内容。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号