网络安全平衡记分卡：包含关键绩效指标示例的操作指南

一个包含绩效指标的战略记分卡示例，针对网络安全的新兴趋势。

网络安全战略图的指导原则。 来源： 数据安全记分卡。

文章的关键主题：

起点：数据安全研究

定期进行的数据安全和数据保护研究让我们对数据泄露的根本原因及其预防方法有了更深入的了解。在本文中，我们将讨论如何将这些研究结果结合成一个由关键绩效指标衡量的全面的网络安全策略的例子。

以下是我们将用作参考的报告：

• IBM的数据泄露成本报告¹，由Ponemon研究所进行的研究，是IT安全领域的基准之一。
• Verizon的数据泄露调查报告²提供了关于网络安全风险及其解决方法的不同视角。
• EY全球信息安全调查³分享了组织为应对数据安全风险所实施的最佳实践。
• FireEye M-TRENDS报告⁴报告了数据安全威胁及其随时间的演变。

术语：网络安全、数据安全、数据保护、数据隐私

让我们开始讨论数据/信息安全和数据保护（数据隐私）术语之间的区别。

• 数据/信息安全是指维护安全架构来管理数据。想想定期备份、最新的安全软件、访问权限、实施DLP软件等。
• 数据保护涉及道德和法律的数据使用——获得同意并遵循法规要求。

这种区别很重要。例如，在Facebook–Cambridge Analytica事件中，数据被安全地管理（已加密并存储在安全服务器上），但根据数据保护法规，它并未被负责任地管理。

数据保护术语主要在欧洲和亚洲使用，而在美国，相同的概念称为数据隐私。Françoise Gilbert在她的博客中分享了一个很好的解释。

最后，网络安全术语被认为涵盖更广泛的概念，不仅包括数据安全，还包括其他安全系统。在实践中，它常常与数据安全术语互换使用。

为什么我们需要网络安全关键绩效指标和策略？

除了显而易见的想法，比如了解您的组织状况和理解未来的方向，我想提到这些原因：

• 在向利益相关者展示新的安全解决方案时，能够用一些数据支持论点。
• 制定业务背景有助于将网络安全举措与策略的其他部分对齐，例如人才记分卡、IT记分卡或公司治理记分卡。
• 将一些模糊的想法，如“利用最新IT技术的高度安全的商业环境”，转化为具有具体绩效指标的更为实质的内容。

如何衡量尚未发生的事件

数据安全可能看起来是无形的东西，难以量化和衡量，因为我们无法预先知道组织将面临何种数据泄露。开头提到的实证研究（例如，IBM Security 报告）提供了不同的观点。

大多数数据泄露是由已知因素造成的，例如：

• 凭证泄露（19%）
• 网络钓鱼（14%）
• 云配置错误（19%）

这使我们了解网络安全工作应该重点关注的方向。

虽然我们无法防止所有数据泄露，但数据显示我们可以通过以下方法最小化其影响：

• 实施安全自动化，
• 准备好响应团队和响应计划，
• 教育员工，和
• 使用类似红队测试的方法来测试业务环境。

对于最关键的业务功能和资产，我们将定义恢复点和恢复时间目标，这可以在灾难恢复记分卡中形式化，并与网络安全记分卡对齐。

哪些商业框架适用于数据安全？

之前，我们讨论了各种商业框架，这些框架帮助组织明确并执行其战略。哪些框架适用于网络安全领域？

为了取得最佳效果，我们需要结合各种框架：

• 我们将使用PESTEL分析来检测和分析外部环境的新因素（参见学习与成长视角中的目标）。这些因素可能是立法的变化，如数据保护法，或是我们在Covid-19之后看到的颠覆性变化，例如远程工作趋势。
• 我们将重点讨论响应工作的关注。在此背景下，各种优先级框架将有所帮助。
• 在制定数据安全战略时，我们需要考虑今天需要的行动、近期的行动以及远期的行动方案。在此背景下，三大视野框架将有助于进行有纪律的讨论。
• 为了将所有这些分散的想法转化为连贯的战略，我们将使用平衡记分卡框架。

