Система показателей кибербезопасности с KPI безопасности и защиты данных

Пример стратегической системы показателей с индикаторами эффективности, отслеживающими новые тенденции в области кибербезопасности.

Стратегическая карта безопасности данны с KPI, факторами успеа и инициативами

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Основные темы статьи:

Исодная точка: исследования в области безопасности данны

Постоянные исследования в области безопасности данны и и защиты дают нам орошее представление об основны причина утечек данны и способов и предотвращения. В этой статье мы рассмотрим пример того, как выводы эти исследований можно использовать для создания комплексной системы кибербезопасности, измеряемой посредством KPI.

Для справки мы будем использовать следующие отчеты:

  • Cost of Data Breach Report, IBM[1], включающий исследования, проведенные Институтом Понемона, является одним из эталонов в мире ИТ-безопасности.
  • Data Breach Investigations Report, Verizon[2] позволяет по-новому взглянуть на риски в области безопасности данны и способы и сокращения.
  • Global Information Security Survey, EY[3] рассказывает о лучши практика, внедряемы организациями для решения проблем безопасности данны.
  • M-TRENDS Report, FireEye[4] сообщает об угроза в области безопасности данны и и эволюции.

Терминология: кибербезопасность, безопасность данны, защита данны, конфиденциальность данны

Для начала давайте определимся с тем, чем термин безопасность данны/информации отличается от защиты данны (конфиденциальности данны).

  • Безопасность данны/информации означает поддержку безопасной аритектуры для управления данными: она включает регулярное резервное копирование, современное ПО для обеспечения безопасности, обновление прав доступа, внедрение DLP-системы и т. д.
  • Защита данны касается этичного и законного использования данны, получение неободимы разрешений и соблюдение нормативны требований.

Это различие имеет значение. Например, в случае Facebook–Cambridge Analytica обеспечивалась безопасность данны (они были зашифрованы и ранились на защищенном сервере), но не и ответственное использование в соответствии с нормативными требованиями.

Термин защита данны (data protection), в основном, используется в Европе и Азии. В США она обозначается выражением конфиденциальность данны (data privacy). Хорошим объяснением разницы между этими словами поделилась в своём блоге Франсуаза Жильбер.

Наконец, термин кибербезопасность оватывает более широкий круг идей. Она включает не только безопасность данны, но и другие системы безопасности. Фактически этот термин нередко заменяется на выражение безопасность данны.

Для чего нужны стратегия и KPI безопасности данны?

Помимо таки очевидны вещей, как понимание того, как обстоят дела в вашей организации и в каком направлении неободимо двигаться, я бы отел упомянуть следующие причины:

  • Способность подтвердить аргументы некоторыми данными в момент представления заинтересованным сторонам новы стратегий безопасности.
  • Сформулированный бизнес-контекст помогает согласовать инициативы в области кибербезопасности с другими частями стратегии, например, с системами показателей персонала, информационны тенологий или корпоративного управления.
  • Преобразование некоторы расплывчаты идей, например, «защищенной бизнес-среды, используя новейшие ИТ-тенологии», в нечто более осязаемое и отслеживаемое с помощью индикаторов эффективности.

Как измерять то, что ещё не произошло?

Поскольку мы не можем знать заранее, с какими именно проблемами может столкнуться организация, может показаться, что безопасность данны является чем-то неосязаемым и не поддающимся измерению. Упомянутые в начале статьи эмпирические исследования (например, отчет IBM Security) предлагают другую точку зрения.

Большинство нарушений безопасности данны связаны с известными факторами:

  • Взлом учетны данны (19%).
  • Фишинг (14%).
  • Ошибка в конфигурации облака (19%).

Это даёт представление о том, на чем неободимо сосредоточить усилия в области кибербезопасности.

Мы не можем предотвратить все нарушения безопасности, однако, как показывает практика, мы можем минимизировать и воздействие на организацию при помощи:

  • Внедрения ПО для обеспечения безопасности.
  • Подготовки команды реагирования и плана реагирования.
  • Обучения сотрудников.
  • Тестирования бизнес-среды при помощи таки инструментов, как тестирование red team.

Какие бизнес-фреймворки применимы в области безопасности данны?

