CGI集團高級安全顧問Terri Curran表示，針對第三方的風險管理指標(例如可訪問公司信息的供應商數量)通常會讓董事會“大開眼界”。

信息安全指標應該專注在三個方面：風險管理、合規性和創新性。但Curran表示，企業常犯的錯誤是在安全指標計劃的開始試圖做太多工作。

Curran已經在信息安全領域40年，曾在Gillette公司擔任CISO達19年，Bose公司達7年。2007年至2014年，她曾任職于計算機安全行業(CSI)顧問委員會(在2011年，CSI被UBM收購)。TechTarget記者采訪了Curran，一同探討如何讓指標服務于更廣泛的受眾。

讓我們來談談指標，這是計算機安全領域最無聊的話題，排在配置管理后面。每次這個話題出現時，我經常會聽到這樣的對話：

“你應該保持指標。”

“我應該保持哪些指標?”

“這取決于你的企業。”

“沒有‘前20名’指標列表嗎?”

在理論和實際效用之間你如何做出關聯?當有人詢問前20名指標列表時，對此你如何回應?

Terri Curran：我喜歡談論信息安全指標：我絕對相信圍繞指標的討論可以迸發出新的想法和創新。同時，我也認為指標很無聊，因為很多指標與現在的高管董事會無關。我曾參加董事會，只要CISO的指標圖閃現在屏幕，大家就會開始翻白眼，并偷偷查看電子郵件。

不過不要誤會我的意思：指標依舊很重要。但與安全本身一樣，指標必須與時俱進。是否有前20名列表?當然有，可以針對任何企業。

從我的經驗來看，最有用的指標通常是可量化花在事物上時間的指標。我不知道這是否是因為這種指標涉及某些業務流程分析，或者只是因為時間指標往往是對努力和花費的有用的衡量標準。你對此有何經驗?

Curran：根據我多年有關指標的失敗和成功的經驗，我認為最有用的指標應該可以專注風險管理、合規性和創新性。在這些指標中，有些指標完全是以時間為基準，有些則不是(特別是在‘創新’類別)。我認為企業需要綜合基于時間、基于結果和前瞻性指標來展示信息安全態勢，以及避免在董事會讓別人翻白眼。

在任何這三類指標中，舊的SMART(具體、可衡量、可操作、相關、及時)基準可非常有效地啟動指標定義過程。除了這些特點，指標必須易于管理或追蹤，它們需要是多用途和多層面的。

并且，應該由進行指標工作的人來報告指標信息。如果IT或數據中心人員在進行所有的惡意軟件修復工作，則應該由他們報告這方面的信息，以表明其在安全項目中的作用。CISO不應該要求他們提供每月情況報告放入到她的報告中，而應讓IT人員為其辛勤工作邀功，讓CISO創造新的指標。在年底，IT領導者可提供年度總結，包含在CISO的年度安全報告中。其他業務部門可以通過其信息安全相關的指標做同樣的事情，以說明其對信息安全計劃提供的支持和努力。

當然，網絡釣魚和惡意軟件嘗試次數、部署的補丁數量等所有基于技術的指標都是很好的指標，但我認為風險指標應該涉及更廣的范圍。例如，好的風險管理指標可能是可訪問企業信息的第三方數量、執行的第三方風險評估的數量以及妥善保護信息的第三方數量。很多公司仍然沒有考慮將第三方風險評估作為指標產品組合的一部分，并且，可訪問企業信息的供應商的數量似乎總是讓高管驚訝。

另一個風險管理指標可能是為遵守法律、法規和規章(網絡研討會、倡議團隊或法律文件的更新)采取的積極活動的數量。在這個領域中我最喜歡的指標是外聯活動。如果你定期與本地執法以及安全官員接觸，這將是很好的物理、安全、風險管理和創新指標。在這里我想說的是，指標可以是以人為中心的，而不是以技術為中心。

合規指標主要基于外部合同和監管合規要求，這非常簡單。PCI DSS、NIST 800-53，很多要求都提供了很好的指標作為執行的一部分。衡量內部對信息政策的合規性更簡單，因為我們有以技術為中心的數據丟失保護等監控技術。我很感興趣的是追蹤計劃和進行中的外部審計的數量，以及支持它們所需要的時間和資源。這是很老的指標，但仍然很有效且有價值。

