博客
14网络安全度量+ KPI必须在2021年跟踪

14网络安全度量+ KPI必须在2021年跟踪

摘要形状摘要形状

谈到保护时 敏感数据防止数据违规行为 and detecting 网络攻击,应遵循清单以跟踪您的努力。

关键绩效指标(KPI)是衡量网络安全计划成功的有效方法,并援助决策。 

根据 PWC.,只有22%的首席执行官认为其风险暴露数据足以形成决定。一个数字 - 令人惊讶的 - hasn'T发生在10年。这 EY全球信息安全调查 只有15%的组织支持这一点 信息安全 (Infosec)报告充分符合他们的期望。

为什么网络安全度量重要?

正如彼得·德鲁克所说的那样,测量的是什么,得到管理 - 和 网络安全 没有什么不同。如果可以的话'衡量您的安全工作,您赢了't know how you're tracking.

网络安全不是一次性事件。 网络威胁 不断发展,防止它们所需的过程和技术正在不断变化。您需要进行措施,以便经常评估您投入的保障措施的有效性。 

这有两个原因很重要:

  1. KPI的分析,关键风险指标(KRIS)和安全姿势提供了一种快照,您的安全团队如何随着时间的推移运作。帮助您更好地了解工作以及恶化的内容,改善了未来项目的决策。 
  2. 指标提供了您可以用来显示管理和董事会的定量信息,您可以采取保护和完整性 敏感信息 和信息技术资产严重。

报告和提供网络安全指标的背景是许多首席信息安全官员(Cisos)和首席信息官员(CIO)的重要组成部分,通过越来越多地在股东,监管和董事会层面报告的利益而导致。 

对于金融服务等行业的许多董事会成员,他们有信托或管理责任 网络安全风险 and protect 个人身份信息(PII).

这是由新的法规驱动的 格拉姆河流 - 软件行为NYDFS网络安全监管皮皮达 and CPS 234.。将其与其他数据保护法如GDPR一样, CCPA and LGPD. 安全管理成为每个组织的关键焦点。  

最好的IT安全专业人员使用指标来讲故事,特别是在向非技术同事提供报告时。 

14网络安全KPI跟踪

以下是您可以跟踪和呈现给您的利益相关者的清除指标的示例:

  1. 准备水平: 您网络上有多少个设备完全修补并最新达到约会? 漏洞扫描 and 漏洞管理 is one of the 20 CIS控制 这可以降低风险 漏洞利用.
  2. 内部网络上的未认定设备: 员工可以介绍 恶意软件 和其他网络风险当他们带入自己的设备时,可以配置不良的东西(IOT)设备,这就是为什么 网络入侵检测系统 是您组织的重要组成部分's security.  
  3. 入侵尝试: 有多少次坏演员试图获得未经授权的访问权限?
  4. 安全事件: 攻击者有多少次违反了信息资产或网络?
  5. 检测的平均时间(MTTD): 安全威胁不受表情多长时间? MTTD测量您的团队意识到多长时间 妥协指标 和其他安全威胁。 
  6. 平均若要解决(MTTR): 您的团队响应A的平均响应时间是什么?  网络攻击 一旦他们意识到了?衡量您的质量的衡量标准 事件响应计划 implementation. 
  7. 包含(MTTC)的平均时间: 确定识别需要多长时间 攻击向量?
  8. 第一方安全评级: 安全评级 通常是通过易于理解的分数对非技术同事传达指标的最简单方法。 Upguard为您的公司提供了一个简单的A-F字母等级,基于50多个标准,包括 网络安全网络钓鱼风险DNSSEC.电子邮件欺骗社会工程风险DMARC.中间人攻击的风险数据泄漏 and 漏洞。安全评级可以饲养到您的 网络安全风险评估过程 并帮助通知需要注意哪些信息安全指标。 
  9. 平均供应商安全评级: 组织的威胁景观超出了您的边框,您的安全性能指标必须这样做。这就是为什么 供应商风险管理 and a 强大的第三方风险管理框架 is required. UpGuard'S执行摘要报告可在过去的十二个月内,即时访问您的平均供应商评级,以及您的供应商评级分配。传统的供应商管理措施仅限于您的供应商安全评级的快照。经过 不断监控供应商风险,你可以大大减少你的 第三方 and 第四方风险.
  10. 修补韵律: 你的团队需要多长时间 实现安全补丁 或减轻高风险 CVE. - 漏洞?网络犯罪分子经常使用威胁情报工具并利用补丁发布和实施之间的滞后。一个很好的例子是普遍的成功 想哭, 一种 勒索制造器 电脑蠕虫。虽然Wannacry挖掘了一个 零天脆弱性 被称为EternalBlue,它很快被修补,但由于修补障碍差,无论如何,许多组织都跌倒了受害者。 
  11. 访问管理: 有多少用户具有管理权限? 访问控制 and 最不特权的原则 简单,成本高效的减少方法 特权升级攻击.
  12. 公司VS对等性能: 董事会级别报告的主题是您的组织的方式'■C网络安全性能与您行业的同行相比。此信息易于消化,视觉上吸引力和高度引人注目,使其成为董事会演示的最佳选择。 upguard.'S执行摘要报告允许您在过去12个月内轻松地对抗四个关键行业同行的安全性能。
  13. 供应商修补Cadence: 此指标涉及确定您的供应商具有多少风险以及尚未进行许多关键漏洞。 
  14. 供应商的平均时间响应安全事件: 安全事件是'T只是一个成功的网络攻击,送礼者的入侵企图可以将您的组织视为潜在目标。供应商响应事件的时间越长,您将遭受第三方数据泄露的机会越高。事实上,一些 最大的数据违规行为 是供应商管理不佳的结果。 

如何选择正确的网络安全度量

选择网络安全性KPI和KRI没有艰难和快速的规则。这些指标取决于您的行业,组织'S需求,法规,指南,最佳实践,最终,您和您的客户's appetite for risk. 

也就是说,您希望选择对任何人,甚至非技术利益相关者清楚的指标。如果您的非技术利益相关者可以是一个好的拇指'要了解他们,您需要选择新的指标或更好地解释它们。 

基准和行业比较是一种简单的方法,使得甚至可以理解复杂的度量。 

请记住,最重要的指标之一是成本。记住向执行团队和董事会提出展示的目标是制定一个简洁的观点,了解网络安全如何挽救组织金钱或产生额外收入。 

这应该是'太难了解了 平均数据泄露成本组织全球3.92亿美元和美国819万美元

在上面概述的指标之外, CIS控制 提供成本效益,优先安全控制列表。

Upguard如何自动化您的网络安全报告

upguard通过即时可见性地简化网络安全度量跟踪,以其重要的所有变量。从我们的执行摘要仪表板,可以立即生成所有网络安全度量的报告: 

Upguard执行摘要仪表板
Upguard执行摘要仪表板

Upguard是在内部和整个供应商网络内部和整个供应商网络中的数据违规预防和数据泄露修复的世界领导者。 点击这里 今天免费试用Upguard!

免费电子书

管理人员'管理网络风险指南

了解您作为执行高管的方式,可以管理对您组织的网络风险。
白色upguard徽标
管理人员'管理网络风险指南
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 01:53:26

最近发表