บาลานซ์ สกอร์การ์ดด้านความปลอดภัยทางไซเบอร์: คู่มือวิธีการพร้อมตัวอย่างของ KPI

ตัวอย่างของสกอร์การ์ดยุทธศาสตร์ที่มีตัวชี้วัดผลการดำเนินงานซึ่งตอบสนองต่อแนวโน้มที่เกิดขึ้นใหม่ของความปลอดภัยทางไซเบอร์

แผนที่ยุทธศาสตร์ความปลอดภัยของข้อมูลที่มี KPI, ปัจจัยความสำเร็จ และโครงการ

หลักการชี้นำสำหรับแผนที่ยุทธศาสตร์ความปลอดภัยทางไซเบอร์ ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

หัวข้อสำคัญของบทความ:

จุดเริ่มต้น: การศึกษาความปลอดภัยของข้อมูล

การศึกษาความปลอดภัยของข้อมูลและการปกป้องข้อมูลอย่างสม่ำเสมอทำให้เราเข้าใจถึง สาเหตุหลัก ของการละเมิดข้อมูลและวิธีการ ป้องกัน ในบทความนี้ เราจะพูดถึงตัวอย่างของวิธีการที่สามารถรวมผลการวิจัยเหล่านั้นเข้ากับยุทธศาสตร์ไซเบอร์ซีเคียวริตี้ที่ครอบคลุมซึ่งสามารถวัดได้ด้วย KPI

นี่คือรายงานที่เราจะใช้เป็นข้อมูลอ้างอิง:

  • รายงานต้นทุนของการละเมิดข้อมูลโดย IBM1 กับการศึกษาที่จัดทำโดย Ponemon Institute ซึ่งเป็นหนึ่งในเกณฑ์มาตรฐานของโลกด้านความปลอดภัยทาง IT.
  • รายงานการสืบสวนการละเมิดข้อมูลของ Verizon2 เพิ่มมุมมองที่แตกต่างเกี่ยวกับความเสี่ยงด้านไซเบอร์ซีเคียวริตี้และวิธีการแก้ไข.
  • แบบสำรวจความปลอดภัยของข้อมูลระดับโลกของ EY3 แบ่งปันแนวทางปฏิบัติที่ดีที่สุดที่องค์กรนำไปใช้เพื่อแก้ไขความเสี่ยงด้านความปลอดภัยของข้อมูล.
  • รายงาน FireEye M-TRENDS4 รายงานเกี่ยวกับภัยคุกคามต่อความปลอดภัยของข้อมูลและการพัฒนาของพวกมันตลอดเวลา.

คำศัพท์: ความมั่นคงปลอดภัยทางไซเบอร์, ความปลอดภัยของข้อมูล, การปกป้องข้อมูล, ความเป็นส่วนตัวของข้อมูล

เริ่มต้นด้วยการอภิปรายถึงความแตกต่างระหว่างคำว่า ความปลอดภัยของข้อมูล/สารสนเทศ และ การปกป้องข้อมูล (ความเป็นส่วนตัวของข้อมูล)

  • ความปลอดภัยของข้อมูล/สารสนเทศ เกี่ยวกับการรักษาสถาปัตยกรรมที่ปลอดภัยในการจัดการข้อมูล คิดถึงการสำรองข้อมูลเป็นประจำ ซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัย สิทธิ์การเข้าถึง การใช้ซอฟต์แวร์ DLP เป็นต้น
  • การปกป้องข้อมูล เกี่ยวกับการใช้ข้อมูลในเชิงจริยธรรมและกฎหมาย – การได้รับความยินยอมและการปฏิบัติตามข้อกำหนดทางกฎหมาย

ความแตกต่างนี้เป็นสิ่งสำคัญ ตัวอย่างเช่น ในกรณี Facebook–Cambridge Analytica ข้อมูลได้รับการจัดการอย่างปลอดภัย (ถูกเข้ารหัสและเก็บไว้ในเซิร์ฟเวอร์ที่ปลอดภัย) แต่ไม่ได้รับการจัดการอย่างรับผิดชอบ ตามข้อกำหนดการปกป้องข้อมูล

คำว่า การปกป้องข้อมูล ส่วนใหญ่ใช้ในยุโรปและเอเชีย ในขณะที่ในสหรัฐอเมริกา แนวคิดเดียวกันนี้เรียกว่า ความเป็นส่วนตัวของข้อมูล Françoise Gilbert ได้แบ่งปันคำอธิบายที่ดีเกี่ยวกับความแตกต่างในบล็อกของเธอ

สุดท้าย คำว่า ความมั่นคงปลอดภัยทางไซเบอร์ ควรครอบคลุมแนวคิดที่กว้างขึ้น รวมถึงไม่เพียงแค่ความปลอดภัยของข้อมูลแต่ยังรวมถึงระบบความปลอดภัยอื่น ๆ ด้วย ในทางปฏิบัติ มักใช้แทนกันได้กับคำว่า ความปลอดภัยของข้อมูล

ทำไมเราต้องมี KPI และยุทธศาสตร์ด้านความปลอดภัยทางไซเบอร์?

นอกเหนือจากความคิดที่ชัดเจน เช่น การรู้ว่าองค์กรของคุณกำลังทำอะไรอยู่และเข้าใจทิศทางที่จะก้าวไป ฉันขอพูดถึงเหตุผลเหล่านี้:

  • สามารถ สนับสนุนข้อโต้แย้งด้วยข้อมูลบางอย่าง เมื่อเสนอแนวทางด้านความปลอดภัยใหม่ ๆ ให้กับผู้มีส่วนได้ส่วนเสีย.
  • การมีบริบททางธุรกิจที่ชัดเจนช่วย ทำให้โครงการด้านความปลอดภัยทางไซเบอร์สอดคล้อง กับส่วนอื่น ๆ ของยุทธศาสตร์ เช่น สกอร์การ์ดด้านบุคลากร สกอร์การ์ดด้านไอที หรือสกอร์การ์ดด้านการกำกับดูแลองค์กร.
  • การเปลี่ยนแนวคิดที่คลุมเครือบางอย่าง เช่น “สภาพแวดล้อมทางธุรกิจที่มีความปลอดภัยสูงซึ่งใช้เทคโนโลยีไอทีล่าสุด” ให้กลายเป็นสิ่งที่ จับต้องได้มากขึ้น ด้วยตัวชี้วัดผลการดำเนินงานที่เฉพาะเจาะจง.
Data Security Scorecard - How to create a comprehensive cybersecurity strategy measurable by KPIs

วิธีการวัดสิ่งที่ยังไม่เกิดขึ้น

อาจดูเหมือนว่าความปลอดภัยของข้อมูลเป็น สิ่งที่จับต้องไม่ได้ และ ยากที่จะหาปริมาณและวัดผล เนื่องจากเราไม่เคยรู้ล่วงหน้าว่าองค์กรจะเผชิญกับการละเมิดข้อมูลแบบใด แต่การศึกษาเชิงประจักษ์ที่กล่าวถึงในตอนต้น (ดูได้จากรายงาน IBM Security) มีมุมมองที่แตกต่างออกไป

การละเมิดข้อมูลส่วนใหญ่เกิดจากปัจจัยที่ทราบกันดี เช่น:

  • ข้อมูลประจำตัวที่ถูกแทรกแซง (19%)
  • การหลอกลวงทางอินเทอร์เน็ต (Phishing) (14%)
  • การตั้งค่าคลาวด์ที่ผิดพลาด (19%)

สิ่งนี้ทำให้เราเห็นว่าความพยายามด้านความปลอดภัยทางไซเบอร์ควรมุ่งเน้นไปที่จุดใด

แม้ว่าเราไม่สามารถป้องกันการละเมิดข้อมูลทั้งหมดได้ แต่ข้อมูลแสดงให้เห็นว่าเราสามารถลดผลกระทบต่อองค์กรได้โดย:

  • ใช้ระบบอัตโนมัติด้านความปลอดภัย,
  • มีทีมตอบสนองและแผนตอบสนองพร้อม,
  • ให้ความรู้แก่พนักงาน, และ
  • ทดสอบสภาพแวดล้อมทางธุรกิจโดยใช้วิธีการเช่นการทดสอบทีมแดง

สำหรับฟังก์ชันและสินทรัพย์ทางธุรกิจที่สำคัญที่สุด เราจะกำหนดจุดกู้คืนและวัตถุประสงค์เวลาในการกู้คืน ซึ่งสามารถทำให้เป็นทางการใน สกอร์การ์ดสำหรับการกู้คืนจากภัยพิบัติ และสอดคล้องกับสกอร์การ์ดความปลอดภัยทางไซเบอร์

กรอบการทำงานทางธุรกิจใดบ้างที่ใช้ได้กับการรักษาความปลอดภัยข้อมูล?

