Nútíma netöryggi. Kafli tvö: Hvernig mælum við árangur?

Þar sem mælikvarðar eru ekki fyrir hendi verður netöryggi óljóst hugtak, erfitt að stjórna og bæta. Mælikvarðar veita leið til að breyta abstrakt áhyggjum af „öryggi“ í áþreifanlega, framkvæmanlega innsýn. Þau bjóða upp á mælanlega leið til að meta árangur öryggisráðstafana þinna, hjálpa þér að úthluta fjármagni á skilvirkari hátt og taka upplýstar ákvarðanir.

Skurðpunktur upplýsingatækniaðgerða og netöryggismælinga

Hefðbundnar mælingar UT reksturs eins og uppitími, villuhlutfall og aðgengileiki þjónustu eru oft grunnur að netöryggismælingum. Til dæmis eru mælikvarðar eins og Recovery Time Objective (RTO) og Recovery Point Objective (RPO), sem venjulega eru notaðir í upplýsingatækniaðgerðum til að endurheimta kerfi eftir áfall, einnig mikilvægar í netöryggi til að meta seiglu fyrirtækis þíns gegn netárásum.

Að skilja grunnatriðin:

• Gagnaskrá: Mælikvarðar gætu falið í sér fjölda og tegundir gagnaeigna eins og gögn viðskiptavina, fjárhagsfærslur og hugverk.
• Aðgangsstýringarmælingar: Þetta gæti falið í sér fjölda notenda með aðgang að viðkvæmum gögnum og fjölda stjórnunarreikninga.

Greining lykiláhættu:

• Tíðni atvika: Fjöldi öryggisatvika á tilteknu tímabili.
• Tegundir atvika: Flokkun atvika eftir tegund, svo sem vefveiðum, spilliforritum og óleyfilegum aðgangi.

Grunnviðbúnaður:

• Styrkleikamælingar lykilorðs: Hlutfall sterkra lykilorða og fjölda sameiginlegra lykilorða.
• Ástand öryggisafritunar: Hlutfall árangursríkra afritunaraðgerða.

Samfelldur rekstur:

• Recovery Time Objective (RTO): Áætluð tímalengd þar sem viðskiptaferli verður að endurheimta eftir truflun.
• Recovery Point Objective (RPO): Hámarkstímabilið sem stefnt er að þar sem gögn gætu glatast vegna atviks.

Lærdómur og umbætur:

• Viðbragðstími atvika: Tíminn sem það tekur frá því að uppgötva atvik til að leysa það.
• Lærðar lexíur: Fjöldi úrbótaaðgerða sem greindar hafa verið eftir atvik og hlutfall þeirra sem hafa verið framkvæmdar.

Fjárfesting í öryggi:

• Mælikvarðar á fjárhagsáætlun fyrir netöryggi: Hlutfall upplýsingatæknifjárveitinga sem úthlutað er til netöryggis og hvernig það breytist með tímanum.
• Arðsemi öryggisfjárfestinga (ROSI): Fjárhagslegur sparnaður vegna öryggisfjárfestinga í hlutfalli við kostnað vegna atvika.

Þátttaka og vitund:

• Hlutfall þeirra sem ljúka þjálfun: Hlutfall starfsmanna sem hafa lokið þjálfun í netöryggisvitund.
• Tíðni falla á phishing-prófum: Hlutfall starfsmanna sem falla á vefveiðaprófum, ef við á.

• Uppgötvunartími atviks: Tíminn sem það tekur að greina öryggisatvik frá því að það á sér stað.
• Skilvirkni plástursstjórnunar: Meðaltíminn sem það tekur að beita öryggisplástrum þegar þeir eru gefnir út.
• Falskt jákvætt hlutfall: Hlutfallið sem lögmæt starfsemi er merkt sem öryggisatvik.
• Kostnaður fyrir hvert atvik: Heildarkostnaður sem fyrirtækið stofnar til vegna hvers öryggisatviks, þ.m.t. úrbætur og hugsanlegar sektir.
• Frávik í hegðun notenda: Fjöldi frávika sem greinast í hegðun notenda sem gætu bent til öryggisógnar.
• Ytri veikleikar: Fjöldi veikleika sem verða fyrir umheiminum, oft mældur með vulnerability scan eða árásárprófunum.
• Gagnakóðunarhlutfall: Hlutfall gagna, bæði í hvíld og í flutningi, sem er dulkóðað.
• nnleiðingarhlutfall Fjölþátta auðkenning (MFA): Hlutfall notenda sem hafa virkjað MFA.
• Verndarstaða útstöðva: Hlutfall útstöðva (tölvur, farsímar o.s.frv.) sem hafa uppfærðan öryggishugbúnað.
• Skilvirkni eldveggs: Fjöldi tilrauna til brota sem eldveggurinn hindrar.
• Skilvirkni árásargreiningar: Hlutfall raunverulegra jákvæðra viðvarana sem myndast af IDS (Intrusion Detection System).
• Gagnatapstilvik: Fjöldi atvika þar sem viðkvæm gögn töpuðust, annað hvort fyrir slysni eða vilja.
• Samræmisstig: Mælikvarði á hversu vel fyrirtækið uppfyllir viðeigandi lög og reglur, oft byggt á niðurstöðum endurskoðunar.
• Innherjaógnaratvik: Fjöldi öryggisatvika sem orsökuðust af starfsmönnum, verktökum eða öðrum innherjum.

Mælikvarðar eru ekki til einskiptis notkunar; Þeir þarfnast reglulegrar endurskoðunar og aðlögunar. Eftir því sem fyrirtæki þitt vex og þróast, munu netöryggisþarfir þínar gera það líka. Landslag netöryggis er síbreytilegt, nýjar ógnir koma fram og þær sem fyrir eru þróast. Stöðugt eftirlit með mælingum þínum mun hjálpa þér að laga þig að nýjum áskorunum og tækifærum.

18 Factors And Metrics To Show The Value Of Cybersecurity Initiatives (forbes.com) – Forbes grein um metrics í netöryggi

SP 800-55 Rev. 1, Performance Measurement Guide for Information Security | CSRC (nist.gov) – Birting frá NIST um Leiðbeiningar um árangursmælingar fyrir upplýsingaöryggi