顶流CISO都关注的十大安全绩效指标

2023年8月29日作者：GoUpSec

正确的安全绩效指标可以帮助企业CISO提高网络安全工作的有效性、展示安全给业务带来的价值，并给CISO的多项工作带来巨大价值。

很多CISO都低估了安全绩效指标（SPM，Security Performance Metrics）的价值，事实上，安全绩效指标虽然听起来很乏味，但正确的指标可以为CISO和网络安全工作带来巨大的价值。

CISO一方面需要避免淹没在大量缺乏意义或背景的（技术）指标中，同时又要重点关注那些能够展示安全如何促进业务的价值指标。网络安全与企业业务的融合趋势意味着CISO不仅可用安全绩效指标来度量和提高安全工作的有效性，还可展示其与企业战略的一致性。

SevcoSecurity的CSOBrianContos指出：CISO需要重点关注与业务相关、风险驱动的指标，最重要的是基于证据的指标。需要用指标评估的优先级较高的领域包括业务连续性、合规性、资产保护、运营效率和业务支持。

以下我们列举一些“顶流CISO”关注的十大安全绩效指标（及其为CISO工作带来的价值）：

1、事件响应指标（客观决策）

事件响应指标（例如平均检测时间(MTTD)和平均响应时间(MTTR)）可提供定量数据，帮助CISO做出客观决策。SANS研究所研究员兼网络安全领导力课程负责人FrankKim表示：“通过跟踪和分析关键安全指标，CISO可以确定工作的优先顺序、分配资源并重点关注最需要改进的领域。”

2、安全投资指标（展示投资回报率）

安全投资指标有助于CISO向高级管理层和利益相关者展示安全计划的投资回报(ROI)，通过展示安全投资如何降低风险和预防事件来证明安全预算和投资的合理性。利益相关者关心的重点不是网络风险，而是来自网络的业务风险，具体而言是与收入、品牌、运营以及环境、社会和治理（ESG）相关的风险。

3、安全意识指标（有效沟通）

安全意识指标（例如定期参与培训计划的业务部门的百分比）有助于展现企业是否正在积极建立安全意识和风险意识文化，该指标能提供“一种通用语言来沟通和缓解安全风险”。CISO可以使用安全意识指标来解释安全措施的有效性和企业的整体安全状况，这对于许多安全领导者来说一直是一个挑战。

会计和咨询公司BPM的合伙人、毕马威(KPMG)网络业务前负责人弗雷德·里卡(FredRica)表示：大多数向董事会展示技术性指标的CISO都没有达到预期目标，因为董事会成员无法理解技术指标。“宣称在防火墙上阻止10万次攻击尝试是没有意义的。董事会成员需要问（CISO需要回答）三个简单的问题：我们在做什么？这是否足够？我们怎么知道？”

4、漏洞管理指标（风险评估）

漏洞管理指标（例如暴露窗口）可帮助CISO更好地了解企业的风险状况。通过监控趋势和识别潜在漏洞，CISO可以在安全威胁升级之前主动解决它们。

Kim表示：“归根结底，漏洞管理的目的是解决企业的破窗和未上锁的门的问题。这些指标展示了这些门可能打开的时间，并有助于汇总日常运营活动，例如扫描覆盖范围、时间等，并进行分析和确定修补的优先级和时间。

5、安全流程改进指标（持续改进）

安全流程改进指标（例如相同原因事件重复发生的百分比）随着时间的推移跟踪进度，使CISO能够设定具体目标。这种数据驱动的方法有助于推动安全实践的持续改进，并培育问责文化。此外，这些基于风险的指标可以纳入年度报告、公司治理文件和委员会章程中，因为安全对于企业来说具有战略意义。

6、安全成熟度指标（基准测试）

安全成熟度指标（例如能力成熟度分数）可以与各种互联网安全中心(CIS)基准等行业基准甚至过去的绩效指标进行比较，以帮助CISO了解其企业在安全成熟度方面的表现。这些信息可以指导现实安全目标和策略的制定。

很多企业的董事会已经就NIST网络安全框架的五个支柱达成共识，CISO们应该积极寻找有助于回答与五大支柱相关问题的指标：