ก่อนหน้านี้ เราได้พูดถึง กรอบการทำงานทางธุรกิจ ต่างๆ ที่ช่วยให้องค์กรสามารถระบุและดำเนินกลยุทธ์ของตนได้ กรอบการทำงานใดบ้างที่ใช้ได้กับโดเมนความปลอดภัยทางไซเบอร์?

เพื่อผลลัพธ์ที่ดีที่สุด เราจำเป็นต้องผสมผสาน กรอบการทำงาน ต่างๆ:

  • เราจะใช้ การวิเคราะห์ PESTEL เพื่อตรวจจับและวิเคราะห์ปัจจัยใหม่ของสภาพแวดล้อมภายนอก (ดูเป้าหมายจากมุมมองด้านการเรียนรู้และการเติบโต) ซึ่งอาจเป็นการเปลี่ยนแปลงในกฎหมาย เช่น กฎหมายคุ้มครองข้อมูล หรือการเปลี่ยนแปลงที่เกิดขึ้นหลังจาก Covid-19 เช่น เทรนด์การทำงานจากระยะไกล
  • เราจะพูดถึงการมุ่งเน้นความพยายามในการตอบสนอง ในบริบทนี้ กรอบการทำงานการจัดลำดับความสำคัญ ต่างๆ จะช่วยได้
  • เมื่อทำงานในกลยุทธ์การรักษาความปลอดภัยข้อมูล เราจำเป็นต้องพิจารณาการกระทำที่จำเป็นในวันนี้ อนาคตอันใกล้ และโครงการบางอย่างสำหรับอนาคตที่ห่างไกล ในบริบทนี้ กรอบการทำงาน Three Horizons จะช่วยในการสนทนาอย่างมีวินัย
  • เพื่อเปลี่ยนความคิดที่ไม่ปะติดปะต่อเหล่านั้นให้เป็นกลยุทธ์ที่สอดคล้องกัน เราจะใช้ กรอบการทำงาน Balanced Scorecard

มาใช้กรอบการทำงานทางธุรกิจและรายงานการวิจัยที่กล่าวถึงในตอนต้นเพื่อสร้างตัวอย่างกลยุทธ์การรักษาความปลอดภัยข้อมูลกันเถอะ

มุมมองด้านการเงิน การประเมินผลกระทบทางการเงินของความปลอดภัยของข้อมูล

ตัวชี้วัด KPI ด้านการเงินสำหรับความปลอดภัยของข้อมูลเป็นสิ่งจำเป็นเมื่อเสนอแผนงานด้านความปลอดภัยให้กับ ผู้มีส่วนได้ส่วนเสีย การนำเสนอจะดูน่าประทับใจยิ่งขึ้นเมื่อสามารถให้ มาตรฐานอุตสาหกรรม ที่เกี่ยวข้องได้

รายงานของ Verizon และรายงานของ IBM (ดำเนินการโดย Ponemon Institute) แบ่งปันข้อมูลเชิงลึกบางประการในบริบทนี้ บางครั้งข้อมูลมีความขัดแย้งกัน ตัวอย่างเช่น คุณจะพบว่าค่าใช้จ่ายของ การละเมิดข้อมูลต่อบันทึก แตกต่างกันอย่างมาก รายงานของ IBM ให้ช่วงราคาอยู่ที่ $150-$175 ในขณะที่ตามรายงานของ Verizon (ดูรายงานการสืบสวนการละเมิดข้อมูลปี 2015) อยู่ที่ประมาณ $0.58 Ken Spinner ได้แบ่งปัน คำอธิบายในหัวข้อ ใน TeachBeacon

มุมมองด้านการเงินของสกอร์การ์ดความปลอดภัย

เป้าหมายของการลดผลกระทบทางการเงินที่อาจเกิดขึ้นจากการละเมิดข้อมูลถูกแบ่งออกเป็นตัวชี้วัดเชิงผลลัพธ์ที่เฉพาะเจาะจง ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

คุณจะประมาณค่าใช้จ่ายของการละเมิดข้อมูลในกรณีขององค์กรของคุณได้อย่างไร?

สามารถอิงตามค่าใช้จ่ายทางตรงและทางอ้อม:

  • ค่าใช้จ่ายทางตรง รวมถึงค่าใช้จ่ายในการวิเคราะห์ทางนิติวิทยาศาสตร์ ค่าปรับ ค่าชดเชยให้กับลูกค้า
  • ค่าใช้จ่ายทางอ้อม หมายถึงการสูญเสียลูกค้า พนักงาน พันธมิตรที่มีอยู่และที่อาจเกิดขึ้นเนื่องจากการละเมิดข้อมูล

บนสกอร์การ์ดความปลอดภัยของข้อมูล เราสามารถใช้มาตรฐานจากการศึกษาของ Ponemon หรือ Verizon สำหรับตัวชี้วัด ค่าใช้จ่ายการละเมิดข้อมูลต่อบันทึก และคูณด้วย จำนวนบันทึกที่เสี่ยงภัย

ในการคำนวณ เราจะต้องมีข้อมูลธุรกิจพื้นฐานบางอย่าง:

  • LTV (มูลค่าตลอดอายุการใช้งานของลูกค้า)
  • การประมาณการ การสูญเสียลูกค้าเนื่องจากการละเมิดข้อมูล
  • จำนวนลูกค้า
  • จำนวนบันทึกที่เสี่ยงภัย
  • ลูกค้าที่เป็นไปได้ที่สูญเสีย

สูตรสำหรับค่าใช้จ่ายการละเมิดข้อมูล

ค่าของตัวชี้วัด 'ค่าใช้จ่ายการละเมิดข้อมูล' ถูกคำนวณโดยใช้ค่าของตัวชี้วัดอื่นๆ สองตัว ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

ผลกระทบโดยตรงของการละเมิดข้อมูลสามารถคำนวณได้ดังนี้:

  • ค่าใช้จ่ายของการละเมิดข้อมูล (ค่าใช้จ่ายทางตรง) = ค่าใช้จ่ายการละเมิดข้อมูลต่อบันทึก * จำนวนบันทึกที่เสี่ยงภัย

สำหรับค่าใช้จ่ายทางอ้อม หนึ่งวิธีในการหาปริมาณคือการใช้ อัตราการสูญเสียลูกค้าเนื่องจากการละเมิดข้อมูล และ LTV:

  • ค่าใช้จ่ายการสูญเสียลูกค้า = [จำนวนลูกค้า]*[LTV]*[การสูญเสียลูกค้าเนื่องจากการละเมิดข้อมูล]/100

นอกจากนี้ คุณสามารถประมาณจำนวนลูกค้า ที่เป็นไปได้ ที่ไม่ได้ลงนามในสัญญา

  • ค่าใช้จ่ายของโอกาสที่สูญเสีย = [ลูกค้าที่เป็นไปได้ที่สูญเสีย] * [LTV]

มุมมองด้านลูกค้า. การวัดความเสี่ยงด้านความปลอดภัย.

