Tekintettel a jelenlegi pénzügyi helyzetre, a kiberbiztonsági költségvetések felülvizsgálat alatt állhatnak, az összes többi kiadással együtt, és bizonyos esetekben a vágási blokk is. A biztonsági vezetők számára az egyik legjobb módja annak, hogy megvédjék biztonsági műveleti programjukat, hogy biztosítsák az üzleti prioritásokhoz való igazodás vezetői csapataik és igazgatóságaik. Ennek fontos része a program hatékonyságát demonstráló mutatók biztosítása. Mutatók fejlesztése Az Ön biztonsági műveletei lehetővé teszik az érdekelt felek számára, hogy nyomon kövessék a program aktuális állapotát, valamint azt, hogy a program hogyan támogatja az üzleti célkitűzéseket.
A biztonsági műveleti központ az üzlet szempontjából kritikus funkció, de az SOC hatékonyságának mérése nem egyszerű. A szervezetek sokféle megközelítés közül választhatnak. A biztonsági műveletek során a válaszadás sebessége az egyik fontos szempont, és minden különbséget jelenthet a gyorsan leküzdhető kompromisszum és a katasztrofális adatszivárgás között.
Ezért az alapvető mérőszámokkal kezdve, mint pl az észlelés ideje (MTD) és átlagos válaszidő (MTTR) lehetővé teszi, hogy Ön és érdekelt felei nagyobb betekintést nyerjenek a műveletekbe, és jobb befektetési döntéseket hozzanak, valamint értéket mutassanak be a vezetőség és az igazgatóság számára.
Javítsa hatékonyságát
A rugalmas biztonsági műveleti program fő célja a szervezet leépítése kell, hogy legyen"s MTTD és MTTR, hogy korlátozza a kiberincidensek által a szervezetben okozott károkat.
Az MTTD azt méri, hogy mennyi idő szükséges a potenciális biztonsági fenyegetés felfedezéséhez. Ez a mérőszám segít megérteni szervezete hatékonyságát"biztonsági műveletei és csapata"s sebessége és képessége a fenyegetés felismerésére. Ezért a cél az, hogy ezt a mutatót a lehető legalacsonyabb szinten tartsuk, hogy csökkentsük a kompromisszum hatását a szervezetre.
Eközben az MTTR segít mérni, hogy mennyi időbe telik a fenyegetésre való reagáláshoz, miután azt észlelték. A magasabb válaszidő azt jelzi, hogy a kompromisszum káros adatszivárgáshoz vezethet. A cél a válaszadás felgyorsítása és a kockázat csökkentése, akárcsak az MTTD.
Mind az MTTD, mind az MTTR kulcsfontosságú mérőszámok a csapat mérésére és fejlesztésére"s képességeit, mivel kulcsfontosságú a csapata, mint szervezete hatékonyságának nyomon követése"s érettsége nő. Mint minden alapvető üzleti tevékenységhez, szervezete érettebbé tételéhez mérnie kell a működési hatékonyságot annak meghatározására, hogy a szervezet eléri-e a KPI-t és az SLA-t.
Az MTTD-n és az MTTR-n kívül vannak más mérőszámok is, amelyeket figyelemmel kell kísérnie, hogy megbizonyosodjon arról, hogy hatékonyan méri és kommunikálja a működési hatékonyságot.
A biztonsági műveletek sikerének biztosítása
Íme az a hét mérőszám, amelyeket érdemes mérni, hogy megtudja, hol lehet szükség a biztonsági műveleti program fejlesztésére.
Riasztási idő a besorolásig (TTT): Méri a csapatot"s képes sürgősen megvizsgálni egy riasztást. Segít valós időben megérteni a fenyegetésekre adott válaszkészség szintjét. Ez arra utalhat, hogy csapatának további személyzetre lehet szüksége a megfigyelési fókusz szűkítéséhez, vagy hogy elegendő munkatársa van a nagyobb megfigyelési terhelés vállalásához.
A minősítéshez szükséges riasztási idő (TTQ): Méri és jelzi, hogy mennyi ideig tart a riasztás teljes körű kivizsgálása és minősítése. A TTQ segít felismerni az akadályokat és megérteni a csapatot"hatókörét, amikor a fenyegetések minősítéséről van szó.
A fenyegetés vizsgálatának ideje (TTI): Méri és jelzi, hogy hány óra szükséges egy minősített fenyegetés alapos kivizsgálásához. Lehetővé teszi a szűk keresztmetszetek azonosítását és a csapat megértését"s képességeit a fenyegetések hatékony kivizsgálásakor.
A mérsékléshez szükséges idő (TTM): Méri, hogy mennyi időbe telik egy esemény mérsékléséhez és az azonnali üzleti kockázat kezeléséhez. A TTM segít megérteni, hogy csapata milyen gyorsan tudja enyhíteni a problémát az aktív fenyegetés megállításához vagy megakadályozásához.
A felépülés ideje (TTV): Azt az időt méri, amely egy esemény utáni teljes felépüléshez szükséges. A TTV mérése segít kitalálni, hogy a biztonsági csapat és az érintettek milyen gyorsan tudják teljesen visszaállítani a működést a normál állapotba. Szűk keresztmetszetek a műveletekben és az együttműködésben is megtalálhatók.
Esemény észlelési ideje (TTD): Azt az időt méri, amely alatt meg kell győződni arról, hogy egy eseményt kezdetben észleltek, és végül minősítettek. A TTD a biztonsági műveletek hatékonyságának kulcsfontosságú mutatója, mivel megmutatja, hogy mennyi időbe telik a tényleges incidenseket okozó fenyegetések azonosításához.
A válaszadásig eltelt idő (TTR): Méri a megerősített incidens teljes kivizsgálásához és enyhítéséhez szükséges időt. A TTR a biztonsági műveletek hatékonyságának alapvető mérőszáma, mivel megmutatja, hogy mennyi idő szükséges az incidenst eredményező fenyegetések elemzéséhez és mérsékléséhez.
A mérőszámok célja, hogy betekintést nyújtsanak a biztonsági program hatékonyságáról, teljesítményéről és elszámoltathatóságáról az adatok gyűjtésén, elemzésén és jelentésén keresztül. Lehetővé teszik továbbá a folyamat szűk keresztmetszete feltárását, valamint annak meghatározását, hogy hol kell átdolgozni az eszközöket vagy folyamatokat. Minden üzleti folyamatot mérni kell a fejlődés érdekében, és a biztonsági műveletek sem különböznek ebben a tekintetben. A hatékonyság metrikákon keresztüli kimutatása elengedhetetlen eleme annak, hogy értéket mutassunk a szélesebb üzletág számára.