I lyset af det nuværende økonomiske klima kan cybersikkerhedsbudgetter være under revision sammen med alle andre udgifter og i nogle tilfælde på hugget. En af de bedste måder for sikkerhedsledere at beskytte deres sikkerhedsoperationsprogram på er at sikre overensstemmelse med virksomhedens prioriteter af deres ledelsesteam og bestyrelser. En vigtig del af dette er at levere målinger, der viser programmets effektivitet. Udvikling af metrics for dine sikkerhedsoperationer vil give dine interessenter mulighed for at spore den aktuelle tilstand af programmet, samt hvordan programmet understøtter forretningsmålene.
Sikkerhedsdriftscentret er en forretningskritisk funktion, men det er ikke nemt at måle effektiviteten af SOC. Organisationer kan vælge mellem en lang række forskellige tilgange. Reaktionshastigheden i sikkerhedsoperationer er et vigtigt aspekt og kan gøre hele forskellen mellem et kompromis, der hurtigt er indeholdt, og et katastrofalt databrud.
Start derfor med grundlæggende metrics som f.eks betyder tid til at opdage (MTTD) og mean time to respond (MTTR) vil gøre det muligt for både dig og dine interessenter at få større indsigt i driften og til at træffe bedre investeringsbeslutninger samt demonstrere værdi for den øverste ledelse og bestyrelse.
Forbedre din effektivitet
Hovedformålet med et robust sikkerhedsoperationsprogram bør være at sænke en organisation's MTTD og MTTR for at begrænse enhver skade forårsaget af en cyberhændelse på din organisation.
MTTD måler den tid, det tager at opdage en potentiel sikkerhedstrussel. Denne metric hjælper dig med at forstå effektiviteten af din organisation's sikkerhedsoperationer og dit team's hurtighed og evne til at genkende en trussel. Derfor er målet at holde denne metric så lav som muligt for at reducere indvirkningen af et kompromis på din organisation.
I mellemtiden hjælper MTTR dig med at måle den tid, det tager at reagere på en trussel, når den først er opdaget. En højere svartid indikerer, at et kompromis kan føre til et skadeligt databrud. Målet er at fremskynde dit svar og mindske din risiko, ligesom MTTD.
Både MTTD og MTTR er nøglemålinger til at måle og forbedre dit team's evner, da det er afgørende at spore effektiviteten af dit team som din organisation's modenhed vokser. Som enhver grundlæggende forretningsdrift bør du for at modne din organisation måle operationel effektivitet for at afgøre, om din organisation når sine KPI'er og SLA'er.
Ud over MTTD og MTTR er der andre målinger, du bør overvåge for at sikre, at du effektivt måler og kommunikerer operationel effektivitet.
Sikring af succes med sikkerhedsoperationer
Her er de syv målinger, du bør måle for at hjælpe med at se, hvor dit sikkerhedsdriftsprogram kan have brug for forbedringer.
Alarmtid til triage (TTT): Måler holdet's evne til hurtigt at inspicere en alarm. Det hjælper dig med at forstå niveauet af reaktion på trusler i realtid. Dette kan indikere, at dit team muligvis har brug for yderligere personale for at indsnævre sit overvågningsfokus, eller at du har nok personale til at påtage sig en større overvågningsbyrde.
Alarmtid for at kvalificere sig (TTQ): Måler og angiver, hvor lang tid det tager en alarm at være fuldt ud undersøgt og kvalificeret. TTQ hjælper dig med at spotte blokeringer og forstå dit team's omfang, når det kommer til kvalificerende trusler.
Trusseltid til efterforskning (TTI): Måler og angiver det antal timer, det tager at undersøge en kvalificeret trussel grundigt. Det giver dig mulighed for at identificere flaskehalse og forstå dit team's evner, når de undersøger trusler på en effektiv måde.
Tid til at afbøde (TTM): Måler den tid, det tager at afbøde en hændelse og adressere den umiddelbare forretningsrisiko. TTM hjælper dig med at forstå, hvor hurtigt dit team kan afhjælpe problemet for at stoppe eller forhindre en aktiv trussel.
Tid til at komme sig (TTV): Måler den tid, det tager at komme sig helt efter en hændelse. Måling af TTV hjælper dig med at finde ud af, hvor hurtigt dit sikkerhedsteam og andre involverede fuldstændigt kan genoprette driften tilbage til normal tilstand. Der kan også findes flaskehalse i drift og samarbejde.
Hændelsestid at detektere (TTD): Måler den tid, det tager at bekræfte, at en hændelse oprindeligt blev opdaget og i sidste ende kvalificeret. TTD er en afgørende indikator for sikkerhedsoperationers effektivitet, da den viser den tid, det tager at identificere trusler, der faktisk resulterede i hændelser.
Hændelsestid til respons (TTR): Måler varigheden af tid, det tager at undersøge fuldt ud og afbøde en bekræftet hændelse. TTR er et væsentligt mål for sikkerhedsoperationers effektivitet, da det viser den tid, det tager at analysere og afbøde trusler, der resulterede i en hændelse.
Metrics er designet til at give indsigt i information om dit sikkerhedsprograms effektivitet, ydeevne og ansvarlighed gennem indsamling, analyse og rapportering af data. De giver dig også mulighed for at synliggøre flaskehalse i processen samt identificere, hvor værktøjer eller processer skal omarbejdes. Alle forretningsprocesser skal måles for at blive bedre, og sikkerhedsoperationer er ikke anderledes i denne henseende. At demonstrere effektivitet gennem målinger er et nødvendigt element for at vise værdi for den bredere virksomhed.
