Bezpečnostní metriky
4. díl
V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.
Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:
- identifikátor – číslo metriky, aby se na ní dalo odkazovat, stačí pořadové číslo, časem může přejít na nějaké hierarchické členění;
- status – active/passive zda je či není reportována;
- verze – DRAFT – číslo verze metriky, neboť může být aktualizována po revizi 0.x, FINAL 1.x;
- vlastník – osoba, která je autorem dané metriky, a které de facto i vyplňuje většinu zde uvedených atributů;
- název – název metriky;
- popis – slovní popis toho, co tato metrika vyjadřuje, jaký je její účel;
- kategorie – typ metriky, pokud byste se je třeba časem rozhodli nějak seskupovat, ale tenhle atribut není nutné vůbec vyplňovat, obzvláš´t, pokud s metrikami teprve začínáte;
- generátor – od koho lze metriku získat, kdo je odpovědný za její poskytnutí;
- zdroj – jaký je datový zdroj;
- model – jaká data vstupují do výpočtu;
- výpočet – jak se metrika vypočítá;
- jednotky – v jakých jednotkách je metrika;
- interpretace – jak hodnotu metriky interpretovat, co znamená, když číslo roste, klesá, nemění se, k jaké hodnotě se má blížit;
- kritéria – definice krajních mezí, u procent je to jasné, tam to bude 0 a 100. Ale kardinálních čísel si musí každá organizace stanovit vlastní hodnotu a při překročení jaké hodnoty je třeba reagovat a jak;
- frekvence – jak často bude metrika aktualizována a reportována;
- vizualizace – bude metrika zobrazována jen jako číslo nebo bude generován nějaký graf a jaký;
- příjemce – komu má být metrika posílána;
- revize – jak často bude metrika vlastníkem revidována ve smyslu její správnosti a účelnosti.
Metriky by měl být SMARTER, aby bylo jasné, co dané metrika vyjadřuje (specific) a jak se bude měřit (measured), a zároveň všemi odsouhlasená (agreed) a dostupná s minimálními náklady (resources) v požadovaném čase (terminated), vyhodnocována (evaluated) a oceněna (rewarded).
ČERMÁK, Miroslav. Bezpečnostní metriky – 4. díl. Online. Clever and Smart. 2024. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bezpecnostni-metriky-4-dil/. [cit. 2025-01-18].
Štítky: metriky
K článku “Bezpečnostní metriky
4. díl” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.