首席信息安全官如何利用平衡计分卡方法

阿伦Mamgai
作者: 阿伦Mamgai
发表日期: 2024年2月1日

网络犯罪分子继续使用复杂的工具和采用新的入侵方法攻击澳门赌场官方下载. 2022年,全球网络攻击增加了32%1 据估计,网络犯罪的成本将增长到10美元.到2025年达到5万亿美元.2 这些统计数据已成为世界各地董事会讨论的话题, 首席信息安全官(ciso)应参与并提供相应的网络安全准备情况更新.

同时, 组织正在寻求利用技术为客户提供增强的体验. 数字化转型是许多首席执行官最关心的问题, ciso在这一转型中扮演着至关重要的角色,因为没有安全的转型通常会给澳门赌场官方下载带来比没有转型更大的伤害. 勒索软件的威胁是真实存在的,并且可能会对CISO的行动与业务优先级不一致的组织造成重大损害. 像这样, 首席信息安全官(及其团队)必须采取全面行动,保护澳门赌场官方下载资产免受恶意网络攻击者和日益增长的网络威胁的侵害.

由于恶意软件活动的演变,网络安全实践薄弱的组织面临更大的风险, 暴力攻击, 漏洞利用. 澳门赌场官方下载需要一个战略规划工具,使他们能够主动保护他们的资产免受不可预见的威胁. 这就是基于平衡计分卡的工具能够发挥作用的地方.3

平衡计分卡(BSC)4 组织是否使用计划和管理工具来阐明预期的目标, 将日常活动与澳门赌场官方下载战略结合起来, 确定项目和行动的优先级, 并根据澳门赌场官方下载目标衡量和监视成功. 美国商业理论家戴维. 诺顿和美国作家罗伯特·卡普兰于1992年引入了这一概念,以帮助识别, 改善, 并通过衡量财务和非财务指标来控制业务成果.5

平衡记分卡将4种不同的视角结合在一起(财务, 客户, 内部流程, 创新和学习)6 监控和衡量每个类别的成功,并根据澳门赌场官方下载目标确定其绩效;

  • 金融 透视法衡量投资回报率(ROI),并用于管理运行操作(如业务)所涉及的财务风险.g.、整体盈利能力、网络安全团队投资回报率).
  • 客户 视角衡量提供给客户(或内部利益相关者)的价值,并通过保护客户的数据隐私来帮助建立信任. 增加对组织数据安全方法的信心有助于培养客户忠诚度.
  • 内部流程 视角衡量网络安全团队的质量和效率,并确定其为客户提供服务的程度.g.,团队检测和解决恶意软件的速度?)
  • 创新与学习 视角包括人力资本, 资产, 技术, 文化, 以及其他能力,这些都是突破性表现的关键. 这决定了如何利用信息来帮助员工在没有任何挑战的情况下提供最好的服务.g.(确定完成网络安全培训的员工比例).

并不是所有的网络安全团队都能够适应统一的战略或计划, 不像其他部门. 在这些情况下, 网络团队可能会使用不同的技术和数据源来保护他们的资产, 导致形成统一视图的延迟. 此外,有偏见和过时的数据(如.g., 假阳性或阴性)不能提供对数据表示的多少信心,并且不断扩展的攻击面使得难以详尽地覆盖所有场景. 随着网络安全变得更容易获取, 首席信息安全官和网络安全团队必须采用平衡计分卡方法来计划和报告其成功与更广泛的业务目标相一致. 实施平衡计分卡方法可以从制定网络安全策略图(图1).

图1网络安全战略图
网络安全战略地图

基于平衡计分卡的网络安全战略地图可以降低业务风险, 提高生产率, 增强客户信任, 并帮助澳门赌场官方下载在不担心数据泄露的情况下成长. 网络安全团队并不总是对业务有一个完整的看法,可能不知道哪些指标是重要的. 另外, 对于安全专业人员来说,多源数据收集和协作通常具有挑战性,因为他们需要从多个内部安全工具中提取数据,以识别模式和异常情况. 网络安全团队可能不知道应该优先考虑哪些安全风险,并且可能缺乏衡量与业务目标和结果一致的成功的能力.

基于平衡计分卡的网络安全战略地图可以降低业务风险, 提高生产率, 增强客户信任, 并帮助澳门赌场官方下载在不担心数据泄露的情况下成长.

