Сбалансированная система показателей кибербезопасности: руководство по применению с примерами KPI

Пример стратегической системы показателей с индикаторами эффективности, которая учитывает новые тенденции в области кибербезопасности.

Руководящие принципы для карты стратегии кибербезопасности. Источник: Система показателей безопасности данных.

Ключевые темы статьи:

Начальная точка: исследования безопасности данных

Регулярные исследования безопасности и защиты данных дают нам хорошее представление о коренных причинах утечек данных и способах их предотвращения. В этой статье мы обсудим пример того, как эти выводы могут быть объединены в комплексную стратегию кибербезопасности, измеряемую с помощью KPI.

Вот отчеты, которые мы будем использовать в качестве ссылки:

• Отчет об утечке данных от IBM¹, исследования проведены Институтом Понемон и являются одним из эталонов в мире ИТ-безопасности.
• Отчет о расследованиях утечек данных Verizon² добавляет другую перспективу о рисках кибербезопасности и способах их разрешения.
• Глобальное исследование информационной безопасности EY³ делится лучшими практиками, которые организации внедряют для решения проблем безопасности данных.
• Отчет FireEye M-TRENDS⁴ сообщает об угрозах безопасности данных и их эволюции со временем.

Терминология: Кибербезопасность, Безопасность данных, Защита данных, Конфиденциальность данных

Давайте начнем с обсуждения различий между терминами безопасность данных/информационная безопасность и защита данных (конфиденциальность данных).

• Безопасность данных/информационная безопасность касается поддержания безопасной архитектуры для управления данными. Подумайте о регулярных резервных копиях, актуальном программном обеспечении безопасности, правах доступа, внедрении программного обеспечения DLP и т.д.
• Защита данных связана с этическим и правовым использованием данных — получением согласия и соблюдением нормативных обязательств.

Это различие важно. Например, в случае с Facebook–Cambridge Analytica данные управлялись безопасно (были зашифрованы и хранились на защищенном сервере), но не управлялись ответственно в соответствии с нормами защиты данных.

Термин защита данных в основном используется в Европе и Азии, тогда как в США тот же концепт называют конфиденциальностью данных. Франсуаза Гилберт поделилась хорошим объяснением различий в своем блоге.

Наконец, термин кибербезопасность предполагается охватывать более широкий спектр идей, включая не только безопасность данных, но и другие системы безопасности. На практике он часто используется взаимозаменяемо с термином безопасность данных.

Зачем нам нужны KPI и стратегия в области кибербезопасности?

Помимо очевидных идей, таких как понимание текущего состояния вашей организации и направления для движения, я бы упомянул следующие причины:

• Иметь возможность подкреплять аргументы данными при презентации новых решений в области безопасности заинтересованным сторонам.
• Формулировка бизнес-контекста помогает связать инициативы в области кибербезопасности с другими частями стратегии, например, с системой показателей по управлению талантами, системой показателей для IT или системой показателей корпоративного управления.
• Преобразование некоторых расплывчатых идей, таких как «высокозащищенная бизнес-среда, использующая новейшие IT-технологии», в нечто более осязаемое с конкретными показателями эффективности.

Как измерить то, что еще не произошло

Может показаться, что безопасность данных — это нечто неосязаемое и трудно квантировать и измерять, поскольку мы никогда заранее не знаем, с каким видом утечки данных столкнется организация. Эмпирические исследования, упомянутые в начале (см., например, отчет IBM Security), представляют другую точку зрения.

Большинство утечек данных вызваны известными факторами, такими как:

• Компрометированные учетные данные (19%)
• Фишинг (14%)
• Ошибочная конфигурация облака (19%)

Это дает нам представление о том, на чем следует сосредоточить усилия по кибербезопасности.

Хотя мы не можем предотвратить все утечки данных, данные показывают, что мы можем уменьшить их влияние на организацию, если:

• Реализовать автоматизацию безопасности,
• Иметь готовую команду реагирования и план реагирования,
• Обучать сотрудников, и
• Тестировать бизнес-среду, используя такие подходы, как тестирование красной командой.