让我们使用上述商业框架和开头提到的研究报告来创建一个数据安全战略的示例。

财务视角。评估数据安全的财务影响

当向利益相关者展示安全计划时，数据安全的财务关键绩效指标是必不可少的。如果能够提供相关的行业基准，展示效果会更加令人印象深刻。

Verizon的报告以及IBM的报告（由Ponemon Institute进行）在这一背景中分享了一些见解。有时，数据是矛盾的。例如，您会发现每条记录的数据泄露成本差异显著。IBM的报告提供的范围是150到175美元，而根据Verizon的报告（见2015年数据泄露调查报告），大约是0.58美元。Ken Spinner在TeachBeacon中分享了一些对此主题的解释。

减少数据泄露潜在财务影响的目标被分解为具体的滞后指标。 来源： 数据安全记分卡。

在您的组织中，如何估算数据泄露成本？

这可以基于直接和间接成本：

• 直接成本包括法务分析费用、罚款、对客户的赔偿。
• 间接成本指由于数据泄露造成的现有和潜在客户、员工、合作伙伴的流失。

在数据安全记分卡上，我们可以从Ponemon或Verizon的研究中获取一些每条记录的数据泄露成本基准，并将其乘以风险记录的数量。

为了进行计算，我们需要一些基本的业务数据：

• LTV（客户终身价值）
• 估算因数据泄露导致的客户流失
• 客户数量
• 风险记录的数量
• 潜在客户流失

‘数据泄露成本’指标的值是通过两个其他指标的值计算得出的。 来源： 数据安全记分卡。

相应地，数据泄露的直接影响可以计算为：

• 数据泄露成本（直接成本） = 每条记录的数据泄露成本 * 风险记录的数量

至于间接成本，量化它们的一种方法是使用因数据泄露导致的客户流失率和LTV：

• 客户流失成本 = [客户数量]*[LTV]*[因数据泄露导致的客户流失]/100

另外，您可以估算未签合同的潜在客户数量。

• 机会成本 = [潜在客户流失] * [LTV]

客户视角。量化安全风险。

对于客户视角，关键目标被表述为：

• 减轻数据安全和数据保护风险

整体客户目标被表述为‘减轻数据安全风险’。其结果通过‘加权风险’指数进行量化。 来源： Data Security Scorecard。

这是通过以下指标来衡量的：

• 领先指标数据风险的早期检测和快速响应，这是内部视角目标的输出
• 领先指标数据保护准备度
• 滞后指标加权风险指数

这里的逻辑是，组织通过内部安全系统的工作（通过数据风险的早期检测和快速响应量化）并引入必要的数据保护措施（通过数据保护准备度量化）来更好地减轻数据安全风险，这些风险通过加权风险指数进行量化。

• 在建立数据安全策略时，请确保您的团队了解成功因素的指标（领先指标）和预期结果的指标（滞后指标）之间的区别。

让我们详细讨论客户视角的指标。

加权风险指数

本指标的目标是量化组织当前所面临的风险水平。为此，我们将按其影响水平量化数据泄露的数量：

• 关键风险事件，权重70%
• 重要风险事件，权重20%
• 中等风险事件，权重7%
• 低风险事件，权重3%

如您所见，应用了非线性权重尺度。通过此模型，关键数据泄露对指数指标有最大影响，而低风险事件影响较小。

加权风险指数考虑了不同级别的风险事件 - 从关键风险事件（最高权重）到低风险事件（最低权重）。 来源： 数据安全记分卡。

这种方法解决了在控制指标通过解决不太重要的问题被移到绿色区域时操控测量系统的问题。但我们仍需确保风险事件被正确分类。

如果您有兴趣了解更多关于指数指标的计算以及考虑指标权重的信息，请查看我们网站上的相关文章。

衡量数据保护或数据隐私

如前所述，数据保护是关于道德和合法使用个人身份信息（PII）及类似数据。 在这种情况下，保护措施由适用的法律法规明确规定。在欧洲，是GDPR；在美国，根据业务领域不同，有不同的法律，如CCPA、HIPPA、PCI DSS、GLBA。

