Бордовете на директорите не се интересуват от дребните технически подробности на програмата за сигурност. Те искат да видят как се проследяват и използват ключовите показатели за ефективност.

След като Комисията по ценните книжа и фондовите борси на САЩ изисква от ръководителите на CISO и бордовете на директорите да повишат нивото на прозрачност по отношение на възможностите за киберсигурност на своите организации и да ускорят разкриването на информация за пробиви пред инвеститорите, отчитането на киберсигурността и метриките станаха още по-голям приоритет за компаниите през тази година.

Бордовете на директорите обръщат внимание на своите ръководители по сигурността и риска да въведат много по-голяма строгост в начина, по който проследяват ключовите показатели за ефективност (KPI) и ключовите показатели за риск (KRI) – и как използват тези показатели, за да съветват и докладват на борда. Основни за ключовите показатели за ефективност и ключовите рискови индикатори са оперативните показатели за сигурност, които проследяват обхвата на активите, дейностите по киберсигурност около тези активи и измерените резултати в областта на сигурността.

„Екипите по сигурността използват оперативни метрики, за да проследяват и отчитат дейностите и резултатите в областта на киберсигурността“, обяснява „The Cyber Savvy Boardroom“ – неотдавнашен учебник, публикуван от двойка дългогодишни лидери в областта на киберриска, за да помогне на директорите и изпълнителните лидери да се ориентират в киберпроблемите. „Когато се споделят с комисиите по риска или одита към съвета на директорите, тези ключови показатели за ефективност осветляват възможностите на организацията за киберсигурност и ефективността на киберконтрола, като същевременно помагат на съвета на директорите да оцени адекватността на инвестициите в технологии и таланти.“

В съавторство с Хомайра Акбари, главен изпълнителен директор на глобалната консултантска фирма AKnowledge Partners, и Шамла Найду, ръководител на облачната стратегия на Netskope, книгата обхваща много теми, но някои от най-важните части на учебника се фокусират върху показателите. Тук Dark Reading обобщава и прави извадки от томчето, за да представи най-често срещаните метрики, които според Акбари и Найду са от решаващо значение за CISO да следят и споделят с борда, за да докладват за нивата на риска и ефективността на сигурността.

Уточнението, разбира се, е, че лидерите в областта на сигурността трябва да могат да обобщават тези показатели в лесни за възприемане оценки и информационни табла. Както е обяснено в учебника, метриките, описани подробно във всяка категория, създават модел, подкрепен с данни, за определяне на ефикасността на програмата на организацията и идентифициране на пропуските в защитата.

„Заключенията от тези оценки трябва да се обобщят в няколко общи оценки и да се включат в таблото за управление на киберсигурността на компанията“, обясняват Акбари и Найду.

Данни

Тези показатели трябва да обхващат риска около активите с данни и да проследяват изпълнението на ключовите мерки за защита на данните, устойчивостта и непрекъснатостта. Някои от показателите, които Акбари и Найду съветват CISO да проследяват в тази категория, включват:

• % централизирани данни
• % криптирани данни
• честота на архивиране
• Скорост на възстановяване на данни
• % информация за служители/клиенти/потребители в тъмната мрежа
• Дълбочина на сегментиране на езерото от данни

Финансови активи

Рисковете и загубите на финансови активи са включени в тази група показатели, които трябва да дадат измеримо усещане за финансовите последици от последните нарушения. Някои показатели, които авторите предлагат да се проследяват (въз основа на последните тримесечия или за последната година), включват:

• Стойност на действително загубените пари/крипто директно
• Стойност на загубите на пари или производителност под формата на рансъмуер
• Обем на изтеклите финансови данни (сметки, кредитни карти, точки за лоялност, данни за онлайн банкиране)

Въпреки че не са изрично изброени, данните за финансовите загуби от компрометиране на бизнес електронна поща (BEC) и непреките разходи за реакция при пробив също биха били ценни за проследяване.

Хора

Независимо дали става дума за жертва на фишинг или BEC атаки, за излагане на данни поради неспазване на правилата или за излагане на системите на риск по други начини, хората обикновено са най-голямата уязвимост на предприятието. Въпреки че може да е трудно да се измери ефективността на обучението за повишаване на осведомеността за сигурността, има някои добри показатели за получаване на обща представа за това колко добре хората в организацията спазват най-добрите практики и политики за сигурност. Авторите предлагат следните показатели в тази категория:

• % кликвания върху фишинг имейли
• % докладвани подозрителни имейли
• хакнати пароли
• Привилегировани акаунти спрямо общия брой акаунти
• % служители, които преместват данни/файлове извън предприятието

Други показатели, които не са пряко споменати, но все пак са от значение, включват резултати от фишинг симулации, резултати от оценка на знанията и данни за поведението или акаунтите на високорискови лица.