Ранее мы говорили о различны фреймворка, помогающи организации формулировать и реализовывать стратегии. Какие из ни могут применяться в области безопасности данны?

Для достижения лучши результатов неободимо комбинировать различные модели:

  • PESTEL-анализ может быть использован для отслеживания и анализа новы факторов внешней среды (цели перспективы обучения и роста). Они могут включать изменения в законодательстве, например, новые законы в области защиты данны, или крупные изменения, например, переод н удалённую работу, вызванный началом пандемии Covid-19.
  • Мы часто будем возвращаться к действиям, направленным на реагирование. В этом контексте будут полезными различные фреймворки приоритизации.
  • Разрабатывая стратегию безопасности данны, мы должны учитывать действия, которые неободимо выполнять сегодня и в ближайшем будущем, а также некоторые инициативы отдалённого будущего. Провести и всестороннее обсуждение поможет модель Три горизонта роста.
  • Для превращения несвязанны идей в согласованную стратегию мы будем использовать сбалансированную систему показателей.

Чтобы создать пример стратегии безопасности данны, мы будем использовать упомянутые ранее фреймворки и отчеты об исследования.

Финансовая перспектива. Оценка финансового воздействия безопасности данны

Финансовые KPI являются обязательными при представлении инициатив заинтересованным сторонам. Презентация кажется ещё более впечатляющей и релевантной при предоставлении данны об отраслевы ориентира.

Отчеты компаний Verizon и IBM (исследования, проведенные в Институте Понемона) дают некоторое представления об этой сфере. Иногда данные являются противоречивыми. Например, стоимость утечки данны на одну запись может быть очень различной. По данным отчета IBM, она составляет 150-175 долларов, в отчете Verizon (см. Data Breach Investigations Report за 2015 год), говорится о примерно 0.58 доллара. Некоторые объяснения этого явления предложил в TeachBeacon Кен Спиннер.

Финансовая перспектива системы показателей безопасности

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Как можно определить стоимость утечки данны в случае вашей компании?

Она основывается на прямы и непрямы расода:

  • Прямые расоды включают стоимость криминалистической экспертизы, штрафы, компенсации клиентам.
  • Непрямые расоды относятся к потере существующи и потенциальны клиентов, сотрудников и партнёров, связанной с нарушением безопасности данны.

В ССП безопасности данны мы можем использовать некоторые ориентиры из исследований Института Понемона или Verizon для показателя Стоимость утечки данны на запись, умноженного на количество записей, подверженны риску.

Чтобы выполнить вычисления, неободимо иметь некоторые базовые данные:

  • LTV (жизненный цикл клиента).
  • Оценка оттока клиентов, связанного с утечкой данны.
  • Количество клиентов.
  • Число подверженны риску записей.
  • Потеря потенциальны клиентов.

Формула расчета стоимости утечки данны

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Прямое воздействие утечки данны может быть рассчитано следующим образом:

  • Стоимость утечки данны (прямые расоды) = стоимость утечки данны на запись * количество записей, подверженны риску.

Непрямые расоды можно подсчитать, учтя отток клиентов из-за утечки данны и LTV:

  • Стоимость оттока клиентов = [количество клиентов]*[LTV]*[отток клиентов, связанный с утечкой данны]/100

Дополнительно можно посчитать число потенциальны клиентов, не подписавши контракт.

  • Стоимость утерянной возможности = [потеряно потенциальны клиентов] * [LTV]

Клиентская перспектива. Численное представление рисков в области безопасности.

Основная цель клиентской перспективы может быть сформулирована следующим образом:

  • Сокращение рисков для безопасности и защиты данны

Цели и KPI клиентской перспективы ССП безопасности данны

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Оценивается при помощи следующи показателей:

  • Показатель действия Раннее обнаружение и быстрое реагирование на риски, связанные с данными является выодными данными целей перспективы внутренни процессов.
  • Показатель действия Готовность системы защиты данны.
  • Показатель результата Взвешенный индекс риска

Эта логика предполагает разработку компанией системы внутренней безопасности (измеряется при помощи Раннего обнаружения и быстрого реагирования на риски, связанные с данными) и внедрение неободимы мер по защите данны (измеряется при помощи Готовности системы защиты данны), снижающи риски в области безопасности данны, определяемые Взвешенным индексом риска.

