Команды по безопасности живут в мире цифр. На информационных панелях отображаются данные о количестве заблокированных атак, кликах по фишинговым ссылкам, обнаруженных уязвимостях, примененных исправлениях, обработанных оповещениях и закрытых инцидентах. За последнее десятилетие индустрия кибербезопасности научилась измерять активность с возрастающей точностью.
Эксперты утверждают, что гораздо менее последовательным остается вопрос о том, помогают ли эти измерения советам директоров управлять рисками. Для директоров и высшего руководства цель отчетности по метрикам безопасности заключается не в каталогизации усилий. Она состоит в понимании подверженности риску, траектории и последствий.
Лица, принимающие решения, хотят знать, возрастает риск или снижается, насколько эффективны средства контроля и способна ли организация ограничить ущерб, когда предотвращение не удается. Таким образом, метрики полезны, когда они проясняют эти вопросы.
«Время — это действительно универсальная метрика, потому что его понимают все», — говорит Ричард Бейтлих, стратег и автор-резидент Corelight, в интервью CSO. «Как быстро мы обнаруживаем проблемы и как быстро мы их сдерживаем. Время нахождения уязвимости, время сдерживания. Для меня это вся суть игры».
Бейтлих утверждает, что организации не могут предотвратить каждое вторжение, но они могут измерить, как быстро они его распознают и сдерживают. Эта мера применима как для технической, так и для нетехнической аудитории, поскольку она напрямую связана с влиянием. Скорость обнаружения и сдерживания служат прокси-показателями предотвращенных бизнес-потерь.
Финансовая подверженность против операционной ясности
Майк Гамильтон, технический директор Pisces International, рассматривает отчетность по безопасности для совета директоров строго через фидуциарную призму. По его мнению, метрики имеют значение только в той мере, в какой они напрямую связаны с финансовыми последствиями.
«Прежде всего, совету директоров важны только деньги», — говорит Гамильтон в интервью CSO. «Их не волнуют жуткие русские кибер-переполнения буфера. Их волнуют деньги».
«В то время как технический директор по безопасности (CISO) может интересоваться такими метриками, как среднее время обнаружения, среднее время реагирования и тому подобное, совет директоров отвечает за защиту стоимости предприятия. Скорость обнаружения, управление уязвимостями и устойчивость к фишингу имеют для них большее значение, поскольку они ограничивают финансовые потери, регуляторную подверженность и операционные сбои», — говорит он. «На самом деле они хотят знать, как мы снижаем вероятность тех неблагоприятных последствий, которые влияют на бизнес».
Бейтлих, с другой стороны, утверждает, что советы директоров могут работать с широким спектром метрик, основанных на операционной деятельности и релевантных для управления, включая количество вторжений за определенный период. Эти цифры становятся значимыми, когда сопоставляются с последствиями. «Это было нарушение безопасности или просто несанкционированный доступ без последствий?» — спрашивает Бейтлих.
«У меня просто никогда не было такого опыта, чтобы мне казалось, что советы директоров не могут понять то, что я пытаюсь им объяснить», — добавляет он. «Проблема возникает, если вы говорите с ними на техническом языке, в котором у них нет основы, это вряд ли поможет».
Соблазн подсчета
Даже когда метрики не слишком технические и соответствуют влиянию на бизнес, возникает другая проблема: то, что подсчитывается, может вытеснить то, что действительно важно.
Венди Натер, давний CISO, а ныне советник в EPSD, предостерегает от приравнивания измерения к пониманию. «Когда вы отчитываетесь перед советом директоров, есть вещи, которые вы просто не можете подсчитать, но о которых все равно должны сообщать», — говорит она CSO.
Она приводит в пример инциденты, почти случившиеся инциденты и изменения в предположениях. «Обо всем, что меняет ваши предположения о том, как вы управляете своей программой безопасности, вы должны сообщать совету директоров, даже если вы не можете это подсчитать», — говорит Натер.
Регулярные метрики могут создавать ритм предсказуемости, и эта предсказуемость может усыпить членов совета директоров ложным чувством безопасности. «Метрики очень соблазнительны», — говорит она. «Они ведут нас к тому, что можно подсчитать, что происходит на регулярной основе». В результате может возникнуть постоянный поток данных, который скрывает структурный риск или возникающие слабости, предупреждает Натер.