สำหรับมุมมองด้านลูกค้า เป้าหมายหลักถูกกำหนดไว้ว่า:

  • ลดความเสี่ยงด้านความปลอดภัยของข้อมูลและการปกป้องข้อมูล

The goals and KPIs of customer perspective of the data security scorecard

เป้าหมายรวมของลูกค้าถูกกำหนดไว้ว่า 'ลดความเสี่ยงด้านความปลอดภัยของข้อมูล' ผลลัพธ์ถูกวัดโดยดัชนี 'น้ำหนักความเสี่ยง' ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

สิ่งนี้ถูกวัดด้วยตัวชี้วัดดังนี้:

  • ตัวชี้วัดเชิงนำ การตรวจพบและตอบสนองต่อความเสี่ยงของข้อมูลอย่างรวดเร็ว ที่เป็นผลลัพธ์ของเป้าหมายจาก มุมมองด้านกระบวนการภายใน
  • ตัวชี้วัดเชิงนำ ความพร้อมในการปกป้องข้อมูล
  • ตัวชี้วัดเชิงผลลัพธ์ ดัชนีน้ำหนักความเสี่ยง

ตรรกะที่นี่คือองค์กรทำงานบนระบบความปลอดภัยภายใน (วัดโดย การตรวจพบและตอบสนองต่อความเสี่ยงของข้อมูลอย่างรวดเร็ว) และแนะนำมาตรการปกป้องข้อมูลที่จำเป็น (วัดโดย ความพร้อมในการปกป้องข้อมูล) เพื่อลดความเสี่ยงด้านความปลอดภัยของข้อมูลให้ดีขึ้น ซึ่งวัดโดย ดัชนีน้ำหนักความเสี่ยง.

  • เมื่อสร้างยุทธศาสตร์ความปลอดภัยของข้อมูล ตรวจสอบให้แน่ใจว่าทีมของคุณเข้าใจ ความแตกต่าง ระหว่างตัวชี้วัดสำหรับปัจจัยความสำเร็จ (ตัวชี้วัดเชิงนำ) และตัวชี้วัดสำหรับผลลัพธ์ที่คาดหวัง (ตัวชี้วัดเชิงผลลัพธ์)

ขอมาพิจารณาตัวชี้วัดจากมุมมองด้านลูกค้าในรายละเอียด.

ดัชนีความเสี่ยงตามน้ำหนัก

เป้าหมายของตัวชี้วัดนี้คือการวัดระดับความเสี่ยงปัจจุบันที่องค์กรกำลังเผชิญอยู่ เพื่อทำเช่นนี้ เราจะวัด จำนวน การละเมิดข้อมูลที่จัดหมวดหมู่ตามระดับ ผลกระทบ ของมัน:

  • เหตุการณ์ความเสี่ยงที่วิกฤต, น้ำหนัก 70%
  • เหตุการณ์ความเสี่ยงที่สำคัญ, น้ำหนัก 20%
  • เหตุการณ์ความเสี่ยงระดับกลาง, น้ำหนัก 7%
  • เหตุการณ์ความเสี่ยงระดับต่ำ, น้ำหนัก 3%

ดังที่คุณเห็น มีการใช้สเกลน้ำหนักที่ไม่เป็นเชิงเส้น ในรูปแบบนี้ การละเมิดข้อมูลที่วิกฤตจะมีผลกระทบสูงสุดต่อตัวชี้วัดดัชนี ในขณะที่เหตุการณ์ระดับต่ำจะมีผลกระทบต่ำ

Weighted risk index metric for data security

ดัชนีความเสี่ยงตามน้ำหนักคำนึงถึงเหตุการณ์ความเสี่ยงระดับต่างๆ ตั้งแต่เหตุการณ์ความเสี่ยงที่วิกฤต (น้ำหนักสูงสุด) ไปจนถึงเหตุการณ์ความเสี่ยงระดับต่ำ (น้ำหนักต่ำสุด) ที่มา: ดู สกอร์การ์ดด้านความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดด้านความปลอดภัยของข้อมูล.

วิธีการนี้จัดการกับปัญหาของ การบิดเบือนระบบการวัด เมื่อมีการย้ายตัวชี้วัดการควบคุมไปยังโซนสีเขียวโดยการแก้ไขปัญหาที่สำคัญน้อยกว่า อย่างไรก็ตาม เรายังต้องมั่นใจว่าเหตุการณ์ความเสี่ยงได้รับการจัดหมวดหมู่อย่างถูกต้อง

หากคุณสนใจเรียนรู้เพิ่มเติมเกี่ยวกับการคำนวณตัวชี้วัดดัชนีและการคำนึงถึงน้ำหนักของตัวชี้วัดนั้น ลองดูที่ บทความที่เกี่ยวข้อง ในเว็บไซต์ของเรา

การวัดการปกป้องข้อมูลหรือความเป็นส่วนตัวของข้อมูล

ตามที่อธิบายไว้ก่อนหน้านี้ การปกป้องข้อมูลเกี่ยวข้องกับการใช้ข้อมูลที่สามารถระบุตัวตนได้ส่วนบุคคล (PII) และข้อมูลที่คล้ายกันอย่างมีจริยธรรมและถูกกฎหมาย

มาตรการการปกป้องในกรณีนี้ได้รับการอธิบายอย่างชัดเจนโดยกฎหมายที่เกี่ยวข้อง ในยุโรป คือ GDPR; ในสหรัฐอเมริกา มีกฎหมายที่แตกต่างกันตามโดเมนธุรกิจ เช่น CCPA, HIPPA, PCI DSS, GLBA

Data Protection Readiness Index for Data Security Scorecard

ตัวอย่างของตัวชี้วัดแบบไบนารี (สถานะที่เป็นไปได้คือ 'ใช่' หรือ 'ไม่ใช่' - เมื่อค่าคือ 'ใช่' ผลการดำเนินงานของตัวชี้วัดนี้คือ 100%, มิฉะนั้นคือ 0%. ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

หากเรานำ GDPR มาเป็นตัวอย่าง จากมุมมองของการวัด การปกป้องข้อมูลสามารถติดตามได้โดยตัวชี้วัดดัชนี ความพร้อมในการปกป้องข้อมูล ซึ่งคำนวณโดยใช้เมตริกเช่นนี้ (ส่วนใหญ่เป็นแบบไบนารี):

  • มีการแต่งตั้งเจ้าหน้าที่ปกป้องข้อมูล
  • การติดตามความยินยอมอย่างชัดเจน
  • กระบวนการรายงานการละเมิดข้อมูล
  • สิทธิ์ในการเข้าถึง การแก้ไข การลบข้อมูลที่ดำเนินการแล้ว
  • สิทธิ์ในการถ่ายโอนข้อมูล

ตัวชี้วัดเหล่านี้สามารถระบุรายละเอียดเพิ่มเติมในกรณีเฉพาะขององค์กร ผลิตภัณฑ์ และบริการขององค์กร

เพื่อ ให้แน่ใจถึงความสอดคล้องตามกฎระเบียบ ตัวชี้วัดเหล่านั้นรวมถึงข้อกำหนดทางกฎหมายควรถูกตรวจสอบอย่างสม่ำเสมอ ซึ่งสามารถทำให้เป็นอัตโนมัติโดยฟังก์ชัน ช่วงเวลาอัปเดต สำหรับตัวชี้วัดที่เกี่ยวข้อง ดูตัวอย่างที่เฉพาะเจาะจงเพิ่มเติมในส่วนการทำให้อัตโนมัติด้านล่าง

มุมมองด้านกระบวนการภายใน. วิธีลดความเสี่ยงด้านความปลอดภัยของข้อมูล

เพื่อค้นหาเป้าหมายและตัวชี้วัดผลการดำเนินงานสำหรับมุมมองด้านกระบวนการภายใน เราจำเป็นต้องทำการวิเคราะห์หาสาเหตุและพิจารณาจุดเสี่ยง/ต้นทุนที่พบ

ผลการค้นพบจะขึ้นอยู่กับโดเมนธุรกิจและระบบธุรกิจขององค์กรเฉพาะ แต่ยังมีแนวโน้มทั่วไปบางอย่างที่ได้รับการเน้นย้ำในรายงานโดย IBM Security และ Verizon เราจะใช้การค้นพบเหล่านั้นเพื่อกำหนดเป้าหมายและ KPIs สำหรับมุมมองด้านกระบวนการภายในของสกอร์การ์ด