  • При создании стратегии безопасности данны неободимо убедиться в том, что команда понимает разницу между показателями факторов успеа (метрики действия) и показателями ожидаемы результатов (метрики результата).

Рассмотрим показатели с точки зрения клиентской перспективы более подробно.

Взвешенный индекс риска

Цель этого индикатора – численное представление текущего уровня риска в организации. Для его отслеживания неободимо количественно представить несколько типов угроз безопасности, сгруппированны по уровню воздействия:

  • События критического значения, вес 70%
  • События важного значения, вес 20%
  • События среднего уровня, вес 7%
  • События низкого уровня, вес 3%

Как видите, мы применили нелинейную шкалу веса. В этой модели критические утечки данны имеют наибольшее влияние на индекс, а события низкого уровня являются не столь важными.

Взвешенный индекс риска для безопасности данны

Этот подод решает проблему манипуляции системой измерения, при которой контрольный индикатор перемещается в зелёную зону посредством выполнения менее важны задач. При этом важно правильно группировать события, связанные с риском.

Если вы отите больше узнать о расчете индексны показателей и учете веса индикаторов, прочтите соответствующую статью на нашем сайте.

Измерение защиты или конфиденциальности данны

Как упоминалось ранее, защита данны касается этичного и законного использования личной информации (PII) и аналогичны данны.

В этом случае меры по защите информации подробно описаны в соответствующи закона. В Европе речь идёт о GDPR, в США в разны сфера бизнеса применяются различные законы: CCPA, HIPPA, PCI DSS, GLBA.

Индекс готовности системы данны для ССП безопасности информации

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

С точки зрения измерения, GDPR (Общий регламент по защите данны), к примеру, предлагает отслеживать защиту данны при помощи индексного показателя Готовность системы защиты данны, в котором учитываются следующие метрики (в основном, бинарные):

  • Назначен сотрудник, ответственный за безопасность данны.
  • Отслеживание явного согласия.
  • Процедура отчетности об утечка данны.
  • Внедрены права доступа, исправления, удаления.
  • Право на переносимость данны.

В конкретны случая, применимы к организации, её продуктам и услугам, эти индикаторы могут быть детализированы.

Чтобы обеспечить соответствие нормативным требованиям, эти показатели и сами законы следует регулярно пересматривать. Для соответствующего индикатора пересмотр может быть автоматизирован с помощью функции интервал обновления. Больше примеров вы найдёте в секции, посвященной автоматизации.

Перспектива внутренни процессов. Как снизить риски безопасности данны?

Чтобы определить цели и индикаторы эффективности перспективы внутренни процессов, неободимо провести анализ коренны причин и рассмотреть найденные точки риска и стоимости.

Выводы будут зависеть от сферы бизнеса и бизнес-системы, используемой компанией. При этом существуют общие тренды, описанные в отчета IBM Security и Verizon. Мы будем использовать выводы эти отчетов для формулировки целей и KPI перспективы внутренни процессов.

Перспектива внутренни процессов для ССП безопасности данны

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Раннее обнаружение и быстрое реагирование на риски, связанные с данными

Раннее обнаружение и быстрое реагирование могут значительно снизить стоимость произошедшей утечки данны.

В ССП эта цель может отслеживаться при помощи дву индикаторов результата:

  • Среднее время обнаружения.
  • Среднее время реагирования.

Индикаторы результата отслеживают то, что произошло ранее. Как организация может на ни повлиять? Отчеты предлагают выполнение определённы действий, которые, как правило, улучшают время реагирования на проблемы безопасности данны.
Фактор успеа, сопоставленный с целью: сформированные группы реагирования

В шаблоне системы показателей вы найдёте две записи, согласованные с целью. Раннее обнаружение и быстрое реагирование:

  • Сформированные группы реагирования. Эта запись обозначена как фактор успеа. В соответствии с данными отчета IBM Security, это один из ключевы факторов минимизации времени реагирования на утечку данны.
  • Выявление доступа к данным с высоким риском. В рамка этой инициативы команда может выбрать приоритетные усилия в соответствии с влиянием определенны типов доступа к данным. Если вы ищете более систематический подод к расстановке приоритетов, ознакомьтесь со статьей о фреймворка приоритизации..

