Mary K. Pratt

首席信息安全官最难落实的一项任务是怎样对网络安全功能的成功与价值进行量化。

事实上，安全主管及其部门多年来使用了无数的指标。然而，很多高管和董事会成员抱怨说，这些指标无法让他们充分深入分析或者理解安全部门的表现、改进情况，以及在哪些方面还存在不足。

安全公司SpearTip的总裁兼首席执行官Jarrett Kolthoff解释说：“首席执行官和董事会听到的技术术语太多了。首席信息安全官一直在向董事会通报关键漏洞和补丁程序的数量，而董事会并不理解这些，因为没有提供适当的环境。”

他补充道：“这些数字可能对首席信息安全官很有用，但首席信息安全官应制订配有适当环境的指标，以便董事会能够理解风险，知道需要在安全方面进行多少投资。”

包括Kolthoff在内的网络安全专家认为，没有一个指标能让所有首席信息安全官证明他们的安全工作多么有效，以及他们是否在随着时间的推移而不断改进工作。但是，有一些指标，也就是度量标准和叙述的适当组合，比其他指标更有用。

对业务最重要的安全指标

科技公司Armis的首席信息安全官、Sysco食品公司的前任首席信息安全官Curtis Simpson认为，考虑到对安全的期望越来越高，董事会在这一领域的监管力度也越来越大，安全指标比以往任何时候都更为重要。

和其他首席信息安全官一样，Simpson也认为关键是要有正确的指标。他说：“我最喜欢的指标是企业真正关心的指标。”对此，他寻找描述安全怎樣帮助企业实现其目标的指标。

作为一个例子，他列举了他在Sysco公司使用的指标，该公司既定目标是24小时全天候为全球客户提供服务。他解释说：“我必须讲一个故事，说明安全高风险会对实现这一目标造成多大的困难。”

他没有报告公司遭受的攻击次数，而是用这些数据来衡量这些攻击对工作效率和运维等领域的影响，并展示以多大的成本怎样进行改进，改进措施将怎样降低风险，并最终改善影响业务的指标——所有这些都是为了实现全天候的客户支持。

Simpson说：“这样每次都会引起共鸣，因为我们正在讨论的恰恰是业务部门想要实现的。”

Simpson承认，某些具体的指标可能不适用于其他首席信息安全官。他建议他们找到有助于他们今后能够衡量安全相关业务影响、关键目标风险和缓解成功的指标。

专家们一致认为，重要的不仅仅是所使用的数据，而是这些指标怎样突显业务工作的重要性，并说明首席信息安全官正在做什么来解决问题，推进实现业务目标。

IT-Harvest首席研究分析师、《安全年鉴2020》一书的作者Richard Stiennon说，他与国防行业的一家公司合作，跟踪威胁并将威胁从低级别到武器化进行分类，并就此进行了报告。

他介绍说，实际上，这家公司改变了通常毫无意义的数字（威胁的数量），并提供了其他高管和董事会成员能够理解的威胁环境，有助于针对安全改进措施的投资做出正确的决策。

Stiennon补充道：“这里的教训是，不要只提供数字，而是要把所有人都关心的术语解释清楚。”

其他人也提出了类似的建议。

Murray安全服务公司总裁兼首席执行官、信息系统安全协会（ISSA）首席运营官Shawn P.Murray说：“你自己的指标要与企业内部的关键业务职能相一致，对董事会来说这才是最重要的。首席信息安全官的整个想法是与业务部门合作，了解需要维护哪些关键流程才能帮助业务部门成功。我们需要通过制订正确的指标来做到这一点。”

他建议首席信息安全官根据与资产和目标相一致的信息分类，建立关键风险指标。

因此，如果一个部门的安全目标是尽可能不出现中断，那么这个目标是可以测量和跟踪的。或者，如果一个部门希望安全改进措施与技术部署是一致的，首席信息安全官可以建立并跟踪指标，这类指标显示安全部门怎样、何时、何地参与和技术相关的采购，以及今后是怎样改进的。

目前担任SecureAuth公司首席信息安全官的Bil Harmer是从业30年的IT和网络安全领导，他认为，用户满意度是另一个需要考虑的指标。他说，“所谓安全，一直都是怎样在可用性和安全性之间达到平衡”，并指出，可用性问题常常会导致折中方案，从而达不到预期的安全效果。