มุมมองด้านกระบวนการภายในของสกอร์การ์ดความปลอดภัยของข้อมูล

ตัวขับเคลื่อนของยุทธศาสตร์ด้านความปลอดภัยไซเบอร์ เป้าหมาย 'การตรวจจับล่วงหน้า' ได้รับการสนับสนุนโดยสองเป้าหมายย่อย - 'พัฒนาแผนลดความเสี่ยง' และ 'ลดความซับซ้อนของ IT' - ทั้งหมดนี้มีตัวชี้วัดผลการดำเนินงานและโครงการที่เกี่ยวข้อง ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

การตรวจจับและตอบสนองต่อความเสี่ยงด้านข้อมูลอย่างรวดเร็ว

หากเกิดการละเมิดข้อมูล การตอบสนองที่รวดเร็วในแง่ของการตรวจจับและการตอบสนองจะช่วยลดต้นทุนได้อย่างมาก

ในสกอร์การ์ด มีการประเมินปริมาณโดยตัวชี้วัดเชิงผลลัพธ์สองตัว:

  • เวลาที่เฉลี่ยในการตรวจจับ
  • เวลาที่เฉลี่ยในการตอบสนอง

ตัวชี้วัดเชิงผลลัพธ์เป็นตัวที่ประเมินสิ่งที่เกิดขึ้นแล้ว องค์กรสามารถมีอิทธิพลต่อชี้วัดเหล่านี้ได้อย่างไร? รายงานเดียวกันแนะนำการดำเนินการบางอย่างที่มักจะนำไปสู่การตอบสนองด้านความปลอดภัยของข้อมูลที่ดีขึ้น

ปัจจัยความสำเร็จที่ถูกแมปกับเป้าหมาย: การจัดตั้งทีมตอบสนองต่อเหตุการณ์

ตัวอย่างของปัจจัยความสำเร็จ - 'การจัดตั้งทีมตอบสนองต่อเหตุการณ์' เป็นปัจจัยความสำเร็จในการลดผลกระทบจากการละเมิดข้อมูล ที่มา: ดู สกอร์การ์ดความปลอดภัยข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยข้อมูล.

ในแม่แบบสกอร์การ์ด คุณจะพบสองบันทึกที่สอดคล้องกับเป้าหมาย การตรวจจับและตอบสนองอย่างรวดเร็ว:

  • การจัดตั้งทีมตอบสนองต่อเหตุการณ์ บันทึกนี้ถูกระบุว่าเป็นปัจจัยความสำเร็จ ตามรายงานความปลอดภัยของ IBM เป็นหนึ่งในสาเหตุหลักที่ช่วยลดผลกระทบจากการละเมิดข้อมูล
  • การตรวจจับการเข้าถึงข้อมูลที่มีความเสี่ยงสูง ด้วยโครงการนี้ ทีมของคุณสามารถ จัดลำดับความสำคัญ ของความพยายามตามผลกระทบของประเภทการเข้าถึงข้อมูลบางประเภท หากคุณกำลังมองหาวิธีการที่เป็นระบบมากขึ้นในการจัดลำดับความสำคัญ ให้ดูบทความเกี่ยวกับ กรอบการทำงานการจัดลำดับความสำคัญ

มีตัวชี้วัดเชิงนำอีกสองตัวในบริบทของเป้าหมาย การตรวจจับและตอบสนองอย่างรวดเร็ว ทั้งสองอิงตามการค้นพบในรายงานความปลอดภัยข้อมูลที่กล่าวถึงข้างต้น:

  • พัฒนาแผนการลดความเสี่ยง
  • ลดความซับซ้อนของ IT

เรามาพูดคุยรายละเอียดกัน

พัฒนาแผนการบรรเทาความเสี่ยง

การมีแผนการบรรเทาความเสี่ยงเป็น ปัจจัยความสำเร็จ ของการตอบสนองต่อการละเมิดข้อมูลอย่างรวดเร็ว

เราจะทำให้แน่ใจได้อย่างไรว่าแผนที่มีอยู่สำหรับการรักษาความปลอดภัยข้อมูลนั้นดี?

มันควรจะอิงตามแบบจำลองความเสี่ยงที่ทันสมัยซึ่งสะท้อนวิธีการจัดการข้อมูลในองค์กร บนสกอร์การ์ดยุทธศาสตร์นี้ถูกวัดค่าโดย ตัวชี้วัดเชิงนำจากการตรวจสอบความปลอดภัยข้อมูลเป็นประจำ ซึ่งอธิบายไว้ในมุมมอง การเรียนรู้และการเติบโต

เราจะรู้ได้อย่างไรว่าแผนการตอบสนองความเสี่ยงที่แนะนำนี้มีประสิทธิภาพจริงหรือไม่?

ร่วมกับการอัปเดตแผนความเสี่ยงเป็นประจำ เราสามารถทดสอบการประยุกต์ใช้แผนที่พัฒนาใน การปฏิบัติ ซึ่งถูกวัดค่าโดยตัวชี้วัดเชิงผลลัพธ์, การทดสอบการตอบสนองต่อเหตุการณ์

ลดความซับซ้อนของไอทีและข้อมูล

การศึกษาทางประจักษ์ได้ระบุปัจจัยอื่น ๆ หลายอย่างที่ช่วยลดค่าใช้จ่ายจากการละเมิดข้อมูล เช่น:

  • ความซับซ้อนของโครงสร้างพื้นฐานไอที
  • ความซับซ้อนของโครงสร้างข้อมูล
  • ระบบอัตโนมัติ

บนแผนที่ยุทธศาสตร์ เราได้กำหนดปัจจัยเหล่านี้ไว้ภายใต้เป้าหมาย ลดความซับซ้อนของไอทีและข้อมูล

Sub-goals for the internal perspective on security scorecard

เป้าหมายย่อยอธิบายว่าเป้าหมายหลักจะสำเร็จได้อย่างไร ที่มา: ดู สกอร์การ์ดการรักษาความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดการรักษาความปลอดภัยของข้อมูล.

ในกรณีนี้:

  • ลดความซับซ้อนของข้อมูลและไอทีคือเหตุผลสำหรับเป้าหมาย
  • จำกัดการเข้าถึงข้อมูลที่มีค่ามากที่สุดเป็นหนึ่งในปัจจัยความสำเร็จของการลดความซับซ้อนของโซลูชันไอทีที่จำเป็น
  • ทำการทดสอบความเปราะบางและการปฏิบัติตามข้อกำหนดอัตโนมัติเป็นโครงการที่กว้างสำหรับระบบอัตโนมัติของไอทีในด้านความปลอดภัย

สุดท้าย ถ้าการลดความซับซ้อนถูกระบุว่าเป็นหนึ่งในปัจจัยของการตอบสนองการละเมิดข้อมูลที่ดีขึ้น เราจะวัดค่ามันได้อย่างไร?

คำตอบคือเฉพาะบุคคลและขึ้นอยู่กับภูมิทัศน์ไอทีขององค์กรของคุณ สำหรับสกอร์การ์ดนี้ มีตัวอย่างของดัชนีความซับซ้อนของการรักษาความปลอดภัยของข้อมูลที่ประกอบด้วยตัวชี้วัดดังนี้:

  • จำนวนผู้ใช้ที่มีระดับการเข้าถึงสูงสุด ฟังก์ชันการปรับให้เหมาะสมสำหรับตัวชี้วัดนี้ตั้งค่าเป็น “ลดจำนวนให้เป็นเส้นตรง” เนื่องจากการลดจำนวนผู้ใช้ที่เข้าถึงข้อมูลสำคัญจะปรับปรุงผลการดำเนินงานโดยรวมของดัชนี
  • เวลาในการปิดใช้งานข้อมูลประจำตัวการเข้าสู่ระบบ การละเมิดข้อมูล 7% มีสาเหตุมาจากบุคคลภายในที่มีเจตนาร้าย การปิดใช้งานข้อมูลประจำตัวการเข้าสู่ระบบอย่างรวดเร็วเป็นหนึ่งในมาตรการความปลอดภัยของไอทีที่สามารถลดเปอร์เซ็นต์นี้ได้ ช่วงเวลาที่รับได้ในกรณีนี้สั้นมาก เพื่อสะท้อนแนวคิดนี้ในสกอร์การ์ด ฟังก์ชันการปรับให้เหมาะสมสำหรับตัวชี้วัดนี้คือ การลดลงอย่างรวดเร็ว

Exponential decay for some performance indicators

ฟังก์ชันการดำเนินงานสำหรับตัวชี้วัดนี้ตั้งค่าเป็น 'การลดลงอย่างรวดเร็ว' ดังที่เห็นในแผนภูมิแสดงเกจ เขตสีเขียวสำหรับเมตริกนี้มีขนาดเล็กมาก หมายถึงเวลาที่รับได้ในการปิดใช้งานข้อมูลประจำตัวการเข้าสู่ระบบคือไม่กี่ชั่วโมง ไม่ใช่หลายวัน ที่มา: ดู สกอร์การ์ดการรักษาความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดการรักษาความปลอดภัยของข้อมูล.

