本文所列舉的會是董事會未來會發現的有用指標,因為它們有助於將安全投資與戰略目標及風險聯繫起來。
文/Pet Lindstrom‧譯/酷魯
對指標和措施感興趣的網路安全專業人士常會琢磨並武斷地認為,哪些措施最適合向董事會展示。這可能是一個棘手的難題,因為「我們必須用公事公辦的口氣說話」這本身也是一句咒語。從商業角度提出網路安全指標可能是一項挑戰。那麼我們如何解決這個問題並提供有用的見解呢?
首先,我們必須認識到董事會是公司最高策略層級。如果你提供有關更新修補程式狀態和網路釣魚測試結果的指標,那麼你實際上是在承認你的網路安全計畫是建立在一些大雜燴活動和祈禱之上。
[ 推薦下載: 2022年度CIO大調查報告PDF ]
網路安全專家經常詆毀「紅-黃-綠」類型的狀態警示器,但請記住,董事會不需要技術細節或差異。如果他們能夠在銷售智慧型手機和糖果的零售店中查閱「每平方英尺平均銷售額」指標,或者在治療脫水和進行腦部手術的醫院中查閱「床位利用率」指標,他們就可以按三至五個級別加以劃分,便能適用於更大的範圍。「紅-黃-綠」警示機制並不是完全不可能,只要清楚定義了級別,並有詳細說明來加以解釋即可。現在更大的挑戰是,董事會成員對過失負有愈來愈大的責任,他們確實應該並想要更多的洞察力。
來自公司董事會的首要網路安全問題
現在我們回到我們開始的地方 ─ 試圖在策略層面為業務導向的董事會成員提供技術導向的網路安全數據。對於真正想要了解任何公司關於網路安全一切的董事會成員來說,上述安全數據的提供對於為這些網路安全細節設定基準是很有幫助的。以下茲列舉出他們最關心的五大問題:
- 我們安全嗎?這個問題是許多網路安全專業人員的痛苦來源,因為從字面上 100% 保護的角度來看,現在和未來的答案都是「否」。如果我們將問題改寫成「我們的風險暴露等級是多少?」的話,我們就可以開始取得進展。
- 我們合規嗎?透過稽核結果通常很容易回答這個問題,但由於其「時間點」視角可能轉瞬間就改變,因此可能無法提供真正的慰藉。最好使用控制架構來評估我們的網路安全計畫。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
- 我們是否遭遇過任何(重大)事件?董事會成員會很清楚任何重大事件,因此這個問題通常會透過細節乃至與成本和潛在責任有關的評估來回答。
雖然我說有五個問題,但上面三個是最典型的網安問題。最後兩個問題則是優秀董事會管理上的標準要素:
- 我們的安全計畫有何效果?首先是品質。
- 我們的安全計畫效率如何?其次是數量。
董事會的網路安全指標
當我們打造自己的方案計畫時,我們的目標應該是直接將最詳細的技術資料轉化為在業務層面可以理解的戰略框架。我們還應該考慮到董事會成員並不愚蠢的事實,他們可以學到任何他們需要的東西,來幫助他們做出戰略性決策。就和我們一樣的是,科技正在接管他們的生活,隨著整個世界都在經歷數位轉型,他們在需要時竟能夠輕鬆地掌握 SaaS 指標,這點實在讓人感到驚訝。
我們將採用以下指標:
- IT 資產(使用者、裝置、伺服器及應用程式等數量)。
- 使用量(會話、資料流、訊息等)。
- 流程控制(使用者帳號建立/修改/刪除;漏洞偵測/修補,事件偵測/應變等)。
- 即時(線上)控制(反惡意軟體、防火牆、電子郵件安全等)。
- 事件。
在此列舉出一套不錯的核心董事會指標,可為企業網路安全計畫提供戰略洞察力:
- 網路風險:不當使用量佔所有使用量的百分比。
- 網路安全功效:即時網路安全控制提供降低的網路風險百分比。
- 網路風險暴露:每項 IT 資產的平均使用量。
- 網路復原力:套用至每個使用量的平均即時控制數量。
- 風險規避率:與允許或拒絕的惡意活動(真陽性加假陰性)相比,接受生產力的意願下降(例如密碼失效、誤報)。
此外,我們還需要考慮成本和價值。畢竟,財務資訊是商業世界的通用語:
- 損失價值比:與 IT 資產提供的財務價值相比的網路安全支出(包括事件損失)。
- 每項 IT 資產的控制成本(可能是應用程式):按 IT 資產分攤的網路安全控制成本。
- 單位成本風險降低:與網路安全總支出相比下降低風險的財務價值。
看看上市公司的董事會議程和財報電話會議紀錄,甚至是你最喜歡的投資網站上的大量財務比率,你會發現上述指標比雜亂無章的更新修補層級與惡意軟體偵測,似乎更適合戰略層面。
如果我們希望高層認真對待企業中的網路安全,以上所列就是實現此一目標的方法。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