二进制指标的示例（可能的状态为'是'或'否' - 当值为'是'时，该指标的绩效为100%，否则为0%。 来源： 数据安全记分卡。

如果我们以GDPR为例，从衡量的角度来看，数据保护可以通过一个指数指标进行跟踪，数据保护准备度，该指标使用以下指标（主要是二进制指标）计算：

• 指定数据保护官
• 明确的同意跟踪
• 数据泄露报告程序
• 实施访问、更正、删除权
• 数据可移植权

这些指标可以进一步细化为适用于组织、其产品和服务的最具体的情况。 为了确保合规，这些指标以及法律要求应定期审查。这可以通过相关指标的更新间隔功能实现自动化。有关更具体的示例，请参见下面的自动化部分。

内部视角。如何减轻数据安全风险

为了找到内部视角的目标和绩效指标，我们需要进行根本原因分析，并查看发现的风险/成本点。

这些发现将取决于特定组织的业务领域和业务系统。然而，IBM Security 和 Verizon 的报告中突出了一些共同趋势。我们将利用这些发现来制定记分卡内部视角的目标和关键绩效指标。

网络安全战略的驱动因素。“早期检测”目标由两个子目标支持——“制定风险缓解计划”和“降低 IT 的复杂性”——所有这些都有其相应的绩效指标和举措。 来源： 数据安全记分卡。

数据风险的早期检测与快速响应

如果发生数据泄露，快速检测和响应将显著降低成本。

在记分卡上，这通过两个滞后指标进行量化：

• 平均检测时间
• 平均响应时间

滞后指标量化的是已经发生的事情。组织如何影响这些指标？相同的报告建议了某些通常会导致更好数据安全响应的行动。

成功因素示例 - '成立事件响应团队' 是最小化数据泄露影响的成功因素。 来源： 数据安全记分卡。

在记分卡模板上，您会发现与早期检测与快速响应目标对齐的两条记录：

• 成立事件响应团队。这条记录被标记为成功因素。根据IBM安全报告，这是最小化数据泄露影响的根本原因之一。
• 高风险数据访问的检测。通过这一举措，您的团队可以根据某些类型数据访问的影响优先考虑他们的工作。如果您正在寻找更系统的方法来优先排序，可以查看关于优先排序框架的文章。

在早期检测与快速响应目标的背景下，还有两个领先指标。两者都基于上述数据安全报告的发现：

• 制定风险缓解计划
• 减少IT的复杂性

让我们详细讨论它们。

制定风险缓解计划

拥有一个风险缓解计划是更快速应对数据泄露的成功因素。

我们如何确保现有的数据安全计划是一个好的计划？

它应基于一个反映组织内数据管理方式的最新风险模型。在战略记分卡上，这通过定期数据安全审计的领先指标进行量化，并在学习与成长视角中进行解释。

我们如何知道建议的风险应对计划实际上是有效的？

除了定期更新风险计划外，我们还可以在实践中测试所制定计划的应用。这通过滞后指标事件响应测试进行量化。

减少IT和数据的复杂性

经验研究指出了几个有助于降低数据泄露成本的因素，例如：

• IT基础设施复杂性
• 数据方案复杂性
• 自动化

在战略地图上，我们在减少IT和数据复杂性目标中制定了这些因素。

子目标解释了如何实现总体目标。 来源： Data Security Scorecard。

在这种情况下：

• 减少数据和IT的复杂性是该目标的理由
• 限制对最有价值数据的访问是减少所需IT解决方案复杂性的成功因素之一
• 自动化漏洞测试和合规性是IT自动化安全的广泛举措

最后，如果将复杂性最小化称为更好数据泄露响应的因素之一，我们如何量化它？

答案是个性化的，取决于您组织的IT环境。对于此记分卡，有一个数据安全复杂性指数的示例，该指数由以下指标组成：

• 具有最高访问级别的用户数量。该指标的优化功能设为“线性最小化”，因为减少有权访问敏感数据的用户数量将改善指数的整体表现。
• 停用登录凭证的时间。7%的数据泄露是由恶意内部人员导致的。快速停用登录凭证是减少此百分比的IT安全措施之一。在这种情况下，可接受的时间间隔非常短。为了在记分卡上反映这一想法，该指标的优化功能为指数衰减。