  • % ของข้อมูลที่สำคัญที่ควบคุมโดยซอฟต์แวร์ DLP. การแก้ปัญหาการป้องกันการสูญหายของข้อมูลเป็นหนึ่งในวิธีการทำให้การรักษาความปลอดภัยของไอทีเป็นระบบอัตโนมัติ ตราบใดที่องค์กรจัดการกับข้อมูลใหม่ ๆ การปรับปรุงโมเดลข้อมูลเป็นประจำเป็นสิ่งสำคัญเพื่อให้แน่ใจว่าข้อมูลที่สำคัญสามารถเข้าถึงได้โดยเครื่องมือ DLP (Data Loss Prevention)
  • การเข้ารหัสและสำรองข้อมูลอัตโนมัติ. คล้ายกับตัวชี้วัดก่อนหน้า เราสนใจที่จะมีโมเดลข้อมูลที่ทันสมัยและมั่นใจว่าข้อมูลที่สำคัญได้รับการจัดการอย่างเหมาะสม
  • % ของซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัย. เมตริกนี้ดูเหมือนง่าย แต่การศึกษาแสดงเรื่องราวที่แตกต่าง เหตุผลหลักของการละเมิดข้อมูล 16% คือ ความเปราะบางในซอฟต์แวร์ของบุคคลที่สาม ผู้จำหน่ายซอฟต์แวร์มักปล่อยอัปเดตเพื่อแก้ไขช่องโหว่ การมีอัปเดตล่าสุดติดตั้งเป็นหนึ่งในปัจจัยความสำเร็จในการลดความเสี่ยงด้านความปลอดภัย
  • ความครอบคลุมของระบบอัตโนมัติ, % ตัวชี้วัดเปรียบเทียบระดับของระบบอัตโนมัติที่เป็นไปได้กับระดับปัจจุบันของระบบอัตโนมัติ ระบบอัตโนมัติในระดับที่สูงขึ้นลดผลกระทบจากปัจจัยมนุษย์และลดความซับซ้อนสำหรับผู้มีส่วนได้ส่วนเสีย

Complexity index of data security

ตัวอย่างของวิธีการวัดค่าความซับซ้อนด้วยตัวชี้วัดแบบดัชนี โดยที่ตัวชี้วัดย่อยมีส่วนต่อดัชนีด้วยน้ำหนักที่แตกต่างกัน ที่มา: ดู สกอร์การ์ดการรักษาความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดการรักษาความปลอดภัยของข้อมูล.

เหล่านี้เป็นเพียงตัวอย่างของเมตริกบางตัวที่สามารถวัดค่าความซับซ้อนในกรณีของการรักษาความปลอดภัยของข้อมูล วิธีการที่แข็งแกร่งกว่านี้ควรรวมถึงการวิเคราะห์เชิงลึกของผู้มีส่วนได้ส่วนเสีย การค้นหาจุดที่ซับซ้อนเกินไปและการพัฒนากลยุทธ์ในการลดความซับซ้อน ในบทความก่อนหน้าเราได้พูดถึง เมตริกความซับซ้อน และวิธีการนำไปใช้ในทางปฏิบัติ

มุมมองด้านการเรียนรู้และการเติบโต

ในมุมมองนี้ เรามีเป้าหมายใหญ่สองข้อ:

  • การตรวจสอบความปลอดภัยของข้อมูลเป็นประจำ เป้าหมายที่ช่วยให้มีการเน้นโครงสร้างพื้นฐานที่เหมาะสมสำหรับความปลอดภัยของข้อมูล
  • ฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยของข้อมูล เป้าหมายที่มุ่งเน้นให้ทีมของคุณมีความรู้และทักษะที่ทันสมัยที่จำเป็นในการป้องกันการละเมิดข้อมูลหรือย่อผลกระทบของมัน

มุมมองด้านการเรียนรู้ของสกอร์การ์ดความปลอดภัยของข้อมูล

ปัจจัยการเรียนรู้และโครงสร้างพื้นฐานของยุทธศาสตร์ความปลอดภัยไซเบอร์ - 'การตรวจสอบความปลอดภัยของข้อมูลเป็นประจำ' และ 'การฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยของข้อมูล' สองเป้าหมายสำคัญที่มาพร้อมกับโครงการ ตัวชี้วัดเชิงนำและตัวชี้วัดเชิงผลลัพธ์ ที่มา: ดู Data Security Scorecard ออนไลน์ใน BSC Designer Data Security Scorecard.

มาดูกันว่าเป้าหมายเหล่านี้ถูกกำหนดในแผนที่ยุทธศาสตร์อย่างไร

การตรวจสอบความปลอดภัยของข้อมูลอย่างสม่ำเสมอ

เรามีเหตุผล วิเคราะห์ความเสี่ยงทางไซเบอร์ สอดคล้องกับเป้าหมาย ความเสี่ยงทางไซเบอร์ทั่วไปมีอะไรบ้าง? ในคำอธิบายเหตุผล เรามีตัวอย่างบางส่วน:

  • การโจมตีทางไซเบอร์
  • แรนซัมแวร์
  • มัลแวร์
  • ภัยคุกคามจากภายใน
  • การสูญหาย/ถูกขโมยข้อมูลประจำตัว
  • การเข้าถึงโดยไม่ได้รับอนุญาต
  • การสูญเสียข้อมูล
  • การเสียหายของข้อมูล

An example of the rationale: analyze cybersecurity risks

ความจำเป็นในการวิเคราะห์ความเสี่ยงทางไซเบอร์อย่างสม่ำเสมอถูกกำหนดเป็นโครงการ ตัวชี้วัดที่สอดคล้อง 'การวิเคราะห์ความเสี่ยงอย่างสม่ำเสมอ' แสดงความคืบหน้าจริงของโครงการนี้ ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

มีสมมติฐานว่า การทำงานระยะไกลกำลังส่งผลกระทบต่อความปลอดภัยของข้อมูล สอดคล้องกับเป้าหมาย สำหรับหลายองค์กร การทำงานระยะไกลเป็นส่วนหนึ่งของยุทธศาสตร์การรับมือวิกฤตเพื่อตอบสนองต่อ Covid-19

มีตัวชี้วัดเชิงนำสองตัว:

  • การวิเคราะห์ความเสี่ยงอย่างสม่ำเสมอ – การวิเคราะห์ทั่วไปของความเสี่ยงใหม่
  • การประเมินความเสี่ยงของข้อมูลสำคัญอย่างสม่ำเสมอ – การวิเคราะห์เฉพาะในบริบทของข้อมูลสำคัญ

ตัวชี้วัดทั้งสองถูกตั้งค่าให้อัปเดตบน พื้นฐานรายไตรมาส

Update interval is configured to quarterly update

ช่วงเวลาอัปเดตสำหรับ 'การประเมินความเสี่ยงของข้อมูลสำคัญอย่างสม่ำเสมอ' ถูกตั้งค่าเป็นรายไตรมาส ซอฟต์แวร์จะควบคุมให้ตัวชี้วัดถูกอัปเดตอย่างสม่ำเสมอและข้อมูลใหม่ถูกบันทึกในวันที่ที่อนุญาตโดยช่วงเวลาอัปเดต (วันแรกของไตรมาสตามการตั้งค่านี้) ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

