论文怎样衡量网络安全的有效性在为时已晚之前,本文是有关网络安全论文如何怎么撰写与为时已晚和网络安全和有效性相关论文范文资料.
作者 Thor Olsrud 编译 杨勇
大多数企业并没有把衡量标准应用于网络安全工作中,即使是应用了的企业也经常做错.本文介绍了怎样确保您的网络安全项目得到回报.
您在衡量网络安全工作的价值和有效性吗?根据最近的安全衡量指数基准调查,世界上大部分企业都没有开展这项工作.如果没有建立适当的衡量标准,您实际上是在盲目工作.
甚至当企业的信息门的确生成并提交了关于企业安全的数据时,也很少会有人去注意这些数据.
Josep h Carson 是Thycotic的首席安全科学家,他根据 ISO 27001 规定的安全标准以及业界专家和协会的最佳实践建立了其安全衡量指数(I),他说:“很多企业在网络安全上做了一些努力,但他们并没有考虑这能否有效地对业务有所帮助.很多企业没有评估其风险和影响.他们不是从业务影响评估或者业务影响角度来看待这个问题.他们这样做是为了满足合规要求,他们的很多安全标准都指向这一点.”
信息安全论坛(I)是研究和分析安全和风险管理问题的非赢利协会,其常务理事 Steve Durbin 说:“安全和业务部门双方缺少协作.他们有共同语言吗?从门的角度来看,自己所关注的重点应怎样与业务部门所关注的保持一致呢?”
在衡量网络安全有效性方面哪些做得不对
Thycotic 是授权帐户管理(PAM)和端点权限管理解决方案提供商,通过调查400 多名全球业务和安全高管,进行了 I 基准调查.研究发现,58% 的受访者评估了他们企业在衡量网络安全投资和业绩方面的工作,认为效果不佳,远不如最佳实践.
调 查 还 发 现, 虽 然 全球企业每年在网络安全防御上花费超过 1 千亿美元,但32% 的企业盲目地做出业务决策,购买网络安全技术.此外,超过 80% 的受访者在做出网络安全采购决策时,没有考虑到业务部门的用户.他们也没有设立指导委员会来评估与网络安全投资相关的业务影响和风险.
据 Durbin 讲,这与 I的看法是一致的.I 发现很多首席信息安全官报告了错误的关键绩效指标(KPI)和关键风险指标(KRI).Durbin 把 这 归 因 于 这 一 事实——大多数首席信息安全官很少或者根本没有与他们所报告的受众有交流.结果,他们猜测受众需要什么,在试图提供关于信息安全有效性、企业风险和信息安全计划等主题的管理报告时,他们就显得非常盲目.
Durbin 说:“如果我不知道您在做什么,那我怎么帮助您?我要对您所做的工作做一些假设,这可能完全不对.安全人员总是在谈论成本.如果我们想改变这种现状,安全人员现在就会去找业务部门说,‘看,如果这对您来说非常重要,那我的工作就是帮助您进行保护,但出于种种原因,我没有足够的资金.’然后,业务部门就会打电话,看看能不能为解决该问题找到资金.这不再是门的问题,而是业务部门的问题.”
在网络安全方面,首席信息安全官有繁重的工作要做,而首席信息官也发挥着重要的作用,首先从提供实现安全功能所需的数据开始.
Carson 说:“首席信息官的核心职责是确保企业拥有做出正确决策所需的信息.他们需要确定企业的核心、高级资产是什么,并对其进行分类.然后与首席信息安全官一起来保护它们.”
实现 KPI 和 KRI 的 4个步骤
为帮助门与业务部门相协调,I 已经开发了四阶段的实用方法来实现KPI 和 KRI.Durbin 说, 这种方法将有助于信息安全职能部门主动响应业务部门的需求.他说,关键是要和正确的人进行正确的交流.
I 的方法旨在应用于企业的各个层面,包括了四个阶段:
1. 通过参与了解业务环境,确定共同利益,同时开发KPR和KRI, 从而建立关系.
