CISO需要关注的七个安全指标

哲报告中所指出的，当安全投入持续增长与安全“绩效”不成比例的时候，企业安全预算年复一年的“无厘头”增长已经不可持续，CISO必须拿出有说服力的指标为预算正名，否则“没米下锅”的CISO将难以摆脱“救火队员“的荣誉角色。

首先CISO要认识到安全预算是个主观命题，尤其是对于安全预算在整个IT支出占比明显偏低的中国企业，未来很长一段时间，安全预算的增长都是大势所趋。但是，一个根本问题必须得到解决：企业安全预算往往需要借助“想哭病毒”、“删库跑路”之类的重大安全事故来与企业管理层和董事会达成阶段性“谅解”，而不是通过可运营可跨部门沟通的安全指标。

虽然多年以来，企业安全领导者已经使用过无数指标。但是与业务部门和管理层基于指标的沟通机制却并未通畅起来。许多高管和董事会成员经常会抱怨说，这些措施未能帮助他们充分了解或理解安全部门的表现、改进程度以及不足之处，安全的可视性和可测量性依然非常糟糕。

 

的组合，对于大多数企业来说，都需要格外重视。

五个对企业依然重要的“旧”安全指标

虽然不同地域、不同规模和不同行业的企业面临的安全威胁优先级不尽相同，但是在制定有效的新安全指标方面，有着共同诉求和基本原则：

安全指标需要与安全损失和业务目标挂钩，且能够容易被业务部门或者董事会所理解。

尽管“站在业务目标角度”评估安全性的新指标体系是当下CISO们关注的热点，但资深的CISO和安全管理顾问表示，过去安全团队使用的很多安全指标依然很有价值，CISO应该考虑围绕这些指标添加其他上下文内容。

1. 平均恢复时间MTTR

Harmer根据组织已确定的风险意愿，测量受事件影响的用户百分比，安全团队解决问题的速度以及该时间是否达到、超过或少于目标时间。根据埃森哲2020年CISO领导力报告，在提高检测响应速度，减少MTTR方面，CIS

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!