Для наиболее критичных бизнес-функций и активов мы определим точку восстановления и цели по времени восстановления, которые могут быть формализованы в системе показателей для восстановления после катастроф и связаны с системой показателей кибербезопасности.

Какие бизнес-модели применимы для обеспечения безопасности данных?

Ранее мы обсуждали различные бизнес-модели, которые помогают организациям формулировать и выполнять свои стратегии. Какие модели применимы для области кибербезопасности?

Для достижения наилучших результатов нам необходимо сочетать различные модели:

• Мы будем использовать PESTEL-анализ для выявления и анализа новых факторов внешней среды (см. цели с перспективы Обучения и Развития). Это могут быть изменения в законодательстве, такие как законы о защите данных, или разрушительные изменения, которые мы наблюдали после Covid-19, например, тренд на удаленную работу.
• Мы много поговорим о сосредоточении на усилиях по реагированию. В этом контексте помогут различные модели приоритизации.
• При работе над стратегией безопасности данных необходимо учитывать действия, требующиеся сегодня, в ближайшем будущем, и некоторые инициативы на отдаленное будущее. В этом контексте модель Трех Горизонтов поможет провести дисциплинированные обсуждения.
• Для преобразования всех этих разрозненных идей в связную стратегию мы используем модель Сбалансированной системы показателей.

Давайте использовать упомянутые бизнес-модели и исследовательские отчеты, на которые ссылались в начале, чтобы создать пример стратегии безопасности данных.

Финансовая перспектива. Оценка финансового воздействия на безопасность данных

Финансовые KPI для безопасности данных являются обязательными при представлении инициатив по безопасности заинтересованным сторонам. Презентация выглядит еще более впечатляюще, если могут быть предоставлены соответствующие отраслевые показатели.

Отчет Verizon, а также отчет IBM (проведенный Институтом Ponemon) предоставляют некоторые инсайты в этом контексте. Иногда данные противоречивы. Например, вы обнаружите, что затраты на утечку данных на запись значительно варьируются. Отчет IBM дает диапазон от 150 до 175 долларов, в то время как, согласно отчету Verizon (см. Отчет об исследованиях утечек данных, 2015), это около 0,58 доллара. Кен Спиннер поделился некоторыми объяснениями на эту тему в TeachBeacon.

Цель снижения потенциального финансового воздействия утечек данных разбивается на конкретные индикаторы результата. Источник: Система показателей безопасности данных.

Как вы можете оценить стоимость утечки данных в случае вашей организации?

Это может быть основано на прямых и косвенных затратах:

• Прямые затраты включают стоимость судебно-медицинской экспертизы, штрафы, компенсации клиентам.
• Косвенные затраты относятся к потере существующих и потенциальных клиентов, сотрудников, партнеров, которая произошла из-за утечки данных.

В системе показателей безопасности данных мы можем взять некоторые показатели из исследований Ponemon или Verizon для метрики стоимости утечки данных на запись и умножить их на число записей, находящихся под угрозой.

Для выполнения расчетов нам понадобятся некоторые базовые бизнес-данные:

• LTV (пожизненная ценность клиента)
• Оценка оттока клиентов из-за утечки данных
• Число клиентов
• Число записей, находящихся под угрозой
• Потерянные потенциальные клиенты

Значение для индикатора 'Стоимость утечки данных' рассчитывается с использованием значений двух других индикаторов. Источник: Система показателей безопасности данных.

Соответственно, прямое воздействие утечки данных можно рассчитать как:

• Затраты на утечку данных (прямые затраты) = Стоимость утечки данных на запись * Число записей, находящихся под угрозой

Что касается косвенных затрат, один из способов их количественного определения — использование уровня оттока клиентов из-за утечки данных и LTV:

• Стоимость оттока клиентов = [Число клиентов]*[LTV]*[Отток клиентов из-за утечки данных]/100

Дополнительно вы можете оценить число потенциальных клиентов, которые не заключили контракт.

• Стоимость упущенной возможности = [Потерянные потенциальные клиенты] * [LTV]

Перспектива клиентов. Квантификация рисков безопасности.

