安全動(dòng)態(tài)

網(wǎng)絡(luò)安全投資回報(bào)率:關(guān)鍵指標(biāo)與KPI全面解析

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-07-29    瀏覽次數(shù):
 

在訪談中,ArmorCode的首席安全與信任官Karthik Swarnam討論了衡量網(wǎng)絡(luò)安全ROI的關(guān)鍵指標(biāo)和KPI,分享了通過主動(dòng)措施和與高管有效溝通來提升ROI的策略。 

衡量網(wǎng)絡(luò)安全投資回報(bào)率的主要指標(biāo)和KPI是什么? 

如今,網(wǎng)絡(luò)安全投資不僅僅是為了避免成本,而是為了獲得更廣泛的利益,這些指標(biāo)包括: 

? 生產(chǎn)力:網(wǎng)絡(luò)安全措施可以顯著提高生產(chǎn)力,通過減少因安全漏洞導(dǎo)致的停機(jī)時(shí)間來提高運(yùn)營效率和員工表現(xiàn),衡量這一點(diǎn)的一個(gè)具體指標(biāo)是事件發(fā)生后的平均控制時(shí)間(MTTC)。 

? 安全態(tài)勢:通過跟蹤實(shí)施安全措施前后的漏洞數(shù)量和嚴(yán)重程度,可以量化企業(yè)的整體安全態(tài)勢,一個(gè)關(guān)鍵指標(biāo)是減少修復(fù)活動(dòng)的同時(shí)保持或提高安全態(tài)勢,這可以通過節(jié)省的工作時(shí)間或努力來衡量,傳統(tǒng)的衡量指標(biāo)包括檢測到的事件數(shù)量、平均檢測時(shí)間(MTTD)、平均響應(yīng)時(shí)間(MTTR)和補(bǔ)丁管理(部署修復(fù)的平均時(shí)間),安全意識(shí)培訓(xùn)和衡量釣魚攻擊成功率也很重要。 

? 網(wǎng)絡(luò)保險(xiǎn)費(fèi):有效的網(wǎng)絡(luò)安全策略可以降低網(wǎng)絡(luò)保險(xiǎn)費(fèi),反映出企業(yè)的風(fēng)險(xiǎn)狀況降低。 

? 上市時(shí)間:安全開發(fā)實(shí)踐,如將安全評(píng)估移到軟件開發(fā)生命周期的早期階段,可以減少新產(chǎn)品和服務(wù)的上市時(shí)間,下一代安全計(jì)劃應(yīng)該能夠衡量這一屬性。 

? 風(fēng)險(xiǎn)緩解成本:評(píng)估風(fēng)險(xiǎn)緩解策略的成本效益至關(guān)重要,這包括將各種安全措施的成本與安全事件的潛在損失進(jìn)行比較,并將這一數(shù)據(jù)與補(bǔ)丁管理和已修復(fù)的漏洞數(shù)量聯(lián)系起來,現(xiàn)代計(jì)劃使企業(yè)能夠從風(fēng)險(xiǎn)的角度優(yōu)先修復(fù)最重要的問題,總體而言,修復(fù)成本比事件成本更能反映企業(yè)的整體安全態(tài)勢。 

? 工具優(yōu)化:通過利用治理層,企業(yè)可以消除冗余的安全工具,優(yōu)化其安全投資,對安全工具的持續(xù)評(píng)估確保只使用最相關(guān)的解決方案,年度安全支出應(yīng)與企業(yè)的有效性衡量標(biāo)準(zhǔn)一起考慮,并且該標(biāo)準(zhǔn)應(yīng)靈活適應(yīng)工具和應(yīng)用環(huán)境的特殊性——每項(xiàng)技術(shù)應(yīng)有三個(gè)可衡量的成功指標(biāo)。 

? 客戶體驗(yàn):改進(jìn)身份和訪問管理可以簡化用戶驗(yàn)證步驟,通過減少憑證驗(yàn)證相關(guān)的摩擦來提高客戶體驗(yàn)。 

? 網(wǎng)絡(luò)性能:增強(qiáng)網(wǎng)絡(luò)安全也可以改善網(wǎng)絡(luò)連接性和減少延遲,從而提高整體系統(tǒng)性能并阻止惡意攻擊。 

? 數(shù)據(jù)保護(hù):實(shí)施強(qiáng)有力的安全控制措施可以最大限度地降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)和影響,通過監(jiān)控?cái)?shù)據(jù)丟失防護(hù)(DLP)違規(guī)行為并響應(yīng)警報(bào)來保護(hù)企業(yè)免受數(shù)據(jù)丟失的嚴(yán)重后果。 

什么樣的主動(dòng)投資策略可以在企業(yè)網(wǎng)絡(luò)安全中帶來更高的ROI? 