มีตัววัดหลายตัวที่ช่วยในการหาปริมาณความพยายามของทีมรักษาความปลอดภัยในการวิเคราะห์สถานการณ์ความเสี่ยงปัจจุบันและเรียนรู้จากมัน:

  • การสแกนหาช่องโหว่ – โดยทั่วไปเป็นการสแกนอัตโนมัติที่ดำเนินการโดยทีมไอที
  • การทดสอบเจาะระบบ (pen test) – การจำลองการโจมตีทางไซเบอร์
  • การทดสอบทีมแดง – การทดสอบความปลอดภัยในขนาดที่ใหญ่ขึ้นที่เกี่ยวข้องกับผู้เข้าร่วมมากขึ้น

KPIs ที่เกี่ยวข้องถูกตั้งค่าสำหรับช่วงเวลาการอัปเดตที่แตกต่างกัน:

  • การสแกนหาช่องโหว่อัตโนมัติสามารถทำได้ รายสัปดาห์ หรือรายเดือน
  • ขึ้นอยู่กับแบบจำลองความเสี่ยง การทดสอบเจาะระบบสามารถดำเนินการ รายไตรมาส
  • สุดท้าย ตัวชี้วัดสำหรับการทดสอบทีมแดงที่ต้องการทรัพยากรมากที่สุดถูกตั้งค่าให้อัปเดต ทุกครึ่งปี หรือรายปี

ขั้นตอนการวิเคราะห์ความเสี่ยงและการทดสอบถูกออกแบบมาเพื่อค้นหาจุดอ่อนในระบบความปลอดภัย เราจะรู้ได้อย่างไรว่าการนำข้อเสนอแนะจากการจำลองและการทดสอบเหล่านั้นไปใช้งานได้อย่างมีประสิทธิภาพ? เพื่อหาคำตอบสำหรับคำถามนี้ เราสามารถติดตามได้:

  • ตัวชี้วัดจำนวนการละเมิดข้อมูลที่เกิดซ้ำ

หากการละเมิดข้อมูลประเภทเดียวกันเกิดซ้ำ นั่นเป็นสัญญาณว่าแผนลดความเสี่ยงที่ทีมรักษาความปลอดภัยเสนอไม่สามารถทำงานได้ตามคาดหวัง

ฝึกอบรมพนักงานเรื่องความปลอดภัยของข้อมูล

ปัจจัยมนุษย์ยังคงเป็นหนึ่งในความเสี่ยงสูงสุดของระบบความปลอดภัยของข้อมูลทุกระบบ ตามรายงานของ IBM Security ประมาณ 36% ของการละเมิดข้อมูลที่เป็นอันตรติเกี่ยวข้องกับพฤติกรรมมนุษย์ (ฟิชชิ่ง, วิศวกรรมสังคม, ข้อมูลประจำตัวที่ถูกละเมิด)

ยุทธศาสตร์ความปลอดภัยของข้อมูลจะถูกออกแบบให้ลดความเสี่ยงเหล่านั้นอย่างมีประสิทธิภาพได้อย่างไร?

หนึ่งในวิธีแก้ไขคือการทำให้งานบางอย่างเป็นอัตโนมัติและลดบทบาทของผู้ปฏิบัติงานมนุษย์ ซึ่งสอดคล้องอย่างมากกับเป้าหมาย การลดความซับซ้อน ที่เราได้พูดคุยกันในมุมมองด้านกระบวนการภายใน

ฝึกอบรมพนักงานเรื่องความปลอดภัยของข้อมูล - ตัวอย่างของโครงการ

รายการโครงการและสถานะของโครงการเหล่านั้น ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

สำหรับกรณีอื่น ๆ ที่ไม่สามารถทำให้เป็นอัตโนมัติหรือไม่คุ้มค่า การศึกษา เป็นคำตอบ จะมุ่งเน้นความพยายามทางการศึกษาในบริบทของความปลอดภัยของข้อมูลอย่างไร? เราสามารถใช้คู่ของตัวชี้วัดเชิงนำและเชิงผลลัพธ์ได้!

  • ตัวชี้วัดเชิงนำ: อัตราการเข้าถึงการฝึกอบรมความปลอดภัยของข้อมูล สามารถใช้เพื่อติดตามความครอบคลุมของการฝึกอบรมการตระหนักรู้เกี่ยวกับความปลอดภัยของข้อมูล ซึ่งผู้เข้าร่วมสามารถเรียนรู้ เช่น เกี่ยวกับการปฏิบัติโดยฟิชชิ่งและวิธีหลีกเลี่ยง
  • ตัวชี้วัดเชิงผลลัพธ์ที่ดีที่สุดในกรณีนี้ควรมุ่งเน้นที่ผลกระทบที่จับต้องได้ของการฝึกอบรมการตระหนักรู้ หากความเข้าใจเกี่ยวกับการปฏิบัติโดยฟิชชิ่งเป็นหนึ่งในหัวข้อของการฝึกอบรม ให้ทำการ ทดสอบฟิชชิ่ง และดูว่าพนักงานใช้ข้อมูลที่ได้รับจากการฝึกอบรมจริงหรือไม่ ซึ่งสามารถระบุเป็นตัวเลขบนสกอร์การ์ดด้วยตัวชี้วัด อัตราความสำเร็จของการทดสอบฟิชชิ่ง

หากการให้ความรู้พนักงานเรื่องความปลอดภัยของข้อมูลเป็นสิ่งที่คุณให้ความสำคัญในตอนนี้ ทีมงานด้านความปลอดภัยของคุณสามารถออกแบบสกอร์การ์ดประเมินการฝึกอบรมโดยใช้รูปแบบระดับของ Kirkpatrick ดังที่ได้กล่าวถึงใน บทความนี้

ระบบอัตโนมัติสำหรับสกอร์การ์ดการรักษาความปลอดภัยของข้อมูล

เราได้อภิปรายเกี่ยวกับตัวอย่างของสกอร์การ์ดยุทธศาสตร์ที่ช่วยในการอธิบาย ดำเนินการ และปฏิบัติยุทธศาสตร์การรักษาความปลอดภัยของข้อมูลในองค์กรของคุณ

สกอร์การ์ดนี้มีให้เป็นหนึ่งในแม่แบบฟรีใน BSC Designer Online เพื่อให้คุณสามารถสมัครใช้งานด้วยบัญชีแพ็กเกจฟรีและเริ่มปรับแต่งตามความต้องการของคุณ

รู้ต้นทุนทั้งหมดของยุทธศาสตร์

เรากล่าวถึงว่าหนึ่งในเหตุผลที่มีสกอร์การ์ดยุทธศาสตร์สำหรับความปลอดภัยของข้อมูลคือทำให้การนำเสนอข้อริเริ่มใหม่ ๆ แก่ผู้มีส่วนได้เสียง่ายขึ้น

ต้นทุนของยุทธศาสตร์ที่เสนอเป็นหนึ่งในคำถามแรกที่จะถูกยกขึ้นมาพิจารณา ต้นทุนในการดำเนินยุทธศาสตร์สามารถประเมินได้จากผลรวมของต้นทุนของเป้าหมายธุรกิจทั้งหมดและโครงการของพวกเขา

An example of cost of strategy report

รายงาน 'ต้นทุนของยุทธศาสตร์' สำหรับสกอร์การ์ดความปลอดภัยไซเบอร์สรุปงบประมาณ (ที่จัดสรรและใช้จริง) ของโครงการทั้งหมด ที่มา: ดู สกอร์การ์ดความปลอดภัยของข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดความปลอดภัยของข้อมูล.