该指标的性能函数设定为“指数衰减”。如仪表图所示，该指标的绿色区域相对较小，这意味着停用逻辑凭证的可接受时间为几小时，而不是几天。 来源： Data Security Scorecard。

• %由DLP软件控制的敏感数据。数据丢失防护解决方案是自动化IT安全的方法之一。只要组织处理新数据，定期修订数据模型以确保DLP（数据丢失防护）工具可以访问敏感数据是很重要的。
• 数据加密和备份自动化。与前一个指标类似，我们希望拥有最新的数据模型，并确保敏感数据得到适当管理。
• %的最新安全软件。该指标看似简单，但研究表明情况不同。16%的数据泄露根源于第三方软件的漏洞。软件供应商定期发布补丁更新来修复漏洞。安装最新更新是降低安全风险的成功因素之一。
• 自动化覆盖率，%指示器比较当前自动化水平与可能实现的自动化水平。更高的自动化减少了人为因素的影响，并降低了利益相关者的复杂性。

一个展示如何用指数风格指标量化复杂性的示例，其中子指标以不同权重贡献于该指数。 来源： Data Security Scorecard。

这些只是一些可以在数据安全情况下量化复杂性的指标示例。对于复杂性更强的方法应包括对利益相关者的深入分析，找出不良复杂性点并制定复杂性减少策略。在之前的文章中，我们讨论了复杂性指标及其实际应用方法。

学习和成长视角

在这一视角中，我们有两个主要目标：

• 定期数据安全审计目标，有助于专注于数据安全的适当基础设施。
• 培训员工数据安全目标，专注于为您的团队提供防止数据泄露或将其影响最小化所需的最新知识和技能。

网络安全策略的学习和基础设施驱动因素——‘定期数据安全审计’和‘培训员工数据安全’。两个重要目标伴随着举措、领先和滞后指标。 来源： 数据安全记分卡。

让我们看看这些目标如何在战略地图上制定。

定期数据安全审计

我们有一个与目标对齐的理由分析网络安全风险。典型的网络安全风险有哪些？在理由描述中，我们有一些示例：

• 网络攻击
• 勒索软件
• 恶意软件
• 内部威胁
• 丢失/被盗的凭证
• 未经授权的访问
• 数据丢失
• 数据损坏

定期分析网络安全风险的需求被制定为一个行动方案。对齐的指标'定期风险分析'显示了该行动方案的实际进展。 来源： 数据安全计分卡。

有一个假设，远程工作正在影响数据安全与目标对齐。对许多组织来说，远程工作是他们应对Covid-19的抗危机战略的一部分。

有两个领先指标：

• 定期风险分析 – 对新风险的总体分析
• 定期评估敏感数据的风险 – 在敏感数据背景下更具体的分析

这两个指标被配置为季度更新。

‘定期评估敏感数据的风险’的更新间隔被配置为季度更新。软件将控制该指标的定期更新，并记录新的数据至更新间隔允许的日期（此配置为季度的第一天）。 来源： 数据安全计分卡。