在網(wǎng)絡(luò)安全中,主動(dòng)投資策略通過預(yù)防事故發(fā)生和優(yōu)化安全操作可以顯著提高投資回報(bào)率,關(guān)鍵策略包括: 

? 推進(jìn)左移安全:投資于早期的安全評(píng)估和漏洞識(shí)別,可以在問題變得嚴(yán)重之前就減輕風(fēng)險(xiǎn),這種方法確保從開發(fā)過程一開始就集成了安全性。  

? 利用安全態(tài)勢管理:實(shí)施應(yīng)用安全態(tài)勢管理(ASPM)等解決方案,有助于識(shí)別和優(yōu)先處理對企業(yè)最重要的風(fēng)險(xiǎn),而不是不加區(qū)分地處理所有漏洞。  

? 部署治理工具:部署治理工具可以為特定員工群體(如開發(fā)人員)提供量身定制的培訓(xùn),而不是一刀切的方法,這種有針對性的培訓(xùn)提高了安全措施的有效性并降低了成本。  

? 最大化工具優(yōu)化:企業(yè)經(jīng)常積累過多的安全工具,導(dǎo)致重復(fù)和效率降低,簡化、整合和優(yōu)化安全工具可以帶來顯著的成本節(jié)約和改進(jìn)的安全成果,例如,將治理、風(fēng)險(xiǎn)和合規(guī)(GRC)與漏洞管理集成到一個(gè)平臺(tái)中,可以簡化操作并減少冗余。 

向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資ROI的最佳實(shí)踐是什么? 

向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資的ROI需要清晰、基于指標(biāo)的溝通。最佳實(shí)踐包括: 

? 基于指標(biāo)的方法:使用具體、可量化的指標(biāo)展示安全態(tài)勢和運(yùn)營效率的改善,例如,強(qiáng)調(diào)漏洞修復(fù)時(shí)間的減少、事件響應(yīng)成本的下降和合規(guī)率的提高。  

? 與業(yè)務(wù)對齊的安全性:展示網(wǎng)絡(luò)安全措施如何與業(yè)務(wù)目標(biāo)對齊并支持業(yè)務(wù)目標(biāo),這包括更快的產(chǎn)品交付、縮短的上市時(shí)間和提高的客戶滿意度。  

? 以風(fēng)險(xiǎn)為中心的報(bào)告:強(qiáng)調(diào)專注于最關(guān)鍵的業(yè)務(wù)特定風(fēng)險(xiǎn)如何帶來更好的資源分配和減少不必要的修復(fù)工作。  

? 工具優(yōu)化的好處:展示通過優(yōu)化安全工具和消除重復(fù)帶來的成本節(jié)約和效率提升。 

集成先進(jìn)技術(shù)如AI和機(jī)器學(xué)習(xí)對網(wǎng)絡(luò)安全ROI有何影響? 

集成先進(jìn)技術(shù)如AI和機(jī)器學(xué)習(xí)可以通過動(dòng)態(tài)優(yōu)化安全解決方案深刻影響網(wǎng)絡(luò)安全ROI,使企業(yè)能夠?qū)崟r(shí)適應(yīng)不斷變化的威脅,這些技術(shù)增強(qiáng)了威脅檢測能力,比傳統(tǒng)方法更快、更準(zhǔn)確地識(shí)別和響應(yīng)威脅,從而減少安全事件的可能性和影響。 

此外,AI驅(qū)動(dòng)的自動(dòng)化簡化了安全操作,減少了對人工干預(yù)的需求,并釋放資源用于更具戰(zhàn)略性的活動(dòng),這種動(dòng)態(tài)威脅管理、有效響應(yīng)能力和操作自動(dòng)化的結(jié)合,顯著提升了網(wǎng)絡(luò)安全投資的整體效益和成本效率。 

你會(huì)給希望提高其企業(yè)網(wǎng)絡(luò)安全投資回報(bào)率的安全專業(yè)人士哪些建議? 

為了提高網(wǎng)絡(luò)安全投資回報(bào)率,安全專業(yè)人士應(yīng)該: 

? 建立清晰的指標(biāo):在身份和訪問管理、風(fēng)險(xiǎn)修復(fù)、軟件開發(fā)、數(shù)據(jù)丟失防護(hù)和消息安全等各個(gè)領(lǐng)域定義并衡量關(guān)鍵指標(biāo)。 

? 開發(fā)相關(guān)措施:確保所使用的指標(biāo)與企業(yè)的具體背景和目標(biāo)相關(guān)且有意義。 

? 設(shè)定安全容忍度:建立可接受的風(fēng)險(xiǎn)水平,并將這些作為評(píng)估安全性能的基準(zhǔn)。 

? 定期報(bào)告:定期生成安全測量和報(bào)告,以保持可見性和問責(zé)性,這有助于持續(xù)跟蹤進(jìn)展并根據(jù)需要對安全策略進(jìn)行知情調(diào)整。 

通過優(yōu)先考慮以上措施,企業(yè)可以展示其網(wǎng)絡(luò)安全投資的價(jià)值,并通過改進(jìn)的安全性和運(yùn)營效率獲得更高的投資回報(bào)。

 
 

上一篇:企業(yè)AI使用的可見性與控制:CISO的挑戰(zhàn)與應(yīng)對策略

下一篇:2024年7月26日聚銘安全速遞