С точки зрения клиентов, основная цель формулируется так:

• Уменьшить риски безопасности данных и защиты данных

Общая цель для клиентов формулируется как 'Уменьшить риски безопасности данных'. Ее результаты квантифицируются через индекс 'взвешенного риска'. Источник: Система показателей безопасности данных.

Это квалифицируется следующими индикаторами:

• Индикатор действия Раннее обнаружение и быстрая реакция на риски данных, который является результатом целей из Внутренней перспективы
• Индикатор действия Готовность к защите данных
• Индикатор результата Индекс взвешенного риска

Логика здесь такова, что организация работает над внутренними системами безопасности (квантифицируется через раннее обнаружение и быструю реакцию на риски данных) и вводит необходимые меры по защите данных (квантифицируется через Готовность к защите данных) для лучшего уменьшения рисков безопасности данных, квантифицируемых Индексом взвешенного риска.

• При создании стратегии безопасности данных, убедитесь, что ваша команда понимает разницу между метриками для факторов успеха (ведущие метрики) и метриками для ожидаемых результатов (запаздывающие метрики).

Давайте обсудим индикаторы с точки зрения клиентов более подробно.

Взвешенный индекс риска

Цель этого индикатора — количественно оценить текущий уровень риска, с которым сталкивается организация. Для этого мы количественно оценим число утечек данных, классифицируя их по уровню влияния:

• Критические рисковые события, вес 70%
• Важные рисковые события, вес 20%
• Рисковые события среднего уровня, вес 7%
• Рисковые события низкого уровня, вес 3%

Как видите, была применена нелинейная шкала веса. С этой моделью критические утечки данных оказывают наибольшее влияние на метрику индекса, в то время как события низкого уровня оказывают низкое влияние.

Взвешенный индекс риска учитывает рисковые события разного уровня - от критических рисковых событий (наибольший вес) до рисковых событий низкого уровня (наименьший вес). Источник: Система показателей безопасности данных.

Этот подход решает проблему манипуляции системой измерений, когда контрольный индикатор переводится в зеленую зону путем решения менее значительных вопросов. Тем не менее, нам нужно убедиться, что рисковые события классифицированы правильно.

Если вас интересует больше информации о расчете индикаторов индекса и учете веса индикаторов, то ознакомьтесь с соответствующей статьей на нашем сайте.

Измерение защиты данных или конфиденциальности данных

Как уже было объяснено, защита данных связана с этичным и законным использованием персонально идентифицируемой информации (PII) и подобных данных.

Меры защиты в данном случае четко определены применимым законодательством. В Европе это GDPR; в США существуют различные законы в зависимости от сферы бизнеса, такие как CCPA, HIPPA, PCI DSS, GLBA.

Пример бинарного индикатора (возможные состояния: 'Да' или 'Нет' - когда значение 'Да', эффективность этого индикатора составляет 100%, в противном случае 0%. Источник: Система показателей безопасности данных.

Если взять GDPR в качестве примера, с точки зрения измерения защита данных может отслеживаться индексным индикатором, Индекс готовности к защите данных, который рассчитывается с использованием таких метрик (в основном бинарных), как:

• Назначен ответственный за защиту данных
• Отслеживание явного согласия
• Процедура отчетности о нарушении данных
• Реализовано право на доступ, исправление, удаление
• Право на переносимость данных

Эти индикаторы могут быть детализированы до самых специфических случаев, применимых к организации, ее продуктам и услугам.

Чтобы обеспечить соответствие нормативным требованиям, эти индикаторы, а также юридические требования должны регулярно пересматриваться. Это можно автоматизировать с помощью функции интервал обновления для соответствующего индикатора. См. раздел Автоматизация ниже для более конкретных примеров.

Внутренняя перспектива. Как уменьшить риски безопасности данных

Чтобы найти цели и индикаторы эффективности для внутренней перспективы, нам нужно провести анализ корневых причин и рассмотреть точки риска/затрат.

Результаты будут зависеть от бизнес-доменов и бизнес-систем конкретной организации. Тем не менее, существуют некоторые общие тенденции, которые были выделены в отчетах IBM Security и Verizon. Мы будем использовать эти выводы для формирования целей и KPI для внутренней перспективы системы показателей.

