Враховуючи поточний фінансовий клімат, бюджети на кібербезпеку можуть переглядатися разом з усіма іншими видатками, а в деяких випадках – на рубанні. Одним із найкращих способів для керівників служби безпеки захистити свою програму безпеки є забезпечення узгодження з пріоритетами бізнесу їхніх виконавчих команд і рад. Важливою частиною цього є надання показників, які демонструють ефективність програми. Розробка метрик для ваших операцій безпеки дозволить вашим зацікавленим сторонам відстежувати поточний стан програми, а також те, як програма підтримує бізнес-цілі.
Операційний центр безпеки є критично важливою для бізнесу функцією, але виміряти ефективність SOC нелегко. Організації можуть вибирати з великої кількості різноманітних підходів. Швидкість реагування в операціях безпеки є одним з важливих аспектів, і вона може вплинути на різницю між швидко локалізованим компромісом і катастрофічним витоком даних.
Тому, починаючи з основних показників, таких як середній час виявлення (MTTD) і середній час для відповіді (MTTR) дозволять як вам, так і вашим зацікавленим сторонам отримати краще розуміння операцій і прийняти кращі інвестиційні рішення, а також продемонструвати цінність для виконавчого керівництва та правління.
Підвищуйте свою ефективність
Головною метою програми стійкої безпеки має бути зниження рівня організації"s MTTD і MTTR, щоб обмежити будь-яку шкоду, завдану вашій організації кіберінцидентом.
MTTD вимірює кількість часу, необхідного для виявлення потенційної загрози безпеці. Цей показник допомагає зрозуміти ефективність вашої організації"операції з безпеки та ваша команда"s швидкість і здатність розпізнавати загрозу. Тому мета полягає в тому, щоб цей показник був якомога нижчим, щоб зменшити вплив компромісу на вашу організацію.
Водночас MTTR допомагає виміряти час, необхідний для реагування на загрозу після її виявлення. Вищий час відповіді вказує на те, що компрометація може призвести до пошкодження даних. Мета полягає в тому, щоб пришвидшити вашу реакцію та зменшити ризик, як і MTTD.
І MTTD, і MTTR є ключовими показниками для вимірювання та вдосконалення вашої команди"s можливостей, оскільки вкрай важливо відстежувати ефективність вашої команди як вашої організації"зрілість зростає. Як і в будь-якій основній бізнес-операції, для зрілості вашої організації ви повинні вимірювати операційну ефективність, щоб визначити, чи досягає ваша організація KPI та SLA.
Крім MTTD і MTTR, є й інші показники, які слід контролювати, щоб переконатися, що ви ефективно вимірюваєте та повідомляєте про ефективність роботи.
Забезпечення успіху операцій безпеки
Ось сім показників, які ви повинні виміряти, щоб допомогти визначити, де ваша програма безпеки потребує вдосконалення.
Час тривоги до сортування (TTT): Вимірює команду"можливість терміново перевірити сигналізацію. Це допомагає зрозуміти рівень реагування на загрози в реальному часі. Це може означати, що вашій команді може знадобитися додатковий персонал, щоб звузити фокус моніторингу, або що у вас достатньо персоналу, щоб взяти на себе більший моніторинг.
Час сигналу для кваліфікації (TTQ): Вимірює та вказує, скільки часу потрібно, щоб тривога була повністю досліджена та кваліфікована. TTQ допомагає помітити блокування та зрозуміти вашу команду"коли йдеться про кваліфікаційні загрози.
Час дослідження загрози (TTI): Вимірює та вказує кількість годин, необхідних для ретельного розслідування кваліфікованої загрози. Це дає вам змогу визначити вузькі місця та зрозуміти свою команду"s можливості під час ефективного розслідування загроз.
Час пом'якшення (TTM): Вимірює тривалість часу, необхідного для пом’якшення інциденту та вирішення безпосереднього бізнес-ризику. TTM допомагає зрозуміти, як швидко ваша команда може пом’якшити проблему, щоб зупинити або перешкодити активній загрозі.
Час відновлення (TTV): Вимірює кількість часу, необхідного для повного відновлення після інциденту. Вимірювання TTV допоможе вам визначити, як швидко ваша команда безпеки та інші залучені особи зможуть повністю відновити роботу. Також можна знайти вузькі місця в роботі та співпраці.
Час виявлення інциденту (TTD): Вимірює час, потрібний для підтвердження того, що інцидент було спочатку виявлено та остаточно кваліфіковано. TTD є важливим показником ефективності операцій безпеки, оскільки він демонструє час, потрібний для виявлення загроз, які фактично призвели до інцидентів.
Час реагування на інцидент (TTR): Вимірює тривалість часу, необхідного для повного розслідування, а також пом’якшення підтвердженого інциденту. TTR є важливим показником ефективності операцій безпеки, оскільки він показує час, необхідний для аналізу та пом’якшення загроз, які призвели до інциденту.
Показники призначені для надання інформації про ефективність, результативність і підзвітність вашої програми безпеки шляхом збору, аналізу та звітування даних. Вони також дають вам можливість виявити вузькі місця в процесі, а також визначити, де інструменти чи процеси потребують переробки. Усі бізнес-процеси потрібно вимірювати, щоб покращити, і операції з безпеки не відрізняються в цьому відношенні. Демонстрація ефективності за допомогою показників є необхідним елементом демонстрації цінності для ширшого бізнесу.
