Gezien het huidige financiële klimaat, kunnen cyberbeveiligingsbudgetten worden herzien, samen met alle andere uitgaven, en in sommige gevallen op het hakblok. Een van de beste manieren voor beveiligingsleiders om hun programma voor beveiligingsactiviteiten te beschermen, is ervoor te zorgen afstemmen op de zakelijke prioriteiten van hun uitvoerende teams en besturen. Een belangrijk onderdeel hiervan is het verstrekken van statistieken die de effectiviteit van het programma aantonen. Metriek ontwikkelen voor uw beveiligingsactiviteiten stelt uw belanghebbenden in staat om de huidige status van het programma te volgen, evenals hoe het programma de zakelijke doelstellingen ondersteunt.
Het beveiligingscentrum is een bedrijfskritische functie, maar het meten van de effectiviteit van het SOC is niet eenvoudig. Organisaties kunnen kiezen uit een groot aantal verschillende benaderingen. Snelheid van reageren bij beveiligingsoperaties is een belangrijk aspect en kan het verschil maken tussen een snel onder controle gebracht compromis en een catastrofale datalek.
Begin daarom met basisstatistieken zoals gemiddelde tijd om te detecteren (MTTD) en Mean Time to Response (MTTR) stellen zowel u als uw belanghebbenden in staat om meer inzicht te krijgen in de operaties, betere investeringsbeslissingen te nemen en waarde aan te tonen aan het uitvoerend leiderschap en de raad van bestuur.
Verbeter uw effectiviteit
Het belangrijkste doel van een programma voor veerkrachtige beveiligingsoperaties zou het verlagen van een organisatie moeten zijn's MTTD en MTTR om eventuele schade van een cyberincident aan uw organisatie te beperken.
MTTD meet de hoeveelheid tijd die nodig is om een potentiële beveiligingsdreiging te ontdekken. Deze statistiek helpt u de effectiviteit van uw organisatie te begrijpen's beveiligingsoperaties en uw team's snelheid en vermogen om een dreiging te herkennen. Het doel is daarom om deze statistiek zo laag mogelijk te houden om de impact van een compromis op uw organisatie te verminderen.
Ondertussen helpt MTTR u de tijd te meten die nodig is om op een dreiging te reageren zodra deze is gedetecteerd. Een hogere responstijd geeft aan dat een compromis kan leiden tot een schadelijk datalek. Het doel is om uw reactie te versnellen en uw risico te verkleinen, net als bij MTTD.
Zowel MTTD als MTTR zijn belangrijke statistieken om uw team te meten en te verbeteren's capaciteiten aangezien het van cruciaal belang is om de effectiviteit van uw team als uw organisatie te volgen's volwassenheid groeit. Zoals bij elke fundamentele bedrijfsvoering, moet u, om uw organisatie volwassen te maken, de operationele effectiviteit meten om te bepalen of uw organisatie haar KPI's en SLA's bereikt.
Naast MTTD en MTTR zijn er andere statistieken die u moet controleren om ervoor te zorgen dat u de operationele effectiviteit effectief meet en communiceert.
Zorgen voor succes van beveiligingsoperaties
Hier zijn de zeven statistieken die u moet meten om te helpen zien waar uw programma voor beveiligingsoperaties mogelijk moet worden verbeterd.
Alarmtijd tot triage (TTT): Meet het team'het vermogen om een alarm dringend te inspecteren. Het helpt u in realtime inzicht te krijgen in het reactieniveau op bedreigingen. Dit kan erop duiden dat uw team mogelijk extra personeel nodig heeft om de monitoringfocus te verkleinen of dat u voldoende personeel heeft om een grotere monitoringslast op zich te nemen.
Alarmtijd om in aanmerking te komen (TTQ): Meet en geeft aan hoe lang het duurt voordat een alarm volledig is onderzocht en gekwalificeerd. TTQ helpt je blokkades op te sporen en je team te begrijpen's reikwijdte als het gaat om het kwalificeren van bedreigingen.
Dreigingstijd om te onderzoeken (TTI): Meet en geeft het aantal uren aan dat nodig is om een gekwalificeerde dreiging grondig te onderzoeken. Het stelt u in staat knelpunten te identificeren en uw team te begrijpen's mogelijkheden bij het op een efficiënte manier onderzoeken van bedreigingen.
Tijd om te mitigeren (TTM): Meet de tijd die nodig is om een incident te beperken en het onmiddellijke bedrijfsrisico aan te pakken. TTM helpt u te begrijpen hoe snel uw team het probleem kan oplossen om een actieve dreiging te stoppen of te belemmeren.
Tijd om te herstellen (TTV): Meet de hoeveelheid tijd die nodig is om volledig te herstellen van een incident. Door TTV te meten, kunt u erachter komen hoe snel uw beveiligingsteam en andere betrokkenen de activiteiten volledig kunnen herstellen naar normaal. Ook kunnen knelpunten in de bedrijfsvoering en samenwerking worden gevonden.
Incident tijd om te detecteren (TTD): Meet de tijd die nodig is om te bevestigen dat een Incident in eerste instantie is gedetecteerd en uiteindelijk is gekwalificeerd. TTD is een cruciale indicator van de effectiviteit van beveiligingsoperaties, omdat het de tijd laat zien die nodig is om bedreigingen te identificeren die daadwerkelijk tot incidenten hebben geleid.
Incidenttijd tot respons (TTR): Meet de tijdsduur die nodig is om een bevestigd Incident volledig te onderzoeken en te beperken. TTR is een essentiële maatstaf voor de effectiviteit van beveiligingsoperaties, aangezien het de tijd weergeeft die nodig is om bedreigingen die tot een incident hebben geleid te analyseren en te verminderen.
Metrics zijn ontworpen om inzicht te geven in informatie over de effectiviteit, prestaties en aansprakelijkheid van uw beveiligingsprogramma door middel van het verzamelen, analyseren en rapporteren van gegevens. Ze geven u ook de mogelijkheid om knelpunten in het proces aan het licht te brengen en te identificeren waar tools of processen moeten worden herwerkt. Alle bedrijfsprocessen moeten worden gemeten om te verbeteren, en beveiligingsoperaties zijn in dit opzicht niet anders. Het aantonen van effectiviteit door middel van statistieken is een noodzakelijk element om waarde te tonen aan het bredere bedrijf.