Метрики также влияют на поведение в организации. В программах по фишингу Натер отдает предпочтение мерам, которые поощряют отчетность, а не наказывают за ошибки. «Вы хотите стимулировать отчетность и хвалить людей за то, что они это делают», — говорит Натер, подчеркивая, что то, что совет директоров решает измерять, в конечном итоге формирует поведение организации.
Джордж Цантес, партнер консалтинговой фирмы Newport, подчеркивает бремя доказательства эффективности программы безопасности. «Я считаю шокирующим, когда я общаюсь с разными советами директоров или компаниями и обнаруживаю, сколько времени они тратят на доказательство своей правоты, вместо того чтобы заниматься реальными делами», — говорит он CSO.
Эта динамика особенно заметна в регулируемых средах, где работа по обеспечению соответствия поглощает ресурсы, которые в противном случае могли бы быть направлены на снижение рисков. Регуляторный контроль также может изменить приоритеты. «Регуляторы могут сосредоточиться на пункте, который был двадцатым в вашем списке, но если они вынесут вам предписание, он немедленно станет № 1», — говорит Цантес. Он утверждает, что советы директоров должны иметь представление об этих компромиссах. Зрелая программа максимально снижает бремя доказательства, чтобы усилия по обеспечению безопасности были направлены на снижение риска, а не на подготовку документации.
Как ИИ подвергает стресс-тестированию метрики кибербезопасности на уровне совета директоров
Несмотря на то, что искусственный интеллект изменил многие аспекты операций по кибербезопасности, его быстрое внедрение пока не привело к появлению отдельного набора метрик безопасности для совета директоров. Вместо этого ИИ выявляет давние недостатки в том, как организации преобразуют активность в области безопасности в сигналы риска, на которые могут реагировать директора.
По словам экспертов, советы директоров пока не запрашивают специальные панели мониторинга ИИ. Однако они часто неявно спрашивают, увеличивает ли ИИ подверженность риску, ослабляет ли он средства контроля или изменяет ли способность организации ограничивать ущерб в случае возникновения проблем.
«Я не думаю, что у нас пока есть какие-либо метрики, основанные на результатах», — говорит Бейтлих из Corelight. Он утверждает, что прежде чем организации смогут измерить риск ИИ, они должны сначала установить базовые сигналы управления: где используется ИИ, насколько широко он развернут и расширяет ли он поверхность атаки или снижает операционную нагрузку.
Этот пробел в видимости уже вызывает беспокойство у многих руководителей служб безопасности. «Когда я разговариваю с CISO, их самая большая забота заключается в том, что они не всегда могут видеть, какой ИИ используется в их предприятии», — говорит Натер из EPSD. Без такого осознания советы директоров остаются с метриками активности, которые скрывают более фундаментальный вопрос о том, понимает ли организация риски, которые она внедрила.
Для Бернарда Брэнтли, CISO в Corelight, ИИ требует не новой системы измерения, а скорее более строгой дисциплины в отношении существующих. «Я не думаю, что они должны отличаться от ваших стандартных метрик», — говорит он CSO. На практике ИИ усиливает знакомые проблемы безопасности — первоначальный доступ, боковое перемещение и эксфильтрацию данных — за счет увеличения их масштаба и скорости.
Это усиление меняет то, что должны сигнализировать метрики на уровне совета директоров. Расширенное использование ИИ может увеличить требования к покрытию, нагружая команды и средства контроля. В то же время автоматизация на базе ИИ может сократить временные рамки реагирования.
«Мы смогли сократить MTTR [среднее время восстановления] для этой части нашего покрытия на 60%, потому что мы применили к этому агент», — говорит Брэнтли. Сигнал управления для советов директоров — это не само наличие ИИ, а то, как он смещает концентрацию риска, возможности реагирования и компромиссы в использовании ресурсов.
Для Цантеса из Newport надзор за ИИ — это тест на принуждение, а не на измерение. «Совету директоров нужно знать, что существуют хорошие и плохие способы использования ИИ», — говорит он. Но видимость без последствий — это не управление. «Даже знать, где могут находиться агенты ИИ в ваших активах, сложно», — добавляет Цантес. «Если вы не можете уволить кого-то за использование неправильного ИИ, значит, в этой политике у вас нет никаких рычагов влияния».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
