Gitt det nåværende økonomiske klimaet, kan cybersikkerhetsbudsjetter være under vurdering, sammen med alle andre utgifter, og i noen tilfeller på hakkeblokken. En av de beste måtene for sikkerhetsledere å beskytte sikkerhetsoperasjonsprogrammet på er å sikre samsvar med virksomhetens prioriteringer av deres ledergrupper og styrer. En viktig del av dette er å gi beregninger som viser effektiviteten til programmet. Utvikle beregninger for sikkerhetsoperasjonene dine vil tillate interessentene dine å spore den nåværende tilstanden til programmet, samt hvordan programmet støtter forretningsmålene.
Sikkerhetsoperasjonssenteret er en forretningskritisk funksjon, men det er ikke lett å måle effektiviteten til SOC. Organisasjoner kan velge mellom en rekke forskjellige tilnærminger. Reaksjonshastighet i sikkerhetsoperasjoner er et viktig aspekt og kan utgjøre hele forskjellen mellom et kompromiss som raskt blir begrenset og et katastrofalt datainnbrudd.
Start derfor med grunnleggende beregninger som f.eks betyr tid å oppdage (MTTD) og gjennomsnittlig tid til å svare (MTTR) vil gjøre både deg og dine interessenter i stand til å få større innsikt i driften, og å ta bedre investeringsbeslutninger, samt demonstrere verdi for den utøvende ledelsen og styret.
Forbedre effektiviteten din
Hovedmålet med et spenstig sikkerhetsoperasjonsprogram bør være å senke en organisasjon's MTTD og MTTR for å begrense eventuelle skader forårsaket av en cyberhendelse til organisasjonen din.
MTTD måler hvor lang tid det tar å oppdage en potensiell sikkerhetstrussel. Denne beregningen hjelper deg å forstå effektiviteten til organisasjonen din's sikkerhetsoperasjoner og teamet ditt's hastighet og evne til å gjenkjenne en trussel. Derfor er målet å holde denne beregningen så lav som mulig for å redusere virkningen av et kompromiss på organisasjonen din.
I mellomtiden hjelper MTTR deg med å måle tiden det tar å svare på en trussel når den er oppdaget. En høyere responstid indikerer at et kompromiss kan føre til et skadelig datainnbrudd. Målet er å fremskynde responsen din og redusere risikoen din, akkurat som MTTD.
Både MTTD og MTTR er nøkkelberegninger for å måle og forbedre teamet ditt's evner siden det er avgjørende å spore effektiviteten til teamet ditt som din organisasjon's modenhet vokser. Som enhver grunnleggende forretningsdrift, bør du for å modne organisasjonen din måle operasjonell effektivitet for å avgjøre om organisasjonen din når sine KPIer og SLAer.
I tillegg til MTTD og MTTR, er det andre beregninger du bør overvåke for å sikre at du effektivt måler og kommuniserer operasjonell effektivitet.
Sikre suksess for sikkerhetsoperasjoner
Her er de syv beregningene du bør måle for å hjelpe deg med å se hvor sikkerhetsoperasjonsprogrammet ditt kan trenge forbedringer.
Alarmtid til triage (TTT): Måler laget's evne til å raskt inspisere en alarm. Det hjelper deg å forstå nivået av respons på trusler i sanntid. Dette kan indikere at teamet ditt kan trenge ekstra personell for å begrense overvåkingsfokuset, eller at du har nok ansatte til å ta på seg en større overvåkingsbelastning.
Alarmtid for å kvalifisere seg (TTQ): Måler og indikerer hvor lang tid det tar en alarm å bli ferdig undersøkt og kvalifisert. TTQ hjelper deg med å oppdage blokkeringer og forstå teamet ditt's omfang når det gjelder kvalifiserende trusler.
Trusseltid å undersøke (TTI): Måler og angir antall timer det tar å undersøke en kvalifisert trussel grundig. Det lar deg identifisere flaskehalser og forstå teamet ditt's evner når de undersøker trusler på en effektiv måte.
Tid til å redusere (TTM): Måler hvor lang tid det tar å redusere en hendelse og håndtere den umiddelbare forretningsrisikoen. TTM hjelper deg å forstå hvor raskt teamet ditt kan redusere problemet for å stoppe eller hindre en aktiv trussel.
Tid til å bli frisk (TTV): Måler hvor lang tid det tar å komme seg helt etter en hendelse. Måling av TTV hjelper deg med å finne ut hvor raskt sikkerhetsteamet ditt og andre involverte kan gjenopprette driften helt tilbake til normaliteten. Flaskehalser i drift og samarbeid kan også finnes.
Hendelsestid å oppdage (TTD): Måler tiden det tar å bekrefte at en hendelse opprinnelig ble oppdaget og til slutt kvalifisert. TTD er en avgjørende indikator på effektiviteten av sikkerhetsoperasjoner ettersom den viser tiden det tar å identifisere trusler som faktisk resulterte i hendelser.
Hendelsestid til respons (TTR): Måler hvor lang tid det tar å undersøke og redusere en bekreftet hendelse. TTR er et viktig mål på effektiviteten av sikkerhetsoperasjoner, gitt at den viser tiden det tar å analysere og redusere trusler som resulterte i en hendelse.
Beregninger er utviklet for å gi innsikt i informasjon om sikkerhetsprogrammets effektivitet, ytelse og ansvarlighet gjennom innsamling, analyse og rapportering av data. De gir deg også muligheten til å synliggjøre flaskehalser i prosessen, samt identifisere hvor verktøy eller prosesser trenger omarbeiding. Alle forretningsprosesser må måles for å kunne forbedres, og sikkerhetsoperasjoner er ikke annerledes i denne forbindelse. Å demonstrere effektivitet gjennom beregninger er et nødvendig element for å vise verdi for den bredere virksomheten.