В контексте цели Раннее обнаружение и быстрое реагирование также можно использовать два показателя действия. Оба они основаны на вывода, указанны в упомянуты ранее отчета:

  • Разработка плана снижения рисков.
  • Снижение комплексности в сфере ИТ.

Рассмотрим и более подробно.

Разработка плана снижения рисков

План снижения рисков – это фактор успеа быстрого реагирования на утечку данны.

Как можно понять, является ли существующий план эффективным?

Он должен основываться на актуальной модели рисков, которая отражает способ управления данными в компании. В ССП она численно выражается с помощью индикатора действия Регулярный аудит безопасности данны, который рассматривается в перспективе обучения и роста.

Как можно понять, является ли предложенный план реагирования эффективным?

Мы можем не только регулярно обновлять разработанный план, но и протестировать его применение на практике. Численно это можно представить при помощи показателя результата Тестирование реагирования на инциденты.

Сокращение комплексности в сфере ИТ и данны

Эмпирические исследования указывают на несколько други факторов, помогающи минимизировать стоимость утечки данны:

  • Комплексность ИТ-инфраструктуры.
  • Комплексность семы данны.
  • Автоматизация.

На стратегической карте эти факторы сформулированы в виде цели Сокращение комплексности в сфере ИТ и данны.

Подцели перспективы внутренни процессов в системе показателей безопасности данны

В этом случае:

  • Сокращение комплексности в сфере данны и ИТ — это обоснование цели.
  • Ограничение доступа к самым важным данным – один из факторов успеа снижения комплексности в сфере ИТ.
  • Автоматизация тестирования уязвимостей и соответствия законам — широкая инициатива для автоматизации ИТ-безопасности

Наконец, как можно численно представить минимизацию комплексности, которая считается одним из факторов лучшего реагирования на проблемы безопасности данны?

Ответ индивидуален и зависит от ИТ-системы, существующей в вашей компании. В этой ССП используется пример Индекса комплексности безопасности данны, состоящего из следующи индикаторов:

  • Количество пользователей с высшим уровнем доступа. Функция оптимизации этого индикатора настроена на «Линейную минимизацию», поскольку уменьшение количества пользователей с доступом к конфиденциальным данным улучшит общую производительность индекса.
  • Время деактивации учетны данны. Причиной 7% утечек данны являются злонамеренные действия инсайдера. Быстрая деактивация учетны данны — одна из мер, способны снизить этот процент. Приемлемый временной интервал в этом случае является очень коротким. Чтобы отразить эту идею в системе показателей, функция оптимизации индикатора настроена на экспоненциальный спад.

Экспоненциальный спад для некоторы показателей эффективности

  • % конфиденциальны сведений, контролируемы DLP-системой. Программа для предотвращения потери данны – один из способов автоматизации ИТ-безопасности. Для организаций, имеющи дело с новой информацией, важен регулярный пересмотр модели данны, целью которого является проверка того, доступны для конфиденциальные сведения в DLP-системе.
  • Автоматизация шифрования данны и резервного копирования. Как и в предыдущем случае, нас интересует правильное управление конфиденциальными данными.
  • % обновлений ПО для обеспечения безопасности. Этот показатель кажется простым, однако исследования говорят о другом. Основная причина 16% нарушений безопасности данны – уязвимости в ПО третьи сторон. Продавцы программ регулярно выпускают обновления, призванные исправить эти уязвимости. Своевременная установка обновлений – один из факторов успеа минимизации рисков безопасности.
  • Оват автоматизации, %. Этот индикатор является сравнением уровня существующей в компании автоматизации с её возможным уровнем. Больший оват автоматизации означает уменьшение воздействия человеческого фактора и комплексности для заинтересованны сторон.

Индекс комплексности безопасности данны

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Это лишь примеры показателей, способны представить комплексность безопасности данны в численной форме. Более основательный подод должен включать более глубокий анализ заинтересованны сторон, выявление критически точек комплексности и разработку стратегии её сокращения. В предыдущей статье мы рассмотрели показатели комплексности и способы и применения на практике.

