Bezpečnostní metriky – 1. díl
V informační a kybernetické bezpečnosti používáme řadu metrik, které nám ukazují, jak na tom jsme. Bohužel ne vždy jsou používány ty správné metriky a správným způsobem.
O tom, jak k jejich návrhu přistoupit, pak bude pojednávat série příspěvků na toto téma, která je učena všem, kteří nechtějí vytvářet jen hezké, ale nic neříkající dashboardy, ale jde jim o to bezpečnost skutečně měřit a řídit.
Hned úvodem je třeba upozornit na skutečnost, že každá organizace je svým způsobem naprosto jedinečná a proto se každá organizace musí zamyslet nad tím, které metriky má pro ni smysl sledovat. Bylo by chybou si myslet, že si stáhnete nějaké ty metriky z internetu a začnete je používat.
V případě tvorby metrik v oblasti informační a kybernetické bezpečnosti vycházíme z předpokladu, že s rostoucím počtem informačních aktiv (systémů, aplikací, serverů, síťových prvků, koncových zařízení a datových toků) se vždy zvětšuje povrch útoku a spolu s ním i pravděpodobnost, že se někde objeví nějaká zranitelnost, které bude nakonec zneužito.
K ochraně aktiv pak bývají zaváděna vhodná bezpečnostní opatření, aby byla zajištěna jejich odpovídající obrana v hloubce. Ovšem samotné zavádění těchto opatření i jejich účinnost je třeba periodicky přezkoumávat, abychom věděli, jak si stojíme. A tím se pomalu dostáváme i k volbě vhodných bezpečnostních metrik.
Jistě, můžete měřit stav implementace každého jednotlivého opatření uvedeného v ISO/IEC 27002, NIST 800-53, CSF nebo vyplývajícího z MITRE ATT&CK® frameworku, jenže pak se v tom množství několika stovek metrik snadno ztratíte. Musíte si jich proto vybrat jen pár a na ty se zaměřit.
Popis většiny metrik začíná slovy jako kolik procent… nebo jak dlouho trvá, než… přičemž je nasnadě, že procenta se pohybují o 0 % do 100 %. A cílem je se přiblížit oněm 0 % nebo 100 %. To podle toho, jak bude ta či ona metrika formulována. A nejinak tomu je i u času, kde cílem je, aby ten čas byl co nejkratší. Pokud by měl být čas co nejdelší, tak už bychom museli trochu více nad takovou metrikou přemýšlet.
Z pohledu vrcholového management jsou za ideální považovány takové bezpečnostní metriky, které zcela abstrahují od technologií a jsou přizpůsobeny obchodním cílům, vyprávějí příběh a jsou tak srozumitelné i pro lidi stojící mimo IT. Ovšem abstrahování od technologie je, přiznejme si to, tak trochu utopie.
Za vynikající metriky lze označit ty, které lze relativně snadno a s minimálními náklady získat a vyjádřit je jako číslo nebo procenta, zasadit do nějakého business kontextu, a jsou zároveň srozumitelné i pro osoby stojící mimo IT, ale o tom zase příště.
ČERMÁK, Miroslav, 2023. Bezpečnostní metriky - 1. díl. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bezpecnostni-metriky-1-dil/. [citováno 07.12.2024].
Štítky: kybernetická bezpečnost, metriky
K článku “Bezpečnostní metriky – 1. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.