Med tanke på det nuvarande ekonomiska klimatet kan cybersäkerhetsbudgetar vara under översyn, tillsammans med alla andra utgifter, och, i vissa fall, på hugget. Ett av de bästa sätten för säkerhetsledare att skydda sitt säkerhetsprogram är att säkerställa överensstämmelse med företagens prioriteringar deras ledningsgrupper och styrelser. En viktig del av detta är att tillhandahålla statistik som visar programmets effektivitet. Utveckla mått för din säkerhetsverksamhet kommer att tillåta dina intressenter att spåra programmets aktuella status samt hur programmet stödjer affärsmålen.
Säkerhetsoperationscentret är en affärskritisk funktion, men det är inte lätt att mäta effektiviteten hos SOC. Organisationer kan välja mellan en mängd olika tillvägagångssätt. Svarshastigheten i säkerhetsoperationer är en viktig aspekt och kan göra hela skillnaden mellan en kompromiss som snabbt stoppas och ett katastrofalt dataintrång.
Börja därför med grundläggande mått som t.ex betyder tid att upptäcka (MTTD) och mean time to respond (MTTR) kommer att göra det möjligt för både dig och dina intressenter att få större insikt i verksamheten och att fatta bättre investeringsbeslut, samt visa värde för den verkställande ledningen och styrelsen.
Förbättra din effektivitet
Huvudsyftet med ett motståndskraftigt säkerhetsoperationsprogram bör vara att sänka en organisation's MTTD och MTTR för att begränsa eventuell skada som orsakas av en cyberincident till din organisation.
MTTD mäter hur lång tid det tar att upptäcka ett potentiellt säkerhetshot. Detta mått hjälper dig att förstå effektiviteten i din organisation's säkerhetsverksamhet och ditt team's snabbhet och förmåga att känna igen ett hot. Därför är målet att hålla detta mått så lågt som möjligt för att minska effekten av en kompromiss på din organisation.
Samtidigt hjälper MTTR dig att mäta den tid det tar att svara på ett hot när det väl upptäcks. En högre svarstid indikerar att en kompromiss kan leda till ett skadligt dataintrång. Målet är att påskynda ditt svar och minska din risk, precis som MTTD.
Både MTTD och MTTR är nyckelmått för att mäta och förbättra ditt team's kapacitet eftersom det är avgörande att spåra effektiviteten hos ditt team som din organisation's mognad växer. Liksom alla grundläggande affärsverksamheter, för att mogna din organisation bör du mäta operativ effektivitet för att avgöra om din organisation når sina KPI:er och SLA:er.
Förutom MTTD och MTTR finns det andra mätvärden du bör övervaka för att se till att du effektivt mäter och kommunicerar operativ effektivitet.
Säkerställa framgång för säkerhetsoperationer
Här är de sju mätvärdena du bör mäta för att hjälpa dig se var ditt säkerhetsprogram kan behöva förbättras.
Alarmtid till triage (TTT): Mäter laget's förmåga att omedelbart inspektera ett larm. Det hjälper dig att förstå nivån av lyhördhet för hot i realtid. Detta kan tyda på att ditt team kan behöva ytterligare personal för att begränsa sitt övervakningsfokus eller att du har tillräckligt med personal för att ta på sig en större övervakningsbelastning.
Alarmtid för kvalificering (TTQ): Mäter och anger hur lång tid det tar för ett larm att vara fullt utredda och kvalificerade. TTQ hjälper dig att upptäcka blockeringar och förstå ditt team's omfattning när det gäller kvalificerade hot.
Hottid att undersöka (TTI): Mäter och anger hur många timmar det tar att noggrant utreda ett kvalificerat hot. Det gör att du kan identifiera flaskhalsar och förstå ditt team's kapacitet när man utreder hot på ett effektivt sätt.
Dags att mildra (TTM): Mäter hur lång tid det tar att mildra en incident och hantera den omedelbara affärsrisken. TTM hjälper dig att förstå hur snabbt ditt team kan lindra problemet för att stoppa eller förhindra ett aktivt hot.
Dags att återhämta sig (TTV): Mäter hur lång tid det tar att återhämta sig helt från en incident. Att mäta TTV hjälper dig att ta reda på hur snabbt ditt säkerhetsteam och andra inblandade helt kan återställa verksamheten till normalitet. Flaskhalsar i verksamhet och samverkan finns också.
Incident tid att upptäcka (TTD): Mäter den tid det tar att bekräfta att en Incident ursprungligen upptäcktes och slutligen kvalificerades. TTD är en avgörande indikator på effektiviteten i säkerhetsoperationer eftersom den visar hur lång tid det tar att identifiera hot som faktiskt resulterade i incidenter.
Incident tid till svar (TTR): Mäter hur lång tid det tar att helt undersöka och mildra en bekräftad incident. TTR är ett viktigt mått på effektiviteten i säkerhetsverksamheten, eftersom den visar den tid det tar att analysera och mildra hot som resulterade i en incident.
Mätvärden är utformade för att ge insikter om information om ditt säkerhetsprograms effektivitet, prestanda och ansvarighet genom insamling, analys och rapportering av data. De ger dig också möjligheten att upptäcka flaskhalsar i processen samt identifiera var verktyg eller processer behöver omarbetas. Alla affärsprocesser måste mätas för att kunna förbättras, och säkerhetsverksamheten är inte annorlunda i detta avseende. Att demonstrera effektivitet genom mätvärden är ett nödvändigt element för att visa värde för den bredare verksamheten.
