在訪談中,ArmorCode的首席安全與信任官Karthik Swarnam討論了衡量網(wǎng)絡(luò)安全ROI的關(guān)鍵指標(biāo)和KPI,分享了通過主動措施和與高管有效溝通來提升ROI的策略。
衡量網(wǎng)絡(luò)安全投資回報率的主要指標(biāo)和KPI是什么?
如今,網(wǎng)絡(luò)安全投資不僅僅是為了避免成本,而是為了獲得更廣泛的利益,這些指標(biāo)包括:
? 生產(chǎn)力:網(wǎng)絡(luò)安全措施可以顯著提高生產(chǎn)力,通過減少因安全漏洞導(dǎo)致的停機時間來提高運營效率和員工表現(xiàn),衡量這一點的一個具體指標(biāo)是事件發(fā)生后的平均控制時間(MTTC)。
? 安全態(tài)勢:通過跟蹤實施安全措施前后的漏洞數(shù)量和嚴重程度,可以量化企業(yè)的整體安全態(tài)勢,一個關(guān)鍵指標(biāo)是減少修復(fù)活動的同時保持或提高安全態(tài)勢,這可以通過節(jié)省的工作時間或努力來衡量,傳統(tǒng)的衡量指標(biāo)包括檢測到的事件數(shù)量、平均檢測時間(MTTD)、平均響應(yīng)時間(MTTR)和補丁管理(部署修復(fù)的平均時間),安全意識培訓(xùn)和衡量釣魚攻擊成功率也很重要。
? 網(wǎng)絡(luò)保險費:有效的網(wǎng)絡(luò)安全策略可以降低網(wǎng)絡(luò)保險費,反映出企業(yè)的風(fēng)險狀況降低。
? 上市時間:安全開發(fā)實踐,如將安全評估移到軟件開發(fā)生命周期的早期階段,可以減少新產(chǎn)品和服務(wù)的上市時間,下一代安全計劃應(yīng)該能夠衡量這一屬性。
? 風(fēng)險緩解成本:評估風(fēng)險緩解策略的成本效益至關(guān)重要,這包括將各種安全措施的成本與安全事件的潛在損失進行比較,并將這一數(shù)據(jù)與補丁管理和已修復(fù)的漏洞數(shù)量聯(lián)系起來,現(xiàn)代計劃使企業(yè)能夠從風(fēng)險的角度優(yōu)先修復(fù)最重要的問題,總體而言,修復(fù)成本比事件成本更能反映企業(yè)的整體安全態(tài)勢。
? 工具優(yōu)化:通過利用治理層,企業(yè)可以消除冗余的安全工具,優(yōu)化其安全投資,對安全工具的持續(xù)評估確保只使用最相關(guān)的解決方案,年度安全支出應(yīng)與企業(yè)的有效性衡量標(biāo)準(zhǔn)一起考慮,并且該標(biāo)準(zhǔn)應(yīng)靈活適應(yīng)工具和應(yīng)用環(huán)境的特殊性——每項技術(shù)應(yīng)有三個可衡量的成功指標(biāo)。
? 客戶體驗:改進身份和訪問管理可以簡化用戶驗證步驟,通過減少憑證驗證相關(guān)的摩擦來提高客戶體驗。
? 網(wǎng)絡(luò)性能:增強網(wǎng)絡(luò)安全也可以改善網(wǎng)絡(luò)連接性和減少延遲,從而提高整體系統(tǒng)性能并阻止惡意攻擊。
? 數(shù)據(jù)保護:實施強有力的安全控制措施可以最大限度地降低數(shù)據(jù)泄露的風(fēng)險和影響,通過監(jiān)控數(shù)據(jù)丟失防護(DLP)違規(guī)行為并響應(yīng)警報來保護企業(yè)免受數(shù)據(jù)丟失的嚴重后果。
什么樣的主動投資策略可以在企業(yè)網(wǎng)絡(luò)安全中帶來更高的ROI?
