衡量意识计划的有效性可能具有挑战性,特别是对于那些没有风险管理背景的人来说。本文将介绍如何选择有价值的度量值和创建可用的度量值。详细讨论了指标的正确汇报方式和呈现方式,因为它对于获得高级管理层的理解和支持至关重要。
衡量成效
意识计划中经常被遗忘的一部分是跟踪进度和衡量影响的方法。这些指标将用作对计划进行调整并向高级管理层汇报进度的指南。如果你的组织有风险管理团队,请就其当前的指标计划向他们咨询。他们收集的部分数据很可能可用于意识培训指标。
度量值 vs 指标
这些信息类型通常可以互换使用,但是,它们又不完全一样。度量是在特定时间确定的值,通过计数 [1] 生成。度量的一个示例是上个月报告的受感染计算机的数量。
指标是通过对度量值的分析生成的。指标是在一定时间内进行的两个或多个度量值的比较,并与预定基线进行比较[1]。例如,受感染计算机的数量在第二季度比第一季度增加了5%。可用的指标取决于准确的度量。
安全指标的定义
通过区分指标和度量,有助于理解什么是指标。度量提供了特定离散因素的单点时间视图,而指标是通过将一段时间内两个或多个度量值与预定基线进行比较而得出的。通过计数产生度量值;指标是通过分析生成的。换句话说,度量是客观的原始数据,指标是对这些数据的客观或主观的人类解释。
国际系统安全工程协会(International Systems Security Engineering Association)的乔治·杰伦(George Jelen)表示,好的指标遵循 SMART 原则,即具体的、可度量的、可实现的、可重复的和时间相关的。真正有用的指标表明了安全目标(如数据机密性)的实现程度,它们推动了为改进组织的整体安全计划而采取的行动。区分主要对直接负责安全管理的人有意义的指标和直接与管理层利益和问题有关的指标,对于制定有效的安全指标计划至关重要。
安全指标的价值
一个被广泛接受的管理原则是,如果一个活动不能被度量,那么它就不能被管理。安全属于这个范畴。对于安全管理人员来说,指标是一个有效的工具,可以识别其安全计划的各个组成部分的有效性,特定系统、产品或流程的安全性,以及组织内员工或部门解决其负责的安全问题的能力。指标还可以帮助确定不采取特定行动的风险水平,并以这种方式为确定纠正行动的优先级提供指导。此外,它们还可用于提高组织内部的安全意识水平。最后,利用通过指标获得的知识,安全经理可以更好地回答高管和其他人提出的难题,例如:
我们今天比以前更安全吗?
在这方面,我们与其他人相比如何?
我们是否足够安全?
构建安全指标程序
为了促进对新安全指标计划的所有级别的理解和接受,建议将计划置于组织已经熟悉的过程改进框架中。例如,杜邦公司就把它的计划建立在流行的“六西格玛突破战略”的基础上,这是一种市场上销售的管理过程,这是一种以消除缺陷为重点的市场化管理过程。First Union 公司将其指标计划与公司安全标准合规性联系起来。贝尔斯登和公司的一名代表支持基于审计的方法,以验证是否符合行业标准控制目标以及当地定义的标准。
不管底层框架是什么,下面的七个关键步骤都可以用来指导建立安全衡量程序的过程:
1. 定义衡量程序的目标和目的
2. 决定生成哪些指标
3.为生成指标标准制定策略
4. 制定基准和目标
5. 确定如何汇报这些指标
6. 制定一个行动计划并付诸行动
7. 建立正式的程序评审/改进循环
这个七步法应该对安全度量计划的目的、其特定的可交付成果、以及如何、由谁提供以及何时提供这些可交付成果有一个明确的理解。也许对一些人来说,开发安全衡量指标程序的任务可能令人望而生畏,但并不一定如此。这个七步法可以指导开发非常简单的指标计划,以及雄心勃勃的计划。事实上,一些在安全衡量指标方面有经验的人建议可以从简单的指标开始。他们也建议管理者要做简单、廉价、快速的事情,并尽可能利用现有的衡量标准。需要记住的重要一点是,生成的指标应该足够有用,以推动整体安全计划的改进,并帮助证明该计划对整个组织的价值。
文本旨在概述安全衡量指标的当前状态,以及制定衡量计划的建议。以下是值得注意的相关标准或倡议,可提供进一步的见解和指导:
4、国防部的信息保障准备项目
5、通用标准的ISO标准
创建指标
成功的指标计划包括明确定义的度量值以及获取这些度量值的必要步骤。记录所需的度量值和负责人是关键。以下示例来自 SANS 社区网站 [2]。提供了许多意识计划资源,包括 https://www.securingthehuman.org/resources/security-awareness-roadmap/ 的示例指标矩阵。每个指标至少应具有以下部分。
指标名称
指标名称应为可根据一种或多种类型的度量值计算的高级主题。对于此示例,我们将对网络钓鱼检测进行指标创建。
衡量内容
度量是客观的原始数据,这意味着无需人工解释即可获得度量值。网络钓鱼检测的度量是报告给安全团队的可疑电子邮件的数量。此度量值旨在评估遵循正确程序报告可疑邮件的员工人数。虽然仅此度量值就足够了,但额外的度量值可以提供更多的见解。度量有关可疑电子邮件的帮助台电话或电子邮件的数量也很有用,因为它可以指示未遵循正确程序的员工人数。