หากคุณใช้ BSC Designer เป็นเครื่องมืออัตโนมัติ คุณจะสามารถจัดสรรงบประมาณให้กับโครงการและควบคุมการใช้งานได้ ซอฟต์แวร์จะสามารถสร้างรายงาน ต้นทุนของยุทธศาสตร์ เพื่อแสดงต้นทุนรวมที่คาดว่าจะใช้ในการดำเนินยุทธศาสตร์

แสดงข้อมูลสำคัญบนแดชบอร์ด

คำขอที่พบบ่อยจากผู้มีส่วนได้ส่วนเสียคือการมีข้อมูลเพื่อทำการตัดสินใจที่ถูกต้อง (ก่อนหน้านี้เราได้พูดถึง การตัดสินใจโดยอิงข้อมูล) โดยตัวแผนที่ยุทธศาสตร์มีข้อมูลจำนวนมาก อีกแนวทางหนึ่งคือการสร้างแดชบอร์ด BI ที่สามารถกำหนดค่าให้แสดงตัวชี้วัดที่สำคัญที่สุดและข้อมูลของพวกเขาได้

ในแม่แบบยุทธศาสตร์สำหรับบทความนี้ เรามีแดชบอร์ดสองชุด (คุณสามารถสลับระหว่างพวกเขาได้)

 

An example of risk index dashboard

An example of the BI dashboard for cybersecurity: the time chart for critical risk events, the evolution of weighted risk index, charts for some specific indicators, the Gantt chart for the response initiatives, the list of risks and their statuses. ที่มา: ดู Data Security Scorecard ออนไลน์ใน BSC Designer Data Security Scorecard.

แดชบอร์ดดัชนีความเสี่ยง มุ่งเน้นเฉพาะตัวชี้วัดของดัชนีความเสี่ยงที่เราใช้ในการวัดสถานการณ์ความเสี่ยงปัจจุบัน ด้วยแผนผังของแดชบอร์ดนี้ เราสามารถเห็น:

  • ความเสี่ยงปัจจุบัน แสดงในแผนภูมิเกจ
  • การเปลี่ยนแปลงของดัชนีความเสี่ยงตลอดเวลา
  • การมีส่วนร่วมของแต่ละตัวชี้วัดในดัชนีความเสี่ยงในแผนภูมิน้ำหนัก

An example of the data security complexity index dashboard

Second dashboard in the cybersecurity scorecard focuses exclusively on the complexity index, its evolution over time, and the state of its indicator. ที่มา: ดู Data Security Scorecard ออนไลน์ใน BSC Designer Data Security Scorecard.

แดชบอร์ดอีกชุดคือ ดัชนีความซับซ้อนของการรักษาความปลอดภัยข้อมูล ดังที่เราได้กล่าวไว้ ความซับซ้อนที่ไม่ดีของระบบความปลอดภัยเป็นปัจจัยของความเสี่ยงที่สูงขึ้นในการละเมิดข้อมูล แดชบอร์ดนี้แสดงสถานะปัจจุบันของความซับซ้อนตามที่วัดโดยตัวชี้วัดที่เลือกไว้

วิเคราะห์ข้อมูลผลการดำเนินงาน

การรวบรวมข้อมูลผลการดำเนินงานในรูปแบบของ KPI เป็นสิ่งที่องค์กรส่วนใหญ่ทำเป็นประจำ ไม่สำคัญว่าจะใช้เครื่องมืออัตโนมัติอะไร ข้อมูลมีอยู่มากมาย

คำถามคือจะใช้ข้อมูลนี้อย่างไรและแปลงเป็นข้อมูลที่สามารถดำเนินการได้ การระบุข้อค้นพบบางอย่างเกิดขึ้นเมื่อทีมพูดคุยเกี่ยวกับแผนที่ยุทธศาสตร์หรือแดชบอร์ด; การค้นพบอื่น ๆ สามารถทำให้เป็นอัตโนมัติได้

ในแง่นี้ การวิเคราะห์ ใน BSC Designer ช่วยได้มาก นี่คือตัวอย่างบางส่วน:

  • ตัวชี้วัดส่วนใหญ่ที่เราพูดคุยกันจำเป็นต้องอัปเดตเป็นประจำ ด้วยการวิเคราะห์ เวลาอัปเดต คุณสามารถค้นหาตัวชี้วัดที่จำเป็นต้องอัปเดตในเร็วๆ นี้หรือตัวชี้วัดที่ไม่ได้รับการอัปเดตตรงเวลา สิ่งนี้ยังสามารถทำให้เป็นอัตโนมัติได้ด้วยฟังก์ชัน การแจ้งเตือน
  • ตัวชี้วัดแต่ละตัวในสกอร์การ์ดมีน้ำหนักของตัวเองที่แสดงถึงความสำคัญของตัวชี้วัด ด้วยการวิเคราะห์ น้ำหนักสมบูรณ์ คุณสามารถค้นหาตัวชี้วัดที่มีน้ำหนักสูงสุดได้ เช่น ในตัวอย่างของเรา ตัวชี้วัด เวลาเฉลี่ยในการตรวจจับ มีน้ำหนักสูงสุด หากทีมของคุณพิจารณาทำงานในหลายโครงการ และโครงการหนึ่งสัญญาว่าจะตรวจจับการละเมิดข้อมูลได้เร็วขึ้น ให้ความสำคัญกับโครงการนั้น
  • บางครั้ง การค้นพบที่น่าสนใจสามารถพบได้โดยการดูว่าข้อมูลผลการดำเนินงานเปลี่ยนแปลงไปอย่างไร การเพิ่มขึ้นหรือลดลงอย่างรวดเร็วเป็นสัญญาณของปัจจัยใหม่บางอย่างที่ควรได้รับการวิเคราะห์ ทำไมตัวชี้วัด เหตุการณ์ความเสี่ยงระดับกลาง ถึงมีการลดลง 30% – เป็นผลจากการอัปเดตระบบภายในบางอย่างหรือเป็นปัญหาของการรายงาน?

Mean time to detect has one of the highest weight

การวิเคราะห์ 'น้ำหนักสมบูรณ์' ช่วยในการค้นหาตัวชี้วัดที่มีผลกระทบสูงสุด (น้ำหนักสมบูรณ์สูงสุด) ในสกอร์การ์ด ในกรณีนี้ 'เหตุการณ์ความเสี่ยงสำคัญ' และ 'เวลาเฉลี่ยในการตรวจจับ' มีผลกระทบสูงสุด ที่มา: ดู สกอร์การ์ดการรักษาความปลอดภัยและการปกป้องข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดการรักษาความปลอดภัยและการปกป้องข้อมูล.

ทำแผนที่เหตุผล ปัจจัยความสำเร็จ และผลลัพธ์ที่คาดหวัง

ในคอร์สการวางแผนยุทธศาสตร์ฟรี เราได้พูดถึงความสำคัญของการเข้าใจบริบทธุรกิจของเป้าหมาย การมีเป้าหมายที่อธิบายไว้อย่างดีนั้นไม่เพียงพอ แต่ควรเข้าใจเหตุผลเบื้องหลัง ปัจจัยความสำเร็จ และผลลัพธ์ที่คาดหวังซึ่งมีคุณค่าต่อองค์กร

ตัวอย่างของเหตุผลและปัจจัยความสำเร็จสำหรับเป้าหมายลดความซับซ้อน

รายการของโครงการ สถานะของพวกเขา และความก้าวหน้าของตัวชี้วัดที่สอดคล้องกับพวกเขา. ที่มา: ดู Data Security Scorecard ออนไลน์ใน BSC Designer Data Security Scorecard.

