Với tình hình tài chính hiện tại, ngân sách an ninh mạng có thể đang được xem xét, cùng với tất cả các khoản chi tiêu khác, và trong một số trường hợp, đang bị cắt giảm. Một trong những cách tốt nhất để các nhà lãnh đạo an ninh bảo vệ chương trình hoạt động an ninh của họ là đảm bảo phù hợp với các ưu tiên kinh doanh của các nhóm điều hành và hội đồng quản trị của họ. Một phần quan trọng của việc này là cung cấp các số liệu chứng minh tính hiệu quả của chương trình. Phát triển các số liệu cho các hoạt động bảo mật của bạn sẽ cho phép các bên liên quan của bạn theo dõi trạng thái hiện tại của chương trình cũng như cách chương trình hỗ trợ các mục tiêu kinh doanh.
Trung tâm điều hành an ninh là một chức năng quan trọng trong kinh doanh, nhưng việc đo lường hiệu quả của SOC không hề dễ dàng. Các tổ chức có thể chọn từ rất nhiều cách tiếp cận khác nhau. Tốc độ phản hồi trong các hoạt động bảo mật là một khía cạnh quan trọng và có thể tạo ra tất cả sự khác biệt giữa một sự xâm phạm được ngăn chặn nhanh chóng và một vụ vi phạm dữ liệu nghiêm trọng.
Do đó, bắt đầu với các số liệu cơ bản như thời gian trung bình để phát hiện (MTTD) và thời gian phản hồi trung bình (MTTR) sẽ cho phép cả bạn và các bên liên quan của bạn hiểu rõ hơn về hoạt động và đưa ra các quyết định đầu tư tốt hơn, cũng như thể hiện giá trị với ban lãnh đạo và hội đồng quản trị điều hành.
Cải thiện hiệu quả của bạn
Mục tiêu chính của chương trình hoạt động bảo mật có khả năng phục hồi phải là hạ thấp một tổ chức's MTTD và MTTR để hạn chế mọi thiệt hại do sự cố mạng gây ra cho tổ chức của bạn.
MTTD đo lượng thời gian cần thiết để phát hiện ra mối đe dọa bảo mật tiềm ẩn. Số liệu này giúp bạn hiểu được hiệu quả của tổ chức của bạn'hoạt động bảo mật của s và nhóm của bạn'tốc độ và khả năng nhận ra mối đe dọa. Do đó, mục tiêu là giữ số liệu này càng thấp càng tốt để giảm tác động của sự thỏa hiệp đối với tổ chức của bạn.
Trong khi đó, MTTR giúp bạn đo thời gian cần thiết để ứng phó với mối đe dọa sau khi phát hiện ra nó. Thời gian phản hồi cao hơn cho thấy rằng một sự thỏa hiệp có thể dẫn đến vi phạm dữ liệu gây thiệt hại. Mục tiêu là tăng tốc độ phản hồi của bạn và giảm rủi ro, giống như MTTD.
Cả MTTD và MTTR đều là những thước đo chính để đo lường và cải thiện nhóm của bạn'khả năng của bạn vì điều quan trọng là phải theo dõi hiệu quả của nhóm của bạn với tư cách là tổ chức của bạn's trưởng thành phát triển. Giống như bất kỳ hoạt động kinh doanh cơ bản nào, để phát triển tổ chức của bạn, bạn nên đo lường hiệu quả hoạt động để xác định xem tổ chức của bạn có đạt được KPI và SLA hay không.
Ngoài MTTD và MTTR, còn có các chỉ số khác mà bạn nên theo dõi để đảm bảo rằng bạn đang đo lường và truyền đạt hiệu quả hoạt động một cách hiệu quả.
Đảm bảo hoạt động an ninh thành công
Dưới đây là bảy số liệu bạn nên đo lường để giúp xem chương trình hoạt động bảo mật của bạn có thể cần cải thiện ở đâu.
Thời gian cảnh báo để xử lý (TTT): Đo đội'khả năng kiểm tra khẩn cấp một báo động. Nó giúp bạn hiểu mức độ phản ứng với các mối đe dọa trong thời gian thực. Điều này có thể cho thấy rằng nhóm của bạn có thể cần thêm nhân viên để thu hẹp trọng tâm giám sát hoặc bạn có đủ nhân viên để đảm nhận khối lượng giám sát lớn hơn.
Thời gian báo động để đủ điều kiện (TTQ): Đo lường và cho biết mất bao lâu để một cảnh báo được điều tra đầy đủ và đủ điều kiện. TTQ giúp bạn phát hiện tắc nghẽn và hiểu nhóm của bạn'phạm vi của nó khi nói đến các mối đe dọa đủ điều kiện.
Thời gian đe dọa để điều tra (TTI): Đo lường và cho biết số giờ cần thiết để điều tra kỹ lưỡng một mối đe dọa đủ điều kiện. Nó cho phép bạn xác định các nút cổ chai và hiểu nhóm của bạn'khả năng của nó khi điều tra các mối đe dọa một cách hiệu quả.
Thời gian để giảm thiểu (TTM): Đo lường khoảng thời gian cần thiết để giảm thiểu sự cố và giải quyết rủi ro kinh doanh trước mắt. TTM giúp bạn hiểu nhóm của bạn có thể giảm thiểu vấn đề nhanh như thế nào để ngăn chặn hoặc cản trở mối đe dọa đang hoạt động.
Thời gian hồi phục (TTV): Đo lượng thời gian cần thiết để phục hồi hoàn toàn sau một sự cố. Đo lường TTV giúp bạn biết nhóm bảo mật của bạn và những người khác có liên quan có thể khôi phục hoàn toàn hoạt động trở lại trạng thái bình thường nhanh như thế nào. Các nút cổ chai trong hoạt động và cộng tác cũng có thể được tìm thấy.
Thời gian phát hiện sự cố (TTD): Đo lường thời gian cần thiết để xác nhận Sự cố được phát hiện ban đầu và cuối cùng đủ điều kiện. TTD là một chỉ số quan trọng về hiệu quả của các hoạt động bảo mật vì nó thể hiện thời gian cần thiết để xác định các mối đe dọa thực sự dẫn đến sự cố.
Thời gian phản hồi sự cố (TTR): Đo lường khoảng thời gian cần thiết để điều tra đầy đủ cũng như giảm nhẹ Sự cố đã được xác nhận. TTR là thước đo thiết yếu để đánh giá hiệu quả của các hoạt động bảo mật vì nó cho biết thời gian cần thiết để phân tích và giảm thiểu các mối đe dọa dẫn đến sự cố.
Các số liệu được thiết kế để cung cấp thông tin chuyên sâu về hiệu quả, hiệu suất và trách nhiệm giải trình của chương trình bảo mật của bạn thông qua việc thu thập, phân tích và báo cáo dữ liệu. Chúng cũng cung cấp cho bạn khả năng giải quyết các điểm nghẽn trong quy trình cũng như xác định vị trí mà các công cụ hoặc quy trình cần làm lại. Tất cả các quy trình kinh doanh cần phải được đo lường để cải thiện và hoạt động bảo mật cũng không khác về mặt này. Chứng minh tính hiệu quả thông qua các số liệu là một yếu tố cần thiết để thể hiện giá trị cho doanh nghiệp rộng hơn.