可以收集的度量值数量没有限制。与评估关联的网络钓鱼检测的一些其他度量值包括:
■ 发送的电子邮件数量
■ 打开的电子邮件数量
■ 点击链接的员工人数
■ 输入信息的员工人数
如何度量
获取网络钓鱼检测度量值的常用方法是执行评估。为了继续说明网络钓鱼检测的示例,我们将在每次网络钓鱼评估结束时收集向安全部门报告了多少封可疑电子邮件(如下图所示)。如果你使用的是商业工具,则每次评估期间发送的电子邮件数量可从报告界面中获得。
PhishingBox 平台的网络钓鱼结果报告页面
何时度量
应在每次评估结束时获得网络钓鱼演练的度量值。如果你的组织每两年执行一次评估,则每半年收集一次数据。但是,并非所有报告的电子邮件都与评估相关。因此,应每月收集一次非评估数据。
由谁度量
这个指标存在多个信息源。安全团队收集收到的可疑电子邮件的数量。网络钓鱼评估相关数据由评估联系人收集。技术支持人员收集与网络钓鱼电子邮件相关的电子邮件和电话呼叫的数量。
额外的度量值
现在我们已经介绍了一个示例,以下是一些其他有用的度量值:
■ 受感染机器的数量
■ 完成意识培训的员工人数
■ 午餐和学习人数
■ 安全意识网站点击次数
■ 通过电子邮件发送给安全团队的一般问题数量
■ 员工全年考试成绩
■ 留在公共区域的敏感文件数量
■ 没有锁屏且无人值守的计算机数量
■在办公园区外面佩戴工牌的员工人数
如果你的安全意识计划是新建立的,则你的度量可能会更侧重于部署。即使你的安全意识计划尚未完全实施,收集操作度量值对于证明随着时间的推移而改进也很重要。
汇报指标
指标旨在为查看者提供决策所需的信息。但是,如果指标显示不正确,它们将被视为无效,并且对意识计划的影响很差。正确呈现指标的秘诀是了解目标受众。
在顶层,高级管理人员对能够洞察项目成熟度、成本和收益的高级信息感兴趣。重要的是要表明安全意识项目正在对组织的整体安全文化产生积极的影响。中间层,即中层管理,需要部门级别的信息来评估绩效等级和潜在的业务影响。最低层由安全意识计划经理和员工组成。这一层需要详细的信息,以便调整程序内容以获得更好的绩效。
构建演示文稿
确定受众并选择适当的指标后,就可以构建演示文稿了。显示指标的一些关键要素如下:
介绍
提供该计划的简短介绍。如果程序正在部署中,请简要概述部署计划、关键里程碑和迄今为止取得的成就。
指标是如何推导出来的
在较高的层次上解释获得了哪些度量值以及它们是如何收集的。时间是决策的一个重要因素,所以也要包括度量的频率。
有哪些指标
如上所述,仅包含与你的受众相关的指标。图表是最流行的指标报告样式。但是,图表只有在以有意义的方式描述数据时才有用。为数据选择正确类型的图表至关重要。图表的三个主要类别是比较,过渡和组合[4]。
比较图表最适合识别数字的高点和低点。两年内每个季度报告的可疑电子邮件数量最好用这种格式表示(如下图所示)。簇状条形图和柱形图是最常用的表示形式。
簇状柱形图
过渡图非常适合基于时间的数据来了解变化率。访问安全意识网站的次数和成为网络钓鱼演练活动牺牲品的员工数量都是过渡图表的绝佳候选者(如下图所示)。折线图和面积图最适合表示此类数据。
带有数据点的折线图
组合图表示数据值如何分解为段。每个部门完成的意识培训最好表示为组合图表。许多网络钓鱼演练活动的详细信息也可以通过这种方式呈现。打开网络钓鱼电子邮件的员工百分比、单击所附链接的员工百分比以及未打开电子邮件的员工百分比可以在组合图中表示(如下图所示)。饼图是此类数据最流行的表示形式;但是,也可以使用堆叠条形图。
带百分比的饼图:各部门参与安全培训的完成度
在颜色和灰度中使用易于区分的基本颜色。虽然鲜艳的颜色选择很诱人,但如果把 PPT 投屏后,通常很难看出来。最重要的是,保持幻灯片和报告部分的简单性。一张幻灯片只应讨论一个主题。在幻灯片上混合主题和指标通常会分散观看者的注意力,使演示文稿难以理解。
附录
[1] 安全指标指南:https://www.researchgate.net/profile/Abdelkader-Bouaziz/post/Security_metrics_refrences/attachment/60eefc98647f3906fc88d119/AS%3A1045487146786816%401626274968696/download/Security+Metics+2.pdf
[2] 安全意识路线图:https://www.securingthehuman.org/resources/security-awareness-roadmap/
[3] 制定有效信息安全治理的指标:http://www.isaca.org/Journal/Past-Issues/2007/Volume-2/Pages/Developing-Metrics-for-Effective-Information-Security-Governance1.aspx
[4] 为你的数据选择正确的图表类型:http://www.tutorial9.net/tutorials/web-tutorials/selecting-the-right-chart-type-for-your-data/