Перспектива обучения и роста

К этой перспективе относятся две большие цели:

  • Цель Регулярный аудит безопасности данны помогает сосредоточиться на инфраструктуре, обеспечивающей защиту информации.
  • Цель Обучение сотрудников в области безопасности данны означает передачу команде актуальной информации и обучение её навыкам, неободимым для предотвращения утечек данны или минимизации и воздействия.

Перспектива обучения в ССП безопасности данны

Рассмотрим способ формулирования эти целей на стратегической карте.

Регулярный аудит безопасности данны

С этой целью согласовано обоснование Анализ рисков безопасности данны. Каковы типичные риски кибербезопасности? В описании обоснования мы наодим некоторые примеры:

  • Кибератаки
  • Вирусы-вымогатели
  • Вредоносное ПО
  • Инсайдерские угрозы
  • Утерянные/украденные учетные данные
  • Несанкционированный доступ
  • Утеря данны
  • Повреждение данны

Пример обоснования: анализ рисков кибербезопасности

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

С целью согласована гипотеза о том, что удалённая работа влияет на безопасность данны. Для многи компаний удалённая работа стала частью антикризисной стратегии во время пандемии Covid-19.

С целью связаны два показателя действия:

  • Регулярный анализ рисков — общий анализ новы рисков.
  • Регулярный анализ подверженности риску конфиденциальны сведений — более конкретный анализ безопасности личной информации.

Оба показателя настроены на ежеквартальное обновление.

Интервал обновления настроен на ежеквартальное обновление

Существует несколько показателей, которые помогают оценить работу команды, обеспечивающей безопасность, и текущие риски. На основании эти сведений можно делать полезные для улучшения стратегии выводы.

  • Сканирование уязвимостей – обычно автоматическое сканирование проводится отделом ИТ,
  • Тестирование на проникновение — симуляция кибератаки.
  • Тестирование в режиме red team — широкомасштабное тестирование безопасности, предполагающее большее количество участников.

Соответствующие KPI настроены на различные интервалы обновлений:

  • Автоматическое сканирование уязвимостей может проводиться еженедельно или ежемесячно.
  • В зависимости от модели рисков симуляция может проводиться ежеквартально.
  • Наконец, наиболее сложное и дорогое тестирование red team может проводиться раз в полгода или раз в год.

Анализ рисков и процедуры тестирования призваны наодить слабые места в системе безопасности. Как мы можем понять, что выводы симуляций успешно используются? Чтобы узнать ответ, мы можем использовать:

  • Индикатор Число повторяющися утечек данны.

Если какое-либо нарушение безопасности случается вновь, это значит, что предложенный план снижения рисков не так эффективен, как ожидалось.

Обучение сотрудников в области безопасности данны

Человеческий фактор остаётся самым большим риском для любой системы безопасности. По данным отчета IBM Security, около 36% вредоносны утечек данны связаны с поведением человека (фишинг, социальная инженерия, взлом учетны данны).

Каким образом должна быть сформулирована стратегия безопасности данны, чтобы она была способна эффективно сократить риски?

Одним из решений может быть автоматизация определённы операций и сокращение роли человека. Это во многом соответствует цели Сокращение комплексности, о которой мы говорили в разделе, посвященном перспективе внутренни процессов.

Обучение сотрудников в области безопасности данны, пример инициативы

В остальны случая, когда автоматизация невозможна, решением является обучение. Каким образом должно проодить обучение в контексте безопасности данны? Мы можем использовать пару индикаторов действия и результата!

  • Индикатор действия: Уровень проникновения тренинга по безопасности данны можно использовать для отслеживания овата тренинга, который, например, рассказывает участникам о метода фишинга и способа его предотвращения.
  • В этом случае лучший показатель результата должен быть сосредоточен на конкретном воздействии тренинга в сфере осведомлённости. Если фишинг был одной из тем курса обучения, проведите тест по фишингу и узнайте, действительно ли сотрудники используют полученные знания. В численной форме это можно представить при помощи показателя Успешное проождение теста по фишингу.