最近我最喜歡的是創新指標。物理和信息安全計劃都需要發展，我們可以利用指標來生成和說明前瞻性活動和理念。

并非所有創新想法將成為現實，但這本身就是一個指標，不是嗎?例如，安全團隊每個月可以開展創新討論，從專業和個人角度提出可行的想法。我曾看到在創新討論中產生出很好的想法，從而帶來更好的指標。下面是幾個例子：企業可以開展“刪除日”，員工可以帶來文件進行安全處置，這可以構建良好的安全意識、對參與的員工數量以及刪除的總數(良好的企業社會責任)產生指標;或者提供免費惡意軟件的培訓課程并跟蹤員工參與情況。我聽說有傳言稱，有的企業創建安全意識演示讓員工帶回家與他們的孩子分享。我也喜歡展示“討論安全問題的業務部門會議數量”。對于創新指標，最好的事情是，如果在一個月產生10個創新想法，而只有三個變成現實，那又怎樣?畢竟你仍然在展現創新性。

在我看來，很多企業正越來越多地受到惡意軟件和基本網絡釣魚攻擊。當我看到這種情況時，我的假設通常是，他們并沒有真正了解這對他們的嚴重影響，因為他們需要指標。為了向高管解釋惡意軟件和最終用戶計算做法對企業的影響，你會衡量哪些事情?

Curran：有些企業喜歡進行社會工程和網絡釣魚測試，這些都是衡量員工意識的很好指標，并且這也為培訓計劃帶來很好的信息。我認為我們需要向管理層更好地展現其企業與同行業其他企業的比較。指標可以用來顯示成熟度差距(或者良好的態勢)，我希望有外部月度報告或摘要可向高管展示(按照行業或子行業)在特定月份惡意軟件和網絡釣魚攻擊的報告數量，以及企業如何對這些報告作出響應。這將是巨大的勝利，如果你知道這樣的資源，請讓我知道!

我曾對風險管理不屑一顧，因為這通常是“無用輸入+無用輸出”。但當我開始深入研究指標時，我意識到你實際利用指標的唯一途徑是開始衡量事物。你是從哪里開始的?如果你從頭開始構建指標計劃，第一步是什么?

Curran：我為指標發展制定了一個基本的工作表，這或許可以解釋我確定“增值”指標的方法。這也可用作一種資源規劃工具或者作為RACI(誰負責、誰批準、咨詢誰和告訴誰)模式的輸入信息。

指標本身需要可測量，或者定性或定量(百分比或其他數值)。這個工作表中最重要的部分是：什么問題得到回答?如果沒有感興趣的問題，那么，指標并不值得追蹤。數據來源可以是使用的工具或者發出的調查;最后兩列非常簡單。

最先開始的是合規性要求，然后我會處理風險管理指標，最后是創新指標。這是可以逐漸構建的成熟度曲線。不要忘記對指標進行衡量：我們上個月創建并報告了五個新的指標。

人們在開始指標計劃時犯的最大錯誤是什么，以及應該如何避免呢?

Curran：這個我有些慚愧，因為我對信息指標探索深了，并且試圖尋找完整的產品組合，嘗試一次添加太多條目。我了解到，最好的指標應該可以向企業以及外部監管者和審計員展現信息安全計劃的價值。在開始之前就試圖完成太多指標本身就是失敗的。

我們談到了前20名，我想要問你：你目前最喜歡什么?

Curran：我先談談每個類別中的五個指標如何?其中有些我們已經談到了，如果我要保護我公司的信息和物理資產，我會考慮以下指標：

風險管理指標

1. 執行的第三方風險評估

2. 內部和外部審計結果數量(當前狀態、在過程中、完成等)

3. 高級別數據泄露防御統計(這也可被認為是合規指標)

4. 基于分析師、供應商報告與同類行業的基準

5. 可訪問受限制、機密或管制信息的供應商數量(以及趨勢)

合規指標

1. 部署的修復程序以及所有常見的IT相關話題

2. 請求和授予的政策特例

3. 合規活動安排(可能增加)

4. 為安全或隱私顧慮審查的合同數量(也可被視為風險管理)

5. 為應對不斷變化進行的法規或合同研究時間

創新指標

1. 產生的新想法(簡短的解釋)

2. 為發展批準的想法

3. 開展外聯會議(業務部門)

4. 開展外聯會議(外部機構、監管部門、利益團體;也可列為風險管理類別)

5. 個人和職業發展拓展(認證指導、新的認證)

我經常聽到計算機安全人員稱安全人員不知道如何與高管或業務部門交談，你怎么看?

Curran：這是很好的問題。我的第一反應是：不要說話，而是傾聽。我知道，這聽起來很明顯，但我們通常都沒有認真聽業務部門同事的意見。

對于這個問題，安全人員應該少談技術，更多地談論以人為中心的風險管理。請記住，人們想要其企業獲得成功和確保安全，并且他們希望感覺他們是這一工作的一部分。安全部門應該引出他們的保護本能，而不是危言聳聽。通過展示對業務過程如何與安全整合的真誠的興趣，來提高他們的信心。這些都是讓談話繼續下去以及建立他們信任的很好的方法。