有几个指标有助于量化安全团队在分析当前风险情况并从中学习的努力：

• 漏洞扫描 – 通常由IT团队自动执行的扫描
• 渗透测试（pen test）- 网络攻击的模拟
• 红队测试 – 涉及更多参与者的大规模安全测试

相应的KPI指标被配置为不同的更新间隔：

• 自动漏洞扫描可以每周或每月进行。
• 根据风险模型，渗透测试可以按季度进行。
• 最后，对于资源需求最高的红队测试的指标被配置为半年或年度更新间隔。

风险分析和测试程序旨在发现安全系统中的薄弱环节。我们如何知道这些模拟和测试的收获是否被有效实施？为找到这个问题的答案，我们可以追踪：

• 重复数据泄露的次数指标。

如果同类型的数据泄露反复发生，这表明安全团队提出的风险缓解计划没有预期的效果。

培训员工关于数据安全

人为因素仍然是任何数据安全系统中最大的风险之一。根据IBM安全报告，大约36%的恶意数据泄露与人类行为有关（网络钓鱼、社会工程、凭证泄露）。

数据安全策略如何设计才能有效降低这些风险？

解决方案之一是自动化某些操作并减少人工操作员的角色。这与我们在内部视角中讨论的复杂性减少目标高度契合。

举措及其状态的列表。 来源： Data Security Scorecard。

对于无法自动化或不经济的其他情况，教育是答案。在数据安全的背景下如何集中教育努力？我们可以使用一对前导和滞后指标！

• 前导指标：数据安全培训渗透率可用于跟踪数据安全意识培训的覆盖范围，在培训中，参与者可以学习例如关于网络钓鱼的做法以及如何避免这些做法。
• 在这种情况下，最好的滞后指标应关注意识培训的实际影响。如果网络钓鱼实践是培训的主题之一，进行一次网络钓鱼测试，看看员工是否实际应用了培训的收获。这可以通过网络钓鱼测试成功率指标在记分卡上量化。

如果现在教育员工关于数据安全是您的优先事项，那么您的安全团队可以使用Kirkpatrick的水平模型设计一个培训评估记分卡，如本文中所讨论的。

数据安全记分卡的自动化

我们讨论了一个战略记分卡的例子，该记分卡有助于在您的组织中描述、实施和执行数据安全战略。

这个记分卡作为BSC Designer Online的免费模板之一提供，您可以注册一个免费账户并根据您的需要开始定制它。

了解战略的总成本

我们提到，为数据安全制定战略记分卡的原因之一是，它使向利益相关者展示新计划变得更容易。

建议战略的成本是首先要讨论的问题之一。执行战略的成本可以估算为所有业务目标及其各自计划的成本之和。

网络安全记分卡的“战略成本”报告总结了所有计划的预算（分配和实际使用）。 来源： 数据安全记分卡。

如果您使用BSC Designer作为自动化工具，您将能够为计划分配预算并控制其使用。该软件将能够生成一份战略成本报告，以展示执行战略的预期总成本。

在仪表板上可视化重要数据

另一个典型的利益相关者需求是拥有数据以做出正确的决策（之前我们讨论过数据驱动的决策）。战略地图本身包含大量数据。另一种方法是构建一个可以配置以显示最重要指标及其数据的BI仪表板。

在本文的战略模板中，我们有两个仪表板（您可以在它们之间切换）。

 

An example of the BI dashboard for cybersecurity: the time chart for critical risk events, the evolution of weighted risk index, charts for some specific indicators, the Gantt chart for the response initiatives, the list of risks and their statuses. 来源： Data Security Scorecard。

风险指数仪表板专注于我们用来量化当前风险情况的风险指数指标。通过仪表板的图表，我们可以看到：

• 在测量图上可视化的当前风险
• 风险指数是如何随时间变化的
• 每个指标对风险指数的贡献在权重图上

Second dashboard in the cybersecurity scorecard focuses exclusively on the complexity index, its evolution over time, and the state of its indicator. 来源： Data Security Scorecard。

另一个仪表板是数据安全复杂性指数。正如我们所讨论的，安全系统的不良复杂性是数据泄露风险更高的因素。此仪表板可视化了由选定指标量化的复杂性的当前状态。

分析绩效数据

收集以关键绩效指标形式的绩效数据是大多数组织定期进行的事情。无论使用何种自动化工具，都有大量数据可用。

问题总是如何使用这些数据并将其转换为可操作的信息。有些见解是在团队讨论战略地图或仪表板时产生的；其他见解的发现可以自动化。

在这方面，BSC Designer中的分析功能帮助很大。以下是一些示例：

• 我们讨论的大多数指标需要定期更新。通过更新时间分析，您可以找到需要尽快更新的指标或那些未及时更新的指标。这也可以通过警报功能自动化。
• 记分卡上的每个指标都有反映其重要性的权重。通过绝对权重分析，您可以找到权重最高的指标。例如，在我们的例子中，指标平均检测时间的权重之一最高。如果您的团队考虑开展几个计划，其中一个承诺更快地检测数据泄露，那么优先考虑该计划。
• 有时，通过简单查看绩效数据的变化可以发现有趣的发现。快速的增益或损失是需要分析的一些新因素的标志。为什么中等风险事件指标有30%的损失——这是某些内部系统更新的结果，还是报告的问题？