Доставчици

Тъй като управлението на риска от трети страни и сигурността на цифровата верига за доставки са на преден план в съзнанието на много ръководители след събития като SolarWinds, управителните съвети ще искат да бъдат информирани за рисковете и нивата на изпълнение на операциите по сигурността, свързани с доставчиците. Акбари и Найду смятат, че CISO ще направят добре, ако държат бизнеса в течение на тенденциозните данни и метрики:

• самосертифициране на състоянието на киберсигурността на трети страни
• Външно оценяване в сравнение с колеги и индустрията
• Непрекъснато наблюдение на състоянието на трети и четвърти страни
• Съответствие с изискванията на външния одит
• резултати от тестове за проникване (от доставчици)

Данните за доставчиците вероятно ще се припокриват в голяма степен с метриките за корпоративните приложения (вж. по-долу), тъй като екипите за сигурност на приложенията започват да разглеждат риска по веригата за доставка на софтуер, включително рисковите зависимости от кода и компонентите на трети страни.

Инфраструктура

Независимо дали са локални или в облака, експозициите на ИТ инфраструктурата и способностите за сигурност при намаляване на рисковете в мрежата и хардуерните активи трябва да се наблюдават и измерват по подходящ начин. Някои оперативни данни, които авторите предлагат в тази категория, включват метрики около:

• брой сървъри/хардуер, чийто живот наближава края си
• сигурни конфигурации на всички активи
• дълбочина на сегментиране на мрежата/инфраструктурата
• Ниво на автоматизация на инвентаризацията и контрола на хардуерните активи
• сканиране на уязвимостите
• Дълбочина на внедряване на архитектура на нулево доверие: идентичност, устройство, достъп, услуги

Устройства, управлявани от потребителя

CISO трябва да могат да дадат на членовете на управителния съвет представа за нивото на контрол, което техните организации имат върху сенчестите ИТ и други контролирани от потребителите устройства, работещи в мрежата. Акбари и Найду казват, че следните общи показатели трябва да бъдат в полезрението:

• Брой неидентифицирани устройства в мрежата
• Брой устройства с непоправен софтуер
• Процент на фалшивите положителни резултати
• Брой на заплахите, открити и предотвратени от решението за крайни точки

Нови технологии: IoT

Обхватът и мащабът на устройствата от интернет на нещата (IoT) откриха значителен риск за предприятията през последното десетилетие. Авторите предлагат на CISO да предоставят някои показатели за риска около тях, включително:

• Брой на неактуализираните или подлежащи на поправка IoT устройства
• Брой на портовете на IoT, които се свързват с мрежите на предприятието
• Дълбочина на сегментиране на IoT от ресурсите на предприятието

Макар че в момента фокусът е върху IoT, същият подход може да работи за всички нововъзникващи технологии. Например, AI може да включва показатели за използването на AI и – с някои нововъзникващи инструменти за сигурност на AI – нива на излагане на риск от използването на AI в организацията.

Приложения за предприятия

Независимо дали става въпрос за търговски софтуер или за вътрешно разработени приложения, днес приложенията представляват едни от най-големите повърхности за атаки в предприятието. Акбари и Найду предлагат няколко общи показатели, с които управителните съвети трябва да се запознаят:

• Известни уязвимости на отворения софтуер
• неизпълнени софтуерни кръпки
• Брой софтуерни уязвимости от типа „нулев ден

Не липсват и допълнителни данни и показатели за сигурността на приложенията, които могат да помогнат за проследяване на ефективността и нивата на риск в портфейлите от приложения. Обмислете включването на данни като процент на автоматизиран спрямо ръчен преглед на кода, време за отстраняване на критични уязвимости, процент на отворени критични уязвимости и метрики, които добавят контекст за възможността за експлоатация или бизнес стойността на активите с известни критични недостатъци.

Тестване на сигурността

Валидирането и тестването на сигурността е важна част от програмата за сигурност, така че CISO трябва да са длъжни да проследяват не само резултатите от тестовете за сигурност, но и скоростта, с която извършват тестването. Някои показатели, които попадат в тази категория, според Акбари и Найду, са:

• Тестване за проникване (червено, синьо)
• Независими външни рейтинги за сигурност в сравнение с колегите и индустрията
• Доклад на вътрешния/външния одитор за съответствие с нормативните изисквания и кибернетичните изисквания
• Резултати и открития при тестване на приложения и други тестове

Откриване на инциденти и реакция

Съветите на директорите ще се интересуват много от способността на екипа по сигурността да открива и реагира на инциденти. Акбари и Найду препоръчват някои от следните общи оперативни показатели за проследяване на това:

• – Обем и % на действителните инциденти спрямо опитите за проникване
• – Средно време за откриване
• – Средно време за овладяване
• – Средно време за отстраняване/решаване на проблема
• – Резултати и открития на червения екип

Освен това CISO могат да се възползват от предлагането на показатели и резултати от настолни упражнения и симулации на атаки, ако това са дейности, с които се занимават.