Если в данный момент обучение сотрудников водит в число ваши приоритетов, команда, отвечающая за безопасность данны, может подготовить систему показателей для оценки тренингов, в которой используется модель Киркпатрика. Подробнее мы рассматривали её в этой статье.

Автоматизация для системы безопасности данны

Мы рассмотрели пример стратегической системы показателей, способной помочь описать, внедрить и реализовать стратегию защиты данны в организации.

Эта система показателей доступна в виде шаблона в BSC Designer Online. Вы можете создать бесплатную учетную запись и адаптировать её в соответствии со своими нуждами.

Определение общей стоимости стратегии

Ранее мы говорили о том, что одной из причин создания ССП безопасности данны является упрощение представления новы идей заинтересованным сторонам.

Стоимость предлагаемой стратегии станет одним из первы обсуждаемы вопросов. Стоимость реализации стратегии может быть рассчитана как сумма затрат на достижение целей и соответствующи инициатив.

Пример отчета о стоимости стратегии

Если в качестве инструмента автоматизации вы используете BSC Designer, вы сможете назначить бюджет инициатив и контролировать его использование. Программа сможет генерировать отчет о стоимости стратегии для представления общей ожидаемой стоимости реализации стратегии.

Визуализация важны данны на информационны панеля

Ещё один типичные запрос заинтересованны сторон – получение данны, неободимы для принятия решений (ранее мы говорили о решения на основе данны). Стратегическая карта содержит большое количество данны. Другой подод – создание панели бизнес-аналитики, показывающей важные индикаторы и и значения.

В шаблоне стратегии для этой статьи имеются две информационные панели (вы можете переключаться между ними).

Пример информационной панели индекса риска

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Информационная панель индекса риска включает исключительно индексные показатели риска, которые мы использовали для численного представления текущей ситуации. При помощи диаграмм этой панели мы можем увидеть:

  • Визуализированные текущие риски.
  • Изменение индекса риска во времени.
  • Доля каждого индикатора в индексе риска на диаграмме веса.

Пример информационной панели индекса комплексности безопасности данны

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Другая информационная панель – Индекс комплексности безопасности данны. Как упоминалось ранее, высокая степень комплексности является потенциальным фактором утечки данны. Панель визуализирует текущую степень комплексности, количественно представленную при помощи индикаторов.

Анализ данны о производительности

Сбор данны о производительности в форме KPI – это то, что регулярно делает большинство компаний. Не имеет значения, какой инструмент автоматизации используется, доступно большое количество данны.

Вопрос всегда состоит в способе использования эти данны и трансформации и в полезную информацию. Некоторые идеи появляются в момент обсуждения стратегической карты или информационной панели. Поиск други идей может быть автоматизирован.

В этом смысле очень полезна функция анализа в BSC Designer. Некоторые примеры её использования:

  • Большинство рассмотренны нами индикаторов должно регулярно обновляться. При помощи анализа времени обновления можно определить, какие показатели должны быть вскоре обновлены, а какие – не были обновлены вовремя. Также автоматизировать обновления можно при помощи функции оповещений.
  • Каждый индикатор в ССП обладает весом, отражающим его относительную важность. При помощи анализа абсолютного веса можно найти показатели, имеющие наибольшее значение. Например, одним из самы важны индикаторов является рассмотренное ранее Среднее время обнаружения. Если команда планирует работать над несколькими инициативами, одна из которы обещает быть наиболее эффективной в обнаружении утечек, неободимо сосредоточиться именно на ней.
  • Иногда интересные выводы можно сделать, исодя из того, как менялись данные производительности. Быстрое и изменение – признак появления новы факторов, которые неободимо проанализировать. Почему значение показателя События среднего уровня риска уменьшилось на 30%? Стало ли это результатом внутреннего обновления системы или проблема заключается в отчетности?

Среднее время обнаружения обладает одним из наибольши весов

Обоснование, факторы успеа и ожидаемые результаты

В бесплатном курсе о стратегическом планировании мы говорим о важности понимания контекста цели. Недостаточно иметь лишь орошее описание цели, важно также понимать, чем был обусловлен её выбор, каковы факторы успеа её достижения и ожидаемые результаты.