‘绝对权重’分析有助于找到对记分卡影响最大的指标（绝对权重最高）。在这种情况下，‘关键风险事件’和‘平均检测时间’具有最大的影响。 来源： 数据安全记分卡。

映射理由、成功因素和预期结果

在免费的战略规划课程中，我们讨论了理解目标的商业背景的重要性。仅仅有一个描述清晰的目标是不够的，理解其背后的理由、成功因素以及对组织有价值的预期结果同样重要。

举措列表、其状态以及与之对齐的指标进展。 来源： 数据安全记分卡。

请查看记分卡模板中的减少IT和数据复杂性目标：

• 有一条理由记录减少数据和IT的复杂性，解释了为什么这个目标很重要：“软件系统和数据基础设施的高复杂性是数据泄露的风险因素。”
• 还有一个减少复杂性的成功因素——限制对最有价值数据的访问。在目标的背景下，这完全合乎逻辑——减少对敏感数据的访问降低了数据结构的复杂性，从而降低了数据泄露的风险。

在某些情况下，我们没有固定的计划去实现某些事情，而是处理一个有根据的假设。BSC Designer的用户可以在他们的目标中添加一个假设。在我们的例子中，有一个假设，远程工作影响数据安全，与定期数据安全审计相结合。

了解预期结果同样至关重要。例如，对于培训员工数据安全，我们有一个叫做负责的数据管理的预期结果。实际上这意味着什么？我们如何量化这一点？这些问题为一些有趣的讨论打开了大门。

创建具有预算、负责人和状态的举措

为了弥合战略规划与执行之间的差距，请为目标使用举措。让我们以与减少IT和数据复杂性对齐的自动化漏洞测试和合规性举措为例。

一个分配了预算和时间线的战略举措示例。该举措的影响通过“自动化覆盖率”指标量化（参见“对齐的关键绩效指标”字段）。 来源： Data Security Scorecard。

• 您的团队具体将如何开展此举措？使用描述字段添加详细的行动计划。
• 它如何与其他风险缓解计划对齐？使用文档部分链接到相关资源。在我们的示例中，我们链接到了IT记分卡示例。
• 谁负责此举措？分配负责人以便在发生相关事情时收到通知。
• 此举措的当前状态是什么？随着团队在该举措上的进展，更新状态。
• 您如何在此举措的背景下跟踪进度？在我们的示例中，我们将其链接到形成数据安全复杂性指数的自动化覆盖率，%指标。

课程：'BSC Designer的平衡记分卡介绍' 是 BSC Designer 持续学习计划的一部分，提供在线和现场工作坊。了解更多...。

结论

在本文中，我们讨论了一个数据安全战略的示例。以下是我们讨论的最重要的想法：

• 存在数据泄露的已知风险因素，以及经过验证的方法来最小化安全事件的影响。
• 帮助您的利益相关者了解数据泄露的直接和间接成本。
• 将您的战略重点放在及早发现问题和快速响应上。
• 制定风险缓解计划和响应团队以减少数据泄露的影响。
• 减少IT系统和数据方案的不良复杂性。
• 定期更新风险模型，测试您的安全环境。
• 人为因素是风险点之一 – 教育您的团队，关注行为的变化，而不仅仅是正式考试成绩。

接下来是什么？一个好的网络战略是根据您组织的需求量身定制的。使用本文中讨论的安全策略模板作为起点，开始构建您自己的数据安全策略。欢迎在评论中分享您的挑战和发现。

网络安全领域的应用示例

了解商业专业人士如何使用BSC Designer平台应对并自动化与网络安全战略相关的挑战。

使用 数据安全和保护计分卡 模板

BSC Designer 帮助组织实施其复杂的策略：

1. 注册平台上的免费计划。
2. 使用 数据安全和保护计分卡 模板作为起点。您可以在 新建 > 新建平衡记分卡 > 更多模板 中找到它。
3. 遵循我们的战略实施系统，将利益相关者和战略目标对齐为一个全面的策略。

立即开始，看看 BSC Designer 如何简化您的战略实施！