Драйверы стратегии кибербезопасности. Цель 'Раннее обнаружение' поддерживается двумя подцелями - 'Разработать план по работе с риском' и 'Уменьшить сложность IT' - все со своими соответствующими индикаторами эффективности и инициативами. Источник: Система показателей безопасности данных.

Раннее обнаружение и быстрая реакция на риски данных

Если произошла утечка данных, быстрая реакция в плане обнаружения и реагирования значительно снизит затраты.

В системе показателей это количественно оценивается двумя индикаторами результата:

• Среднее время обнаружения
• Среднее время реагирования

Индикаторы результата количественно оценивают то, что уже произошло. Как организация может повлиять на эти индикаторы? Те же отчеты предлагают определенные действия, которые обычно ведут к более эффективной реакции на угрозу безопасности данных.

Пример фактора успеха - 'Сформирована команда реагирования на инциденты' является фактором успеха в минимизации воздействия утечки данных. Источник: Data Security Scorecard.

В шаблоне системы показателей вы найдете две записи, связанные с целью Раннее обнаружение и быстрая реакция:

• Сформированы команды реагирования на инциденты. Эта запись отмечена как фактор успеха. Согласно отчету IBM Security, это одна из основных причин минимизации воздействия утечек данных.
• Обнаружение высокорискового доступа к данным. С этой инициативой ваша команда может приоритизировать свои усилия в соответствии с воздействием определенных типов доступа к данным. Если вы ищете более систематический подход к приоритизации, ознакомьтесь со статьей о моделях приоритизации.

В контексте цели Раннее обнаружение и быстрая реакция существуют еще два индикатора действия. Оба основаны на выводах из упомянутых выше отчетов по безопасности данных:

• Разработать план по работе с риском
• Снизить сложность IT

Давайте обсудим их подробнее.

Разработайте план по работе с риском

Наличие плана по работе с риском является фактором успеха для более быстрого реагирования на утечку данных.

Как мы можем убедиться, что существующий план по безопасности данных является хорошим?

Он должен основываться на актуальной модели риска, отражающей способ управления данными в организации. В стратегической системе показателей это количественно определяется регулярными аудитами безопасности данных, индикатор действия которых объясняется в перспективе Обучение и развитие.

Как мы можем узнать, что предложенный план реагирования на риск действительно эффективен?

Вместе с регулярными обновлениями плана риска, мы можем протестировать применение разработанного плана на практике. Это количественно определяется индикатором результата, тестированием реагирования на инциденты.

Уменьшить сложность ИТ и данных

Эмпирические исследования называют несколько других факторов, которые помогают уменьшить затраты на утечку данных, таких как:

• Сложность ИТ-инфраструктуры
• Сложность схемы данных
• Автоматизация

На карте стратегии мы сформулировали эти факторы в рамках цели Уменьшить сложность ИТ и данных.

Подцели объясняют, как будет достигнута общая цель. Источник: Data Security Scorecard.

В этом случае:

• Снизить сложность данных и ИТ — обоснование для цели
• Ограничить доступ к наиболее ценным данным — один из факторов успеха в уменьшении сложности необходимых ИТ-решений
• Автоматизировать тестирование уязвимостей и комплаенс — широкая инициатива для автоматизации ИТ-безопасности

Наконец, если снижение сложности названо одним из факторов лучшего ответа на утечку данных, как мы можем количественно оценить это?

Ответ индивидуален и зависит от ИТ-ландшафта вашей организации. Для этой системы показателей есть пример Индекса сложности безопасности данных, который составлен из таких показателей, как:

• Число пользователей с наивысшим уровнем доступа. Функция оптимизации для этого индикатора установлена как «Линейное уменьшение», так как уменьшение числа пользователей, имеющих доступ к конфиденциальным данным, улучшит общую производительность индекса.
• Время деактивации учетных данных для входа. 7% утечек данных вызваны злонамеренным инсайдером. Быстрая деактивация учетных данных для входа является одной из мер ИТ-безопасности, которая может уменьшить этот процент. Приемлемый временной интервал в этом случае очень короткий. Чтобы отразить эту идею в системе показателей, функция оптимизации для этого индикатора — экспоненциальное затухание.