Пример обоснования и фактора успеа для цели сокращения комплексности

Система показателей безопасности данны
Воспользуйтесь бесплатным планом для доступа к 28 шаблонам ССП, включая Система показателей безопасности данны.

Обратите внимание на цель шаблона системы показателей Сокращение комплексности ИТ и данны:

  • В обосновании цели Сокращение комплексности данны и ИТ объясняется её значение: «Высокая степень комплексности систем ПО и инфраструктуры данны – это фактор риска утечки данны».”
  • Также существует фактор успеа сокращения комплексности: ограничение доступа к наиболее ценным данным. Наибольший смысл это имеет в контексте цели: меньший доступ к конфиденциальным сведениям сокращает комплексность семы данны, а, следовательно, и уменьшает возможность и утечки.

В некоторы случая мы не обладаем конкретным планом достижения чего-либо, но имеем дело с обоснованной гипотезой. Пользователи BSC Designer могут добавлять гипотезы в цели. В нашем примере гипотеза Удалённая работа влияет на безопасность данны согласована с целью Регулярный аудит безопасности данны.

Также важно знать, каков ожидаемый результат. Например, ожидаемым результатом цели Обучение сотрудников в сфере безопасности данны является Ответственное управление информацией. Что это означает на практике? Как можно подсчитать этот результат? Эти вопросы могут стать началом интересной дискуссии.

Создание инициативы с бюджетом, владельцем и статусом.

Чтобы заполнить пробел между планированием и реализацией стратегии, используйте инициативы. Для примера возьмём инициативу Автоматизация тестирования уязвимостей и соответствия, согласованную с целью Снижение комплексности ИТ и данны.

Пример инициативы: автоматизация тестирования

  • Как именно команда намерена реализовать эту инициативу? Для добавления подробного плана используйте поле описание.
  • Как она согласована с другими планами сокращения рисков? Для добавления неободимы ресурсов используйте раздел документы. К мы добавили пример системы показателей ИТ.
  • Кто отвечает за эту инициативу? Назначьте владельцев, которые будут получать уведомления о значимы события.
  • Каков текущий статус инициативы? Обновляйте статус по мере прогресса работы над инициативой.
  • Как можно отслеживать прогресс в контексте инициативы? В нашем примере она связана с показателем Оват автоматизации, % , который является частью Индекс комплексности безопасности данны.

Выводы

В этой статье мы рассмотрели пример стратегии безопасности данны. Несколько важны идей, о которы мы говорили:

  • Существуют известные факторы риска утечки данны, а также надёжные способы минимизации воздействия инцидентов.
  • Помогите заинтересованным сторонам понять, как велика прямая и непрямая стоимость утечки данны.
  • Сосредоточьте стратегию на раннем обнаружении проблем и быстром реагировании.
  • Составьте план сокращения рисков и создайте команду реагирования, призванную сократить воздействие утечки данны.
  • Уменьшите комплексность системы ИТ и данны.
  • Регулярно обновляйте модели риска, тестируйте систему безопасности.
  • Человеческий фактор значительно повышает вероятность утечек. Занимайтесь образованием команды, отмечайте не только оценки за экзамен, но и изменения в поведении.

Что дальше? Хорошая стратегия кибербезопасности полностью соответствует потребностям вашей организации. Для начала создания собственной стратегии вы можете использовать наш шаблон стратегии безопасности данны. В комментария вы можете поделиться своими задачами и опытом и решения.

Что дальше?

Другие примеры Сбалансированны Систем Показателей

Стратегическая карта сформированная с помощью программного решения BSC Designer
8 ШАГОВ Для Создания Стратегической Карты от BSC Designer
KPI для Корпоративного Управления

Ссылки

  1. ^ Cost of a Data Breach Report. 2020, IBM Security
  2. ^ 2020 Data Breach Investigations Report, 2020, Verizon
  3. ^ Global Information Security Survey, 2020, EY
  4. ^ M-TRENDS Report, 2020, FireEye
Цитирование: Aleksey Savkin, "Система показателей кибербезопасности с KPI безопасности и защиты данных", BSC Designer, 20 марта, 2021, https://bscdesigner.ru/cybersecurity-strategy.htm.

Оставьте комментарий