为网络安全团队确定关键绩效指标(kpi)以使其活动与组织优先级保持一致是有价值的. 主要金融, 客户, 内部, 创新和学习指标可以作为定向输入(图2). 根据澳门赌场官方下载的业务优先级和当前成熟度状态,kpi可能因澳门赌场官方下载而异, 但以下内容可以为这一关键旅程提供一个起点.

图2网络安全团队的平衡计分卡

金融 客户
  • 数据泄露事件的成本(包括罚款/赔偿)
  • 数据泄露的直接成本(i.e.、勒索软件攻击)
  • 客户流失成本
  • 失去的机会成本
  • 风险量化评分
  • 网络安全团队的ROI
  • 受影响的客户数据量
  • 违反法规的次数(e.g., 支付卡行业数据安全标准[PCI-DSS], 欧盟一般资料保护规例, 美国健康保险流通与责任法案(HIPAA)
  • 客户满意度(CSAT)数据保护分数
  • 过去12个月的入侵次数
  • 受反恶意软件解决方案保护的端点系统数量
内部 创新与学习
  • 每年渗透测试和审计的次数
  • 发现漏洞的平均时间
  • 平均恢复时间(MTTR)
  • 运行未经批准软件的设备数量
  • 具有管理员(admin)/提升权限的帐户数
  • 网络中未管理/未知设备的数量
  • 已知漏洞的数量(高、中、低)
  • 接受过网络安全培训的员工人数
  • 有权访问敏感数据的员工数量
  • 网络钓鱼测试成功率
  • 注册到身份和访问管理(IAM)的用户数量
  • 手动或自动修补覆盖的数量
  • 本地数据量与云中的数据量
  • 遵守零信任或多因素身份验证(MFA)原则的设备数量
  • 利用人工智能(AI)加速安全防御程度

考虑一个例子. 美国农业部(USDA)农场服务局成功开发了一种网络安全记分卡,以使其活动与其使命保持一致,并降低整体风险.7 确定哪些kpi滞后有助于该机构确定导致风险的问题, 而领先的kpi提供了对潜在风险的洞察. 美国农业部农业服务局的记分卡是一种积极主动的战略方法,可以解决当前的脆弱性, 预计, 并降低潜在风险, 确保弹性网络安全框架与其使命和组织目标保持一致.

结论

基于平衡计分卡的方法使ciso及其团队能够专注于最重要的问题. 它根据业务优先级推荐活动,并提供安全状态分析的路径, 数据聚合和关联, 自动化和基于人工智能的国防政策的实施, 和MFA,以避免单一的漏洞来源. 这将文化转变为关注结果而不是指标,并有助于提供收集指标的简单途径,并确保对其准确性的信心.

尾注

1 检查点研究小组"Check Point Research报告称,2022年全球网络攻击将增加38%,”Check Point Software Technologies, 2023年1月5日
2 摩根,年代.; 2022年官方网络犯罪报告,网络安全风险投资,2022
3 饶,M.; “CISO转型与运营平衡计分卡:引领现代网络安全格局,《澳门赌场官方下载》,2023年7月26日
4 平衡计分卡协会"平衡计分卡基础s”
5 塔沃,E.; “什么是平衡计分卡(BSC),它如何在商业中使用?,《澳门赌场官方下载》,2023年3月10日
6 Savkin,.; “金融的角度. 估计数据安全的财务影响平衡计分卡设计师
7 瓦格纳,J.; “开发网络安全记分卡,农场服务机构美国

阿伦Mamgai

拥有超过18年的云原生网络安全经验, 应用程序现代化, 开源安全供应链, 人工智能/机器学习(ML), 以及数字化转型(包括平衡计分卡), 数据管理, 和数字营销),并与各行各业的财富1000强客户合作. 他发表了许多文章,强调了在网络安全和安全开发现代云应用程序中使用生成人工智能. 他曾受邀在一流学校就数字化转型和联网车辆中的应用级攻击等主题发表演讲,并担任科技行业最负盛名奖项之一的评委. 他还指导了多家初创澳门赌场官方下载,并积极参与一家非营利机构,该机构旨在帮助中学女生成为未来的科技领袖.

额外的资源