不过，Harmer等人认为，不管是可用性还是其他指标，重要的是，首席信息安全官都必须找到实际能产生可量化信息的领域，他们能够从中实际获得数据以生成这些指标，并且可以一直这样做下去，而且会根据与业务目标相关的情况来衡量安全措施是否有效。

Murray补充道：“首席信息安全官负责项目的所有功能都应与业务需求保持一致，首席信息安全官应理解这种一致性。一旦理解了这种一致性，首席信息安全官就可以建立很好的指标来衡量其目标绩效，以确保整个企业在战略上保持一致，业务上能够达到所预期的成功水平。”

6个仍然有价值的传统指标

尽管评估安全与业务目标之间关系的指标仍然在使用，但资深的首席信息安全官和安全管理顾问表示，他们认为安全部门过去使用的很多指标仍然是很有价值的。

不过，他们也表示，首席信息安全官也应该考虑这些指标所处的新环境。反烟草非营利组织Truth Initiative的首席信息官兼网络安全官Derrick A. Butts解释说，董事会不在乎截获了多少钓鱼邮件等类似的事件。他们关心的是，我们的系统能不能有效地防范这些风险，并防止对业务产生影响。”

下面是Butts和其他安全领导们使用的一些指标，这些指标的使用有其相应的环境。

模拟网络钓鱼攻击的结果。Butts使用模拟的网络钓鱼攻击来帮助他评估安全意识培训的效果，并设定改进目标。

平均恢复时间。Harmer根据企业既定的风险目标，衡量受安全事件影响的用户百分比、安全部门多快能够解决问题，以及解决问题的时间是否满足、超过或者低于目标时间。

平均探测时间。Stiennon说，他建议使用平均探测时间等指标来衡量从攻击成功到被探测到所需的时间，因为这也表明了一个安全程序的工作是否有效，可以进行跟踪以显示改进情况。他说，这些指标有助于首席信息安全官与高管和董事会讨论需要在哪些方面投资才能带来改进。此外，这类指标鼓励持续改进：将平均探测时间减少到几分钟，而首席信息安全官可以要求将其减少到秒级。

渗透测试。与模拟的网络钓鱼攻擊一样，渗透测试的指标表明了企业能够抵御此类事件的能力，并能够随着时间的推移跟踪改进情况。对于Harmer来说，这是他作为首席信息安全官以及其他高管和董事会成员应理解和重视的信息。

漏洞管理。Murray建议首席信息安全官开发一个指标，用于报告其漏洞管理程序的有效性。他说，这不应该报告打上了多少补丁，而是根据企业的安全态势来衡量安全部门管理漏洞以达到最佳效果的能力。他说，毕竟，不仅仅是要打上100个低风险的补丁，而是一定要尽快打上风险最大的补丁。

Murray补充道：“如果不相关或者不重要，那么作为首席信息安全官，我就不会报告。我只报告董事会需要知道的，因为这会影响业务。我会准备好这方面的指标。”

企业安全审计。Butts使用的记分卡是美国国家标准与技术研究所（NIST）、信息技术基础设施图书馆（ITIL）和互联网安全中心（CIS）框架为他的部门开发的。他说：“这个指标是一个很好的快照，显示了工作是怎样开展的。”

4个应放弃的指标

随着衡量安全功能有效性、经过改进的一系列新指标的出现，专家们建议，以下指标应该尽量少用——或者全部放弃。

攻击次数。“没有人关心你在一个月内受到了10万次攻击，并阻止了攻击。这其实就是让人们说，‘如果你已经做得非常好了，为什么还要再给你100万美元？”Simpson说。此外，重点不在于阻止了10万次低级攻击，而是挫败了一次能让公司倒闭的致命攻击。

补丁打好了;已发现的漏洞数量;病毒被阻止。对于首席信息安全官来说，虽然这些指标可以在企业内部用于衡量已经完成的工作，或者用于确定某个部门是否遵守某些规定等，但这些指标本身几乎没有价值。Stiennon说：“另外，这些指标可能会让你产生一种虚假的安全感。”

原文网址

https：//www.csoonline.com/article/3530230/6-security-metrics-that-matter-and-4-that-don-t.html