2. 参与产生、校准和解释 KPI/KRI 组合,从而生成深度分析结果.
3. 通过参与向共同利益方提出相关建议,做出下一步决策,从而产生影响.
4. 通过参与开发学习和改进计划,不断学习和提高.
I 方法的核心是参与的理念.参与可以建立关系并增进理解,从而使安全职能部门更好地响应业务需求.
参与始于正确的数据
参与从建立关系开始.在 I 的方法中,这意味着获得正确的数据,在合适的结构的支持下,为相应的受众校准这些数据.然后在整个企业中使用这些数据时,要保证其一致性.据 I,建立关系需要六个步骤:
1. 了解业务环境;
2. 确定受众和合作者;
3. 确定共同利益;
4. 确定关键信息安全优先事项;
5. 设计 KPI/KRI 组合;
6. 测试和确认 KPI/KRI组合.
一旦有了数据,就需要从中获得深度分析结果.I说,可靠的深度分析结果来自于理解 KPI 和 KRI.生成深度分析结果涉及以下三个步骤:
1 收集数据;
2 产生和校准 KPI/KRI组合;
3 解释 KPI/KRI 组合,以得到深度分析结果.
得到深度分析结果后,就可以去宣传推广了,确保以一种能被所有人接受和理解的方式报告和呈现信息.这就导致了决策和行动,如下所示:
1. 同意结论和建议;
2. 制作报告和演示文稿;
3. 准备报告和分发报告;
4.提出并商定下一步措施.
最后一步是根据前面步骤得到的所有一切来制定学习和改进计划.这样,根据I 的做法,在准确把握业绩和风险的基础上做出合理的决策,企业就会相信信息安全职能部门能够积极响应业务部门的重要需求.
Carson 说:“您应该养成一种不断发展的思维模式.这是一种文化,是一种意识.一切总是在不断发展中.”Thor Olsrud—— 资 深作 家 , 为 CIO.com 撰 写 IT安全、大数据、开源技术、Microsoft 工具和服务器的文章.
原文*:http://www.cio.com/article/3221426/security/how-to-measure-cybersecurity-effectiveness-before-it-s-too-late.html
结束语,此文是关于为时已晚和网络安全和有效性方面的网络安全论文题目、论文提纲、网络安全论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文.
参考文献:
1、 重新定义周界网络安全:未来是一种混合模式 作者 Terena Bell 编译 Charles“周界防御”的想法和服务器本身一样古老——一提起这个词,就让人联想起上锁的机房间里嗡嗡作响的ENIAC.
2、 县级图书馆网络安全威胁和应略 浅谈县级图书馆网络安全威胁与应对策略秦宗和(忠县图书馆,重庆404300)摘 要随着我国科学和信息技术的高速发展,因特网络也越来越普及于人们的生活 然而,人们因迅速发展的网络得到便利,获得了各种有.
3、 开启网络安全智能时代 合气道创始人植芝盛平曾说过,“当对手攻上前,要顺势引之;当对手想退后,要送其上路” 合气道高手对敌时,不会直接硬碰硬,而是顺势借力引对方到其他方向 当今,企业和组织在面临日益复.
4、 网络安全以与其全球化趋势的影响 摘 要当今,随着信息技术的迅速发展,网络不仅影响着人类生活的方方面面,其影响范围和深度更是随着网络的快速发展已经扩展到了各个领域,其全球化趋势也正在逐步加深对国际社会变动与发展的影响 可以看到,网络在.
5、 二、金砖国家网络安全合作新进展 金砖国家一直致力于网络安全合作,2013 年“斯诺登事件”更是推进金砖国家网络安全合作的重要契机 网络安全议题于同年首次列入金砖国家领导人会晤宣言,此后历届领导人会晤宣言对网络.
6、 紧紧围绕总目标切实维护网络安全 内容提要当前互联网已经成为舆论斗争的主战场、主阵地、最前沿,我们能否顶得住、打得赢,直接关系国家意识形态安全和政权安全 在新疆,西方敌对势力和“三股势力”更是利用互联网,给新疆.