Функция производительности для этого индикатора установлена на 'Экспоненциальное затухание'. Как видно на диаграмме, зеленая зона для этого показателя относительно мала, что означает, что приемлемое время для деактивации логических учетных данных составляет несколько часов, а не дней. Источник: Data Security Scorecard.

• % конфиденциальных данных, контролируемых программой DLP. Решения по предотвращению потерь данных являются одним из способов автоматизации ИТ-безопасности. Поскольку организации работают с новыми данными, важно регулярно пересматривать модели данных, чтобы убедиться, что конфиденциальные данные доступны инструментам DLP (Data Loss Prevention).
• Шифрование и резервное копирование данных автоматизированы. Подобно предыдущему индикатору, нас интересует наличие актуальной модели данных и обеспечение правильного управления конфиденциальными данными.
• % актуального программного обеспечения безопасности. Этот показатель кажется простым, но исследования показывают другую картину. Коренной причиной 16% утечек данных является уязвимость в стороннем программном обеспечении. Поставщики программного обеспечения регулярно выпускают обновления, устраняющие уязвимости. Установка последних обновлений является одним из факторов успеха в минимизации рисков безопасности.
• Покрытие автоматизацией, % индикатор сравнивает уровень автоматизации, возможный с текущим уровнем автоматизации. Более высокая автоматизация снижает влияние человеческого фактора и уменьшает сложность для заинтересованных сторон.

Пример того, как количественно оценить сложность с помощью индикатора в стиле индекса, где подындикаторы вносят вклад в индекс с разным весом. Источник: Data Security Scorecard.

Это лишь примеры некоторых метрик, которые могут количественно оценить сложность в случае безопасности данных. Более надежный подход к сложности должен включать более глубокий анализ заинтересованных сторон, выявление точек плохих сложностей и разработку стратегии снижения сложности. В предыдущей статье мы обсуждали метрики сложности и способы их применения на практике.

Перспектива обучения и развития

В этой перспективе у нас есть две большие цели:

• Регулярные аудиты безопасности данных — цель, которая помогает сосредоточиться на правильной инфраструктуре для безопасности данных.
• Обучение сотрудников безопасности данных — цель, которая фокусируется на предоставлении вашей команде актуальных знаний и навыков, необходимых для предотвращения утечек данных или минимизации их воздействия.

Драйверы обучения и инфраструктуры стратегии кибербезопасности - 'Регулярные аудиты безопасности данных' и 'Обучение сотрудников безопасности данных'. Две важные цели, сопровождаемые инициативами, индикаторами действия и результата. Источник: Система показателей безопасности данных.

Давайте посмотрим, как эти цели сформулированы на карте стратегии.

Регулярные аудиты безопасности данных

У нас есть обоснование Анализировать киберриски, связанное с целью. Какие типичные киберриски существуют? В описании обоснования у нас есть несколько примеров:

• Кибератаки
• Вымогательское ПО
• Вредоносное ПО
• Внутренние угрозы
• Потерянные/украденные учетные данные
• Несанкционированный доступ
• Потеря данных
• Повреждение данных

Потребность в регулярном анализе киберрисков сформулирована как инициатива. Связанный индикатор 'регулярный анализ рисков' показывает фактический прогресс для этой инициативы. Источник: Data Security Scorecard.

Существует гипотеза, Удаленная работа влияет на безопасность данных, связанная с целью. Для многих организаций удаленная работа была частью их антикризисной стратегии в ответ на Covid-19.

Существует два индикатора действия:

• Регулярный анализ рисков — общий анализ новых рисков
• Регулярная оценка риска конфиденциальных данных — более специфический анализ в контексте конфиденциальных данных

Оба индикатора настроены на обновление ежеквартально.

Интервал обновления для 'Регулярная оценка риска конфиденциальных данных' настроен на кварталы. Программа будет контролировать, что индикатор обновляется регулярно и новые данные записываются на даты, допустимые интервалом обновления (первый день квартала в этой конфигурации). Источник: Data Security Scorecard.

