Q:
Как можно измерить безопасность ИТ?
A:ИТ-безопасность по своей природе является нематериальной и трудноизмеримой целью или услугой. Может быть чрезвычайно сложно точно оценить преимущества положений о безопасности или посмотреть, насколько хорошо работают системы безопасности. Тем не менее, в индустрии безопасности, некоторые лучшие практики появились для измерения эффективности стратегий и систем безопасности.
Одним из способов измерения безопасности ИТ является составление таблиц отчетов о кибератаках и киберугрозах с течением времени. Хронологически сопоставляя эти угрозы и реакции, компании могут приблизиться к оценке того, насколько хорошо работают системы безопасности при их внедрении. Компании могут также опрашивать людей, занимающих ключевые позиции в области безопасности, чтобы обеспечить своего рода «восприятие риска», которое также будет использоваться для сравнительного анализа безопасности. Некоторые эксперты рекомендуют отслеживать возврат инвестиций в безопасность, задавая правильные вопросы тем, кто работает на переднем крае кибербезопасности, и собирая все входящие данные, чтобы получить более полную картину результатов безопасности.
Компании также могут повысить точность и безопасность измерений, разбив безопасность на различные компоненты. Например, безопасность конечных точек - это конкретная реализация мер безопасности для конечных точек данных, таких как экраны смартфонов, планшетов и ПК. Другие аспекты безопасности данных включают данные, используемые по сети, где специалисты могут использовать сетевые контрольные точки для установления контрольных показателей безопасности или для измерения безопасности другими способами.
Для многих ИТ-специалистов измерение безопасности - это процесс «ввода-вывода», при котором эксперты по безопасности собирают данные о киберугрозах, вводят их в базу данных и готовят информативные отчеты. Эти виды сложного анализа помогают проводить оценку практики безопасности и помогают лицам, принимающим решения, иметь дело с управлением изменениями для стратегий безопасности. В целом, ИТ-безопасность включает в себя «жизненный цикл безопасности» с несколькими этапами и этапами реагирования на угрозы, а не просто предоставление статического типа защиты.
