Ryhmä julkaisee yhdenmukaiset metriset tietoturvatoiminnan mittaamiseksi

Internet-tietoturvakeskus (CIS) on päättänyt julkaista ohjeet siitä, miten yritykset voivat mitata organisaationsa turvallisuuden tilaa ja käynnistää yrityksilleen palvelun vertailemalla vertaisverkostoaan.

Viimeisin CIS-projekti pyritään ratkaisemaan sekaannus ja yhtenäisyyden puuttuminen