Существует несколько метрик, которые помогают количественно оценить усилия команды безопасности в анализе текущей ситуации с рисками и обучении на ее основе:

• Сканирование уязвимостей – обычно автоматическое сканирование, выполняемое ИТ-командой
• Тестирование на проникновение (pen test) — моделирование кибератаки
• Тестирование красной командой — тестирование безопасности в большем масштабе, включающем больше участников

Соответствующие KPI настроены для различных интервалов обновления:

• Автоматическое сканирование уязвимостей может проводиться еженедельно или ежемесячно.
• В зависимости от модели риска, тест на проникновение может выполняться ежеквартально.
• Наконец, индикатор для наиболее ресурсоемкого тестирования красной командой настроен на полугодовой или ежегодный интервал обновления.

Анализ рисков и процедуры тестирования предназначены для выявления слабых мест в системе безопасности. Как мы можем узнать, что выводы из этих моделирований и тестов эффективно внедрены? Чтобы найти ответ на этот вопрос, мы можем отслеживать:

• Индикатор количества повторяющихся утечек данных.

Если утечка данных одного и того же типа повторяется, это знак того, что план по работе с риском, предложенный командой безопасности, не так эффективен, как ожидалось.

Обучение сотрудников безопасности данных

Человеческий фактор остается одним из самых высоких рисков любой системы безопасности данных. Согласно отчету IBM Security, около 36% злонамеренных утечек данных связаны с человеческим поведением (фишинг, социальная инженерия, скомпрометированные учетные данные).

Как можно разработать стратегию безопасности данных, чтобы эффективно минимизировать эти риски?

Одно из решений — автоматизировать определенные операции и уменьшить роль человеческого оператора. Это во многом резонирует с целью снижения сложности, которую мы обсуждали во внутренней перспективе.

Список инициатив и их статусы. Источник: Система показателей безопасности данных.

В остальных случаях, когда автоматизация невозможна или нерентабельна, ответом является обучение. Как сосредоточить образовательные усилия в контексте безопасности данных? Мы можем использовать пару индикаторов действия и индикаторов результата!

• Индикатор действия: Уровень охвата тренингом по безопасности данных может использоваться для отслеживания охвата тренингом по осведомленности о безопасности данных, где участники могут, например, узнать о практиках фишинга и способах их избегания.
• Лучший индикатор результата в этом случае должен быть сосредоточен на ощутимом влиянии тренинга по осведомленности. Если понимание практик фишинга было одной из тем тренинга, проведите Тест на фишинг и посмотрите, используют ли сотрудники выводы тренинга. Это можно количественно оценить в системе показателей с индикатором Уровень успеха в тесте на фишинг.

Если обучение сотрудников безопасности данных является вашим приоритетом в данный момент, то ваша команда безопасности может разработать систему показателей оценки тренинга, используя модель уровней Киркпатрика, как обсуждается в этой статье.

Автоматизация для системы показателей безопасности данных

Мы обсудили пример стратегической системы показателей, которая помогает описывать, внедрять и исполнять стратегию безопасности данных в вашей организации.

Эта система показателей доступна как один из бесплатных шаблонов в BSC Designer Online, так что вы можете зарегистрироваться с бесплатным планом и начать настраивать её в соответствии с вашими потребностями.

Узнайте общую стоимость стратегии

Мы упомянули, что одной из причин создания стратегической системы показателей для безопасности данных является то, что это упростит представление новых инициатив заинтересованным сторонам.

Стоимость предложенной стратегии — это один из первых вопросов, который будет обсуждаться. Стоимость выполнения стратегии может быть оценена как сумма затрат на все бизнес-цели и их соответствующие инициативы.

Отчет 'Стоимость стратегии' для системы показателей кибербезопасности суммирует бюджеты (выделенные и фактически использованные) всех инициатив. Источник: Data Security Scorecard.

Если вы используете BSC Designer как инструмент автоматизации, вы сможете назначать бюджеты инициативам и контролировать их использование. Программа сможет сгенерировать отчет о стоимости стратегии, чтобы представить общие ожидаемые затраты на выполнение стратегии.

