CISOが上司に報告する場合、そこから意味のある実行可能な措置が生じるべきです。
写真:Ultraskrip – shutterstock.com
成熟したサイバーリスクプログラムの重要な柱は、IT-セキュリティのパフォーマンスと記録されている脅威を測定、分析、および報告する能力です。ただし、サイバーセキュリティを測定することは簡単な作業ではありません。一つには、適切な背景知識がない多くの経営幹部がIT-リスクを理解するのに苦労しているためです。一方、セキュリティ専門家はしばしば、ステークホルダーを混乱させ、誤った方向に導く技術的詳細に巻き込まれることがあります。
理想的なシナリオ:セキュリティ専門家は、経営幹部にとって理解しやすく有用な方法でサイバーセキュリティを測定および報告します。これは実行可能な結果につながります。良いですね?この記事では、それを実現する方法をご紹介します。
IT-セキュリティの測定カテゴリ
ほとんどのステークホルダーはリスク、コンプライアンス、またはセキュリティに関する質問を持っています。しかし、これらは通常、単一のデータポイントで答えることはできません。しかし、セキュリティ専門家がステークホルダーの質問と懸念に対処するために測定できることがたくさんあります。これらは(大まかに)次のカテゴリに分類できます:
-
コントロール:脅威を防ぎ、リスクを軽減するために講じられる措置。
-
資産:組織にとって価値がある、またはその所有物である物。
-
脆弱性:システム内で悪用される可能性のある脆弱性。
-
脅威イベント:脅威によってトリガーされるイベントで、資産に潜在的に害をもたらす可能性があります。
-
セキュリティインシデント:企業に「成功裏に」影響を与えたイベント。たとえば、(システムの)停止、データ侵害、またはサイバー攻撃の形式で。
これらのカテゴリは、さまざまな要因によってさらに分類できます。数値、時間、またはコスト。
数値は、たとえば、パッチが適用されていないサーバーの割合の形式で測定できます。別の方法:セキュリティインシデントを特定するために必要な時間を測定します。最後に、コスト、たとえば、復旧費用または停止コストの形式で、セキュリティイベントの財務的影響についての洞察を与える可能性があります。
サイバーセキュリティメトリクス、KPI、およびKRI
セキュリティ専門家または意思決定者がビジネスチームに報告する場合、できるだけ関連性のある測定値を選択する必要があります。ほとんどのセキュリティチームは、資産、脆弱性、および脅威イベントに関する低レベルの測定を表すメトリクスに焦点を当てています。一方、経営および取締役会レベルでは、特にKPI(主要パフォーマンス指標)およびKRI(主要リスク指標)が重要です。これらはIT-リスク、ステータス、および準備に関する特定の質問に答えるのに役立つためです。たとえば:
-
私たちは安全ですか?
-
セキュリティ投資は企業に付加価値を提供していますか?
-
セキュリティの観点から、すべての規制要件を満たしていますか?
-
ランサムウェアやサプライチェーン攻撃にどの程度準備ができていますか?
したがって、セキュリティ実務者はKPIとKRIにも焦点を当てるべきです。
IT-セキュリティに関するその他の興味深い記事をお読みになりたいですか?私たちの無料ニュースレターは、セキュリティの意思決定者と専門家が知るべきすべてをあなたの受信箱に直接配信します。
5つのステップでサイバーセキュリティを測定する
適切な測定フレームワークの構築は、段階的で反復的なプロセスです。以下は、セキュリティ測定サイクルを構築するための5つの重要なステップです。
1. 要件を定義する
関連するステークホルダーと話し合い、彼らのニーズを定義して理解してください。このとき、彼らはIT-リスクまたは彼ら自身の要件について包括的な理解をまだ持っていないかもしれません。したがって、セキュリティ実務者には、ボトムアップアプローチが推奨されます。このアプローチでは、彼ら自身がイニシアチブを取り、質問を聞いて要件を定義できます。
2. 主要指標を選択する
ステークホルダーの要件が定義されたら、セキュリティ専門家はこれらに貢献する主要指標を選択する必要があります。この際、ステークホルダーに相談し、予定されている後の測定について知らせる必要があります。
ステークホルダーが主要指標を知っている場合、彼らは措置を講じるか決定を下すことができます。主要指標は高レベルにある必要があり、その数は管理可能なままである必要があります。結局のところ、目標は意思決定を容易にすることです。
3. メトリクスを特定する
目標と主要指標が設定されたら、セキュリティチームは指標を報告するのに役立つ低レベルの測定値に焦点を当てる必要があります。これは、指標の種類に応じて、上記の説明したさまざまな測定カテゴリから数十のメトリクスが必要になる場合があります。
4. メトリクスを収集および分析する
要件が確立され、主要指標が選択され、測定値が設定されたので、実務者はこれらに基づいてデータを収集および分析し始めることができます。メトリクスは、正確で、最新で、関連性があり、信頼できるデータからのみ導出される必要があります。そうでなければ、企業のセキュリティ状況に深刻な結果をもたらす決定につながる可能性があります。
セキュリティチームの役割は、データを継続的に収集する方法を見つけること(ほとんどの測定は時間にわたるトレンドの概要が必要)と、プロセスができるだけ自動化すること(手動プロセスは面倒で時間がかかる可能性があります)です。
5. 主要指標を報告する
主要指標は、意思決定者に適時に報告される必要があります。セキュリティ専門家とステークホルダーは、時間的なリズムに合意する必要があります。また、報告方法についても:ダッシュボードが必要ですか、それともパワーポイントプレゼンテーションで十分ですか?主要指標は、決定または措置につながるために、明確に見え、理解しやすい必要があります。
さらに、各報告サイクルの後に主要指標を確認し、それらを(ステークホルダーの関与のもと)再評価することが重要です。ビジネス要件が実際に変更された場合は、要件を再度定義し、別の指標と測定値のセットを作成する必要があります。
企業、ステークホルダー、およびセキュリティ専門家は、後退や前進の段階を恐れるべきではありません。迅速な失敗の後に直ちに進む、即興で対応する、または再調整する能力は、サイバーセキュリティを正常に測定する際の重要なスキルです。(fm)
翻訳元: https://www.csoonline.com/article/3495619/security-kpis-und-kris-so-messen-sie-cybersicherheit.html
