DIGINEWS

Предупреждение о сборе статистики

DigiNews целенаправленно не собирает и не хранит историю визитов, но в работе использует счётчики, который могут собирать статистику посещений.

Измение этой статистики, её динамика помогает нам понимать предпочтения читателей и в какую сторону нам двигаться для улучшения. Ваше согласие нам поможет в этом.

Ссылка: [Политика безопасности dgnews.ru]

Ключевые показатели безопасности: как измерить кибербезопасность.

Steve Durbin
14.01.2026
Безопасность
кибербезопасность,ит-риски,kpi,метрики,уязвимости,отчетность

Измерение кибербезопасности — сложная задача для руководителей и ИТ-специалистов. Узнайте, как выстроить эффективную систему отчетности, используя категории измерений (контроли, активы, уязвимости), KPI и KRI. Пошаговое руководство из пяти этапов поможет трансформировать технические данные в понятные для бизнеса метрики, способствующие принятию верных решений по управлению ИТ-рисками.

Важнейшей опорой любой зрелой программы по управлению киберрисками является способность измерять, анализировать и отчитываться о производительности ИТ-безопасности и зарегистрированных угрозах. Однако измерение кибербезопасности — непростая задача: во-первых, многим руководителям без соответствующей подготовки сложно понимать ИТ-риски. Во-вторых, специалисты по безопасности слишком часто увязают в технических деталях, которые сбивают с толку заинтересованные стороны и ведут по ложному пути.

Идеальный сценарий: эксперты по безопасности измеряют и отчитываются о кибербезопасности таким образом, который понятен и полезен для руководства, что приводит к действенным результатам. Звучит неплохо? В этой статье мы расскажем, как этого добиться.

Категории измерения ИТ-безопасности

Большинство заинтересованных сторон интересуют вопросы рисков, соблюдения нормативных требований или безопасности. Однако на них, как правило, нельзя ответить одним показателем. Тем не менее, специалисты по безопасности могут измерять ряд параметров, чтобы ответить на вопросы и опасения заинтересованных сторон. Их можно (грубо) разделить на следующие категории:

  • Контрольные меры: Меры, принимаемые для отражения угроз и снижения рисков.

  • Активы: Любой объект, имеющий ценность для организации или находящийся в ее владении.

  • Уязвимости: Слабые места в системе, которые могут быть использованы.

  • События-угрозы: События, спровоцированные угрозой, которые потенциально могут нанести ущерб активам.

  • Инциденты безопасности: События, которые «успешно» повлияли на компанию, например, в виде сбоев (систем), утечек данных или кибератак.

Эти категории можно далее детализировать по различным факторам: числам, времени или затратам.

Например, числа могут измеряться в виде процента серверов, на которых не установлено обновление. Другой вариант: измерять время, необходимое для обнаружения инцидента безопасности. Наконец, затраты — например, в виде расходов на восстановление или простоев — могут дать представление о финансовом влиянии событий безопасности.

Метрики, KPI и KRI кибербезопасности

При представлении отчетов бизнес-командам специалисты по безопасности или лица, принимающие решения, должны выбирать максимально релевантные показатели. Большинство команд по безопасности фокусируются на метриках, отражающих измерения низкого уровня в отношении активов, уязвимостей и событий-угроз. Однако на уровне руководства и совета директоров решающее значение имеют KPI (ключевые показатели эффективности) и KRI (ключевые индикаторы риска), поскольку они помогают ответить на конкретные вопросы, касающиеся ИТ-рисков, статуса и готовности. Например:

  • Насколько мы защищены?

  • Приносят ли инвестиции в безопасность пользу компании?

  • Соответствуем ли мы всем нормативным требованиям с точки зрения безопасности?

  • Насколько мы готовы к атакам с использованием программ-вымогателей или атакам на цепочку поставок?

Именно поэтому специалистам по безопасности следует сосредоточиться на KPI и KRI.

Хотите прочитать больше интересных материалов по теме ИТ-безопасности? Наша бесплатная новостная рассылка доставит все, что необходимо знать лицам, принимающим решения и экспертам в области безопасности, прямо в ваш почтовый ящик.

Получить новостную рассылку CSO прямо сейчас

Измерение кибербезопасности в 5 шагов

Построение правильной системы измерений — это поэтапный, итеративный процесс. Ниже приведены пять основных шагов для создания цикла измерения безопасности.

1. Определение требований

Обсудите с соответствующими заинтересованными сторонами их потребности, чтобы определить и понять их требования. На данном этапе у них может еще не быть всеобъемлющего понимания ИТ-рисков или их собственных потребностей. Поэтому для специалистов по безопасности рекомендуется подход «снизу вверх», когда они сами проявляют инициативу и задают вопросы для определения требований.

2. Выбор ключевых индикаторов

Как только требования заинтересованных сторон определены, эксперты по безопасности должны выбрать те ключевые индикаторы, которые способствуют их достижению. При этом следует проконсультироваться с заинтересованными сторонами и проинформировать их о предполагаемых последующих измерениях.

Когда заинтересованные стороны знают ключевые индикаторы, они могут принимать меры или решения. Ключевые индикаторы должны быть высокого уровня, и их количество должно быть управляемым. В конце концов, цель состоит в том, чтобы облегчить принятие решений.

3. Идентификация метрик

После определения целей и ключевых индикаторов командам по безопасности необходимо сосредоточиться на метриках низкого уровня, которые помогают отчитываться по этим индикаторам. В зависимости от типа индикатора, это может потребовать десятков метрик из различных описанных выше категорий измерений.

4. Сбор и анализ метрик

Поскольку требования установлены, ключевые индикаторы выбраны, а метрики определены, специалисты могут начать собирать и анализировать данные на этой основе. Метрики должны выводиться только из данных, которые являются точными, актуальными, релевантными и достоверными. В противном случае это может привести к решениям, имеющим серьезные последствия для положения безопасности компании.

Задача команд по безопасности — найти способы непрерывного сбора данных (большинство измерений требуют обзора тенденций с течением времени) и, по возможности, автоматизировать этот процесс (ручной процесс может быть утомительным и трудоемким).

5. Отчетность по ключевым индикаторам

Ключевые индикаторы должны своевременно доводиться до сведения лиц, принимающих решения. Специалисты по безопасности и заинтересованные стороны должны договориться о временном ритме, а также о формате отчетности: требуются ли дашборды или достаточно презентаций PowerPoint? Ключевые индикаторы должны быть наглядными и легко понятными, чтобы побудить к принятию решений или мер.

Кроме того, важно после каждого цикла отчетности просматривать ключевые индикаторы и переоценивать их (с участием заинтересованных сторон). Если деловые требования действительно изменились, необходимо заново определить требования и разработать другой набор индикаторов и метрик.

Компании, заинтересованные стороны и эксперты по безопасности не должны бояться шагов назад или вперед: способность быстро продолжать, импровизировать или переориентироваться после быстрой неудачи является решающим навыком для успешного измерения кибербезопасности. (fm)

Эта статья основана на материале нашего американского партнера CSO Online.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Steve Durbin

Оригинал статьи