Визуализация важных данных на дашбордах

Еще одна типичная просьба заинтересованных сторон — иметь данные для принятия правильных решений (ранее мы говорили о решениях на основе данных). Сама по себе карта стратегии содержит много данных. Другой подход — создать BI-дашборд, который можно настроить для отображения самых важных индикаторов и их данных.

В стратегическом шаблоне для этой статьи у нас есть два дашборда (вы можете переключаться между ними).

 

Пример BI-дашборда для кибербезопасности: график времени критических рисковых событий, эволюция индекса взвешенного риска, графики для некоторых специфических индикаторов, диаграмма Ганта для инициатив реагирования, список рисков и их статусов. Источник: Data Security Scorecard.

Дашборд индекса риска сосредоточен исключительно на индикаторах индекса риска, которые мы использовали для количественной оценки текущей рисковой ситуации. С помощью диаграмм дашборда мы можем увидеть:

• Текущие риски, визуализированные на круговых диаграммах
• Как менялся индекс риска с течением времени
• Вклад каждого индикатора в индекс риска на диаграмме веса

Второй дашборд в системе показателей кибербезопасности сосредоточен исключительно на индексе сложности, его эволюции с течением времени и состоянии его индикатора. Источник: Data Security Scorecard.

Другой дашборд — это Индекс сложности безопасности данных. Как мы обсуждали, плохие сложности систем безопасности являются фактором более высоких рисков утечки данных. Этот дашборд визуализирует текущее состояние сложности, количественно оцененное выбранными индикаторами.

Анализ данных об эффективности

Сбор данных об эффективности в виде KPI – это то, что большинство организаций делают регулярно. Не имеет значения, какой инструмент автоматизации используется, доступно много данных.

Вопрос всегда заключается в том, как использовать эти данные и преобразовать их в полезную информацию. Некоторые инсайты появляются, когда команда обсуждает карту стратегии или дашборд; другие инсайты можно автоматизировать.

В этом смысле функция Анализ в BSC Designer очень помогает. Вот несколько примеров:

• Большинство индикаторов, которые мы обсуждали, необходимо обновлять регулярно. С помощью анализа Время обновления можно найти индикаторы, которые нужно обновить в ближайшее время или которые не были обновлены вовремя. Это также можно автоматизировать с помощью функции Оповещения.
• Каждый индикатор в системе показателей имеет свой вес, который отражает важность индикатора. С помощью анализа Абсолютный вес можно найти индикаторы с наибольшим весом. Например, в нашем примере индикатор Среднее время обнаружения имеет один из наибольших весов. Если ваша команда рассматривает возможность работы над несколькими инициативами, и одна из них обещает быстрее выявлять утечки данных, то дайте приоритет этой инициативе.
• Иногда интересные выводы можно сделать, просто посмотрев на то, как изменились данные об эффективности. Быстрая прибыль или потеря является признаком новых факторов, которые следует проанализировать. Почему индикатор События среднего уровня риска показал потерю в 30% — это результат обновления внутренней системы или проблема с отчетностью?

Анализ 'Абсолютный вес' помогает найти индикаторы, которые оказывают наибольшее влияние (наибольший абсолютный вес) на систему показателей. В данном случае 'Критические события риска' и 'Среднее время обнаружения' имеют наибольшее влияние. Источник: Система показателей безопасности данных.

Карта обоснований, факторов успеха и ожидаемых результатов

В бесплатном курсе по стратегическому планированию мы обсуждали важность понимания бизнес-контекста цели. Недостаточно иметь хорошо описанную цель, важно понимать обоснование, факторы успеха и ожидаемые результаты, которые ценны для организации.

Список инициатив, их статусы и прогресс индикаторов, связанных с ними. Источник: Система показателей безопасности данных.

Посмотрите на цель Уменьшить сложность ИТ и данных из шаблона системы показателей:

• Существует запись обоснования Уменьшение сложности данных и ИТ, которая объясняет, почему эта цель важна: «Высокая сложность программных систем и инфраструктуры данных является фактором риска утечки данных».
• Также существует фактор успеха уменьшения сложности — Ограничение доступа к наиболее ценным данным. Это имеет смысл в контексте цели — меньший доступ к конфиденциальным данным снижает сложность схемы данных и, как результат, снижает риски утечек данных.