ลองดูที่เป้าหมาย ลดความซับซ้อนของไอทีและข้อมูล จากแม่แบบสกอร์การ์ด:

  • มีบันทึก เหตุผล ลดความซับซ้อนของข้อมูลและไอที ที่อธิบายว่าทำไมเป้าหมายนี้จึงสำคัญ: “ความซับซ้อนสูงของระบบซอฟต์แวร์และโครงสร้างพื้นฐานของข้อมูลเป็นปัจจัยเสี่ยงในการละเมิดข้อมูล”
  • นอกจากนี้ยังมีปัจจัยความสำเร็จของการลดความซับซ้อน – จำกัดการเข้าถึงข้อมูลที่มีค่าที่สุด ซึ่งสมเหตุสมผลในบริบทของเป้าหมาย – การเข้าถึงข้อมูลที่ละเอียดอ่อนน้อยลงจะลดความซับซ้อนของโครงร่างข้อมูลและลดความเสี่ยงของการละเมิดข้อมูลเป็นผลลัพธ์

ในบางกรณี เราไม่มีแผนที่ตายตัวในการบรรลุบางสิ่ง แต่เรากำลังจัดการกับสมมติฐานที่มีความรู้ ผู้ใช้ BSC Designer สามารถเพิ่มสมมติฐานให้กับเป้าหมายของพวกเขาได้ ในตัวอย่างของเรา มีสมมติฐานว่า การทำงานระยะไกลส่งผลต่อความปลอดภัยของข้อมูล ที่สอดคล้องกับ การตรวจสอบความปลอดภัยของข้อมูลเป็นประจำ

การรู้ผลลัพธ์ที่คาดหวังก็สำคัญเช่นกัน ตัวอย่างเช่น สำหรับการฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยของข้อมูล เรามีผลลัพธ์ที่คาดหวังที่เรียกว่า การจัดการข้อมูลที่รับผิดชอบ สิ่งนี้หมายความว่าอย่างไรในทางปฏิบัติ? เราสามารถหาปริมาณนี้ได้อย่างไร? คำถามเหล่านี้เปิดประตูให้กับการอภิปรายที่น่าสนใจบางอย่าง

สร้างโครงการพร้อมงบประมาณ ผู้รับผิดชอบ และสถานะ

เพื่อเติมเต็มช่องว่างระหว่างการวางแผนยุทธศาสตร์และการดำเนินการ ใช้โครงการสำหรับเป้าหมาย ลองพิจารณาโครงการ ทดสอบความเปราะบางและความสอดคล้องโดยอัตโนมัติ ที่สอดคล้องกับ ลดความซับซ้อนของไอทีและข้อมูล

An example of initiative - automate testing

ตัวอย่างของโครงการยุทธศาสตร์ที่มีการกำหนดงบประมาณและระยะเวลา ผลกระทบของโครงการถูกระบุโดยตัวชี้วัด 'การครอบคลุมการทำงานอัตโนมัติ' (ดูที่ฟิลด์ 'ตัวชี้วัดเชิงนำ'). ที่มา: ดู สกอร์การ์ดการรักษาความปลอดภัยข้อมูล ออนไลน์ใน BSC Designer สกอร์การ์ดการรักษาความปลอดภัยข้อมูล.

  • ทีมของคุณจะทำงานในโครงการนี้อย่างไร? ใช้ฟิลด์ คำอธิบาย เพื่อเพิ่มแผนการดำเนินการอย่างละเอียด
  • มันสอดคล้องกับแผนการลดความเสี่ยงอื่น ๆ อย่างไร? ใช้ส่วน เอกสาร เพื่อเชื่อมโยงไปยังแหล่งข้อมูลที่เกี่ยวข้อง ในตัวอย่างของเรา เราได้เชื่อมโยงไปยัง ตัวอย่างสกอร์การ์ดไอที
  • ใครคือผู้รับผิดชอบสำหรับโครงการนี้? กำหนด ผู้รับผิดชอบ เพื่อให้พวกเขาได้รับการแจ้งเตือนเมื่อเกิดสิ่งที่เกี่ยวข้องขึ้น
  • สถานะปัจจุบันของโครงการคืออะไร? อัปเดต สถานะ พร้อมกับความก้าวหน้าของทีมคุณที่ทำงานในโครงการ
  • คุณสามารถติดตามความก้าวหน้าในบริบทของโครงการนี้ได้อย่างไร? ในตัวอย่างของเรา เราได้เชื่อมโยงมันกับตัวชี้วัด การครอบคลุมการทำงานอัตโนมัติ, % ที่สร้างดัชนี ความซับซ้อนของการรักษาความปลอดภัยข้อมูล

Training programเซสชัน: 'Introduction to Balanced Scorecard by BSC Designer' มีให้บริการเป็นส่วนหนึ่งของโปรแกรมการเรียนรู้ต่อเนื่องของ BSC Designer ซึ่งมีทั้งในรูปแบบออนไลน์และเวิร์กช็อปนอกสถานที่ เรียนรู้เพิ่มเติม....

บทสรุป

ในบทความนี้ เราได้พูดคุยเกี่ยวกับตัวอย่างของยุทธศาสตร์การรักษาความปลอดภัยข้อมูล นี่คือแนวคิดที่สำคัญที่สุดที่เราได้พูดคุยกัน:

  • มีปัจจัย ความเสี่ยงที่ทราบกัน ของการละเมิดข้อมูล รวมถึง วิธีการที่พิสูจน์แล้ว ในการลดผลกระทบจากเหตุการณ์ด้านความปลอดภัย
  • ช่วยให้ผู้มีส่วนได้ส่วนเสียของคุณเข้าใจ ต้นทุนทั้งทางตรงและทางอ้อม ของการละเมิดข้อมูล
  • มุ่งเน้นยุทธศาสตร์ของคุณ ในการ ตรวจจับปัญหาแต่เนิ่นๆ และ ตอบสนองอย่างรวดเร็ว
  • มี แผน การลดความเสี่ยงและ ทีม ตอบสนองเพื่อบรรเทาผลกระทบจากการละเมิดข้อมูล
  • ลด ความซับซ้อนที่ไม่ดี ของระบบ IT และโครงสร้างข้อมูล
  • อัปเดต โมเดลความเสี่ยงเป็นประจำ และ ทดสอบ สภาพแวดล้อมด้านความปลอดภัยของคุณ
  • ปัจจัยมนุษย์ เป็นหนึ่งในจุดเสี่ยง – ให้ความรู้แก่ทีมของคุณ ดูการเปลี่ยนแปลงในพฤติกรรม ไม่ใช่แค่คะแนนสอบอย่างเป็นทางการ

แล้วต่อไปล่ะ? ยุทธศาสตร์ไซเบอร์ที่ดีควรปรับให้เหมาะสมตามความต้องการขององค์กรของคุณ ใช้แม่แบบยุทธศาสตร์ความปลอดภัยที่กล่าวถึงในบทความนี้เป็นจุดเริ่มต้นในการสร้างยุทธศาสตร์การรักษาความปลอดภัยข้อมูลของคุณเอง รู้สึกอิสระที่จะแบ่งปันความท้าทายและสิ่งที่คุณค้นพบในความคิดเห็น

ตัวอย่างการใช้งานในภาคส่วนความปลอดภัยทางไซเบอร์

เรียนรู้ว่าผู้เชี่ยวชาญทางธุรกิจใช้แพลตฟอร์ม BSC Designer อย่างไรในการแก้ไขและทำให้อัตโนมัติความท้าทายที่เกี่ยวข้องกับยุทธศาสตร์ด้านความปลอดภัยทางไซเบอร์

กำลังโหลดรีวิว...

ใช้แม่แบบ สกอร์การ์ดการรักษาความปลอดภัยและการป้องกันข้อมูล

BSC Designer ช่วยให้องค์กรนำกลยุทธ์ที่ซับซ้อนไปใช้:

  1. สมัคร แพ็กเกจฟรีบนแพลตฟอร์ม
  2. ใช้แม่แบบ Scorecard Template สกอร์การ์ดการรักษาความปลอดภัยและการป้องกันข้อมูล เป็นจุดเริ่มต้น คุณจะพบแม่แบบนี้ที่ ใหม่ > สกอร์การ์ดใหม่ > แม่แบบเพิ่มเติม
  3. ปฏิบัติตาม ระบบการดำเนินกลยุทธ์ ของเราเพื่อสอดคล้องผู้มีส่วนได้ส่วนเสียและความทะเยอทะยานเชิงกลยุทธ์ให้เป็นกลยุทธ์ที่ครอบคลุม

เริ่มต้นวันนี้และดูว่า BSC Designer ช่วยให้การดำเนินกลยุทธ์ของคุณง่ายขึ้นได้อย่างไร!

Cite this article as: Alexis Savkín, "บาลานซ์ สกอร์การ์ดด้านความปลอดภัยทางไซเบอร์: คู่มือวิธีการพร้อมตัวอย่างของ KPI," in BSC Designer - ซอฟต์แวร์การดำเนินกลยุทธ์, เมษายน 18, 2025, https://bscdesigner.com/th/cybersecurity-strategy.htm.

Leave a Comment