在網(wǎng)絡(luò)安全中,主動投資策略通過預(yù)防事故發(fā)生和優(yōu)化安全操作可以顯著提高投資回報率,關(guān)鍵策略包括:
? 推進左移安全:投資于早期的安全評估和漏洞識別,可以在問題變得嚴重之前就減輕風(fēng)險,這種方法確保從開發(fā)過程一開始就集成了安全性。
? 利用安全態(tài)勢管理:實施應(yīng)用安全態(tài)勢管理(ASPM)等解決方案,有助于識別和優(yōu)先處理對企業(yè)最重要的風(fēng)險,而不是不加區(qū)分地處理所有漏洞。
? 部署治理工具:部署治理工具可以為特定員工群體(如開發(fā)人員)提供量身定制的培訓(xùn),而不是一刀切的方法,這種有針對性的培訓(xùn)提高了安全措施的有效性并降低了成本。
? 最大化工具優(yōu)化:企業(yè)經(jīng)常積累過多的安全工具,導(dǎo)致重復(fù)和效率降低,簡化、整合和優(yōu)化安全工具可以帶來顯著的成本節(jié)約和改進的安全成果,例如,將治理、風(fēng)險和合規(guī)(GRC)與漏洞管理集成到一個平臺中,可以簡化操作并減少冗余。
向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資ROI的最佳實踐是什么?
向高管領(lǐng)導(dǎo)和利益相關(guān)者展示網(wǎng)絡(luò)安全投資的ROI需要清晰、基于指標(biāo)的溝通。最佳實踐包括:
? 基于指標(biāo)的方法:使用具體、可量化的指標(biāo)展示安全態(tài)勢和運營效率的改善,例如,強調(diào)漏洞修復(fù)時間的減少、事件響應(yīng)成本的下降和合規(guī)率的提高。
? 與業(yè)務(wù)對齊的安全性:展示網(wǎng)絡(luò)安全措施如何與業(yè)務(wù)目標(biāo)對齊并支持業(yè)務(wù)目標(biāo),這包括更快的產(chǎn)品交付、縮短的上市時間和提高的客戶滿意度。
? 以風(fēng)險為中心的報告:強調(diào)專注于最關(guān)鍵的業(yè)務(wù)特定風(fēng)險如何帶來更好的資源分配和減少不必要的修復(fù)工作。
? 工具優(yōu)化的好處:展示通過優(yōu)化安全工具和消除重復(fù)帶來的成本節(jié)約和效率提升。
集成先進技術(shù)如AI和機器學(xué)習(xí)對網(wǎng)絡(luò)安全ROI有何影響?
集成先進技術(shù)如AI和機器學(xué)習(xí)可以通過動態(tài)優(yōu)化安全解決方案深刻影響網(wǎng)絡(luò)安全ROI,使企業(yè)能夠?qū)崟r適應(yīng)不斷變化的威脅,這些技術(shù)增強了威脅檢測能力,比傳統(tǒng)方法更快、更準(zhǔn)確地識別和響應(yīng)威脅,從而減少安全事件的可能性和影響。
此外,AI驅(qū)動的自動化簡化了安全操作,減少了對人工干預(yù)的需求,并釋放資源用于更具戰(zhàn)略性的活動,這種動態(tài)威脅管理、有效響應(yīng)能力和操作自動化的結(jié)合,顯著提升了網(wǎng)絡(luò)安全投資的整體效益和成本效率。
你會給希望提高其企業(yè)網(wǎng)絡(luò)安全投資回報率的安全專業(yè)人士哪些建議?
為了提高網(wǎng)絡(luò)安全投資回報率,安全專業(yè)人士應(yīng)該:
? 建立清晰的指標(biāo):在身份和訪問管理、風(fēng)險修復(fù)、軟件開發(fā)、數(shù)據(jù)丟失防護和消息安全等各個領(lǐng)域定義并衡量關(guān)鍵指標(biāo)。
? 開發(fā)相關(guān)措施:確保所使用的指標(biāo)與企業(yè)的具體背景和目標(biāo)相關(guān)且有意義。
? 設(shè)定安全容忍度:建立可接受的風(fēng)險水平,并將這些作為評估安全性能的基準(zhǔn)。
? 定期報告:定期生成安全測量和報告,以保持可見性和問責(zé)性,這有助于持續(xù)跟蹤進展并根據(jù)需要對安全策略進行知情調(diào)整。
通過優(yōu)先考慮以上措施,企業(yè)可以展示其網(wǎng)絡(luò)安全投資的價值,并通過改進的安全性和運營效率獲得更高的投資回報。