В некоторых случаях у нас нет фиксированного плана для достижения чего-либо, вместо этого мы имеем дело с обоснованной гипотезой. Пользователи BSC Designer могут добавить гипотезу к своим целям. В нашем примере была гипотеза, Удаленная работа влияет на безопасность данных, связанная с Регулярными аудитами безопасности данных.

Знание ожидаемых результатов также критично. Например, для Обучения сотрудников безопасности данных у нас есть ожидаемый результат под названием Ответственное управление данными. Что это значит на практике? Как мы можем это количественно оценить? Эти вопросы открывают дверь для интересного обсуждения.

Создать инициативы с бюджетами, ответственными и статусами

Чтобы заполнить разрыв между планированием стратегии и её исполнением, используйте инициативы для целей. Взять, например, инициативу Автоматизация тестирования на уязвимости и комплаенс, связанную с Уменьшением сложности IT и данных.

Пример стратегической инициативы с назначенным бюджетом и сроками. Воздействие инициативы оценивается индикатором 'Покрытие автоматизацией' (см. поле 'Связанный KPI'). Источник: Data Security Scorecard.

• Как именно ваша команда будет работать над этой инициативой? Используйте поле описание, чтобы добавить детальный план действий.
• Как это связано с другими планами по работе с рисками? Используйте раздел документы, чтобы связаться с соответствующими ресурсами. В нашем примере мы связались с примером IT системы показателей.
• Кто несет ответственность за эту инициативу? Назначьте ответственных, чтобы они получили уведомление, когда произойдет что-то важное.
• Каков текущий статус инициативы? Обновляйте статус по мере прогресса вашей команды в работе над инициативой.
• Как можно отслеживать прогресс в контексте этой инициативы? В нашем примере мы связали её с индикатором покрытие автоматизацией, %, который формирует Индекс сложности безопасности данных.

Тренинг: 'Введение в сбалансированную систему показателей от BSC Designer' предлагается в рамках нашей программы непрерывного обучения и включен в подписку BSC Designer.

Тренинги проводятся еженедельно через Zoom, предоставляя практические инсайты и персонализированные рекомендации. По завершении участники получают сертификат о посещении. Изучите все доступные тренинги здесь.

Выводы

В этой статье мы обсуждаем пример стратегии обеспечения безопасности данных. Вот самые важные идеи, которые мы обсудили:

• Существуют известные факторы риска утечки данных, а также доказанные способы минимизации влияния инцидентов безопасности.
• Помогите вашим заинтересованным сторонам понять прямые и косвенные затраты утечек данных.
• Сосредоточьте вашу стратегию на раннем обнаружении проблем и быстрой реакции.
• Иметь план по работе с риском и команду для снижения влияния утечек данных.
• Сократите ненужные сложности IT-систем и схем данных.
• Обновляйте модели риска регулярно, тестируйте вашу среду безопасности.
• Человеческий фактор является одной из зон риска — обучайте вашу команду, обращайте внимание на изменения в поведении, а не только на формальные результаты экзаменов.

Что дальше? Хорошая киберстратегия разрабатывается с учетом потребностей вашей организации. Используйте шаблон стратегии безопасности, обсуждаемый в этой статье, как отправную точку для начала построения вашей собственной стратегии безопасности данных. Не стесняйтесь делиться своими проблемами и находками в комментариях.

Примеры применения в секторе кибербезопасности

Узнайте, как профессионалы в бизнесе используют платформу BSC Designer для решения и автоматизации задач, связанных со стратегией кибербезопасности.

Используйте шаблон Система показателей безопасности и защиты данных

BSC Designer помогает организациям реализовывать их сложные стратегии:

1. Зарегистрируйтесь на бесплатный план на платформе.
2. Используйте шаблон Система показателей безопасности и защиты данных в качестве отправной точки. Вы найдете его в Новая > Новая система показателей > Больше шаблонов.
3. Следуйте нашей Системе внедрения стратегии, чтобы связать заинтересованные стороны и стратегические амбиции в комплексную стратегию.

Начните сегодня и посмотрите, как BSC Designer может упростить реализацию вашей стратегии!