在訪談中,ArmorCode的首席安全與信任官Karthik Swarnam討論了衡量網絡安全ROI的關鍵指標和KPI,分享了通過主動措施和與高管有效溝通來提升ROI的策略。
衡量網絡安全投資回報率的主要指標和KPI是什么?
如今,網絡安全投資不僅僅是為了避免成本,而是為了獲得更廣泛的利益,這些指標包括:
• 生產力:網絡安全措施可以顯著提高生產力,通過減少因安全漏洞導致的停機時間來提高運營效率和員工表現,衡量這一點的一個具體指標是事件發生后的平均控制時間(MTTC)。
• 安全態勢:通過跟蹤實施安全措施前后的漏洞數量和嚴重程度,可以量化企業的整體安全態勢,一個關鍵指標是減少修復活動的同時保持或提高安全態勢,這可以通過節省的工作時間或努力來衡量,傳統的衡量指標包括檢測到的事件數量、平均檢測時間(MTTD)、平均響應時間(MTTR)和補丁管理(部署修復的平均時間),安全意識培訓和衡量釣魚攻擊成功率也很重要。
• 網絡保險費:有效的網絡安全策略可以降低網絡保險費,反映出企業的風險狀況降低。
• 上市時間:安全開發實踐,如將安全評估移到軟件開發生命周期的早期階段,可以減少新產品和服務的上市時間,下一代安全計劃應該能夠衡量這一屬性。
• 風險緩解成本:評估風險緩解策略的成本效益至關重要,這包括將各種安全措施的成本與安全事件的潛在損失進行比較,并將這一數據與補丁管理和已修復的漏洞數量聯系起來,現代計劃使企業能夠從風險的角度優先修復最重要的問題,總體而言,修復成本比事件成本更能反映企業的整體安全態勢。
• 工具優化:通過利用治理層,企業可以消除冗余的安全工具,優化其安全投資,對安全工具的持續評估確保只使用最相關的解決方案,年度安全支出應與企業的有效性衡量標準一起考慮,并且該標準應靈活適應工具和應用環境的特殊性——每項技術應有三個可衡量的成功指標。
• 客戶體驗:改進身份和訪問管理可以簡化用戶驗證步驟,通過減少憑證驗證相關的摩擦來提高客戶體驗。
• 網絡性能:增強網絡安全也可以改善網絡連接性和減少延遲,從而提高整體系統性能并阻止惡意攻擊。
• 數據保護:實施強有力的安全控制措施可以最大限度地降低數據泄露的風險和影響,通過監控數據丟失防護(DLP)違規行為并響應警報來保護企業免受數據丟失的嚴重后果。
什么樣的主動投資策略可以在企業網絡安全中帶來更高的ROI?
在網絡安全中,主動投資策略通過預防事故發生和優化安全操作可以顯著提高投資回報率,關鍵策略包括:
• 推進左移安全:投資于早期的安全評估和漏洞識別,可以在問題變得嚴重之前就減輕風險,這種方法確保從開發過程一開始就集成了安全性。
• 利用安全態勢管理:實施應用安全態勢管理(ASPM)等解決方案,有助于識別和優先處理對企業最重要的風險,而不是不加區分地處理所有漏洞。
• 部署治理工具:部署治理工具可以為特定員工群體(如開發人員)提供量身定制的培訓,而不是一刀切的方法,這種有針對性的培訓提高了安全措施的有效性并降低了成本。
• 最大化工具優化:企業經常積累過多的安全工具,導致重復和效率降低,簡化、整合和優化安全工具可以帶來顯著的成本節約和改進的安全成果,例如,將治理、風險和合規(GRC)與漏洞管理集成到一個平臺中,可以簡化操作并減少冗余。
向高管領導和利益相關者展示網絡安全投資ROI的最佳實踐是什么?
向高管領導和利益相關者展示網絡安全投資的ROI需要清晰、基于指標的溝通。最佳實踐包括:
• 基于指標的方法:使用具體、可量化的指標展示安全態勢和運營效率的改善,例如,強調漏洞修復時間的減少、事件響應成本的下降和合規率的提高。
• 與業務對齊的安全性:展示網絡安全措施如何與業務目標對齊并支持業務目標,這包括更快的產品交付、縮短的上市時間和提高的客戶滿意度。
• 以風險為中心的報告:強調專注于最關鍵的業務特定風險如何帶來更好的資源分配和減少不必要的修復工作。
• 工具優化的好處:展示通過優化安全工具和消除重復帶來的成本節約和效率提升。
集成先進技術如AI和機器學習對網絡安全ROI有何影響?
集成先進技術如AI和機器學習可以通過動態優化安全解決方案深刻影響網絡安全ROI,使企業能夠實時適應不斷變化的威脅,這些技術增強了威脅檢測能力,比傳統方法更快、更準確地識別和響應威脅,從而減少安全事件的可能性和影響。
此外,AI驅動的自動化簡化了安全操作,減少了對人工干預的需求,并釋放資源用于更具戰略性的活動,這種動態威脅管理、有效響應能力和操作自動化的結合,顯著提升了網絡安全投資的整體效益和成本效率。
你會給希望提高其企業網絡安全投資回報率的安全專業人士哪些建議?
為了提高網絡安全投資回報率,安全專業人士應該:
• 建立清晰的指標:在身份和訪問管理、風險修復、軟件開發、數據丟失防護和消息安全等各個領域定義并衡量關鍵指標。
• 開發相關措施:確保所使用的指標與企業的具體背景和目標相關且有意義。
• 設定安全容忍度:建立可接受的風險水平,并將這些作為評估安全性能的基準。
• 定期報告:定期生成安全測量和報告,以保持可見性和問責性,這有助于持續跟蹤進展并根據需要對安全策略進行知情調整。
通過優先考慮以上措施,企業可以展示其網絡安全投資的價值,并通過改進的安全性和運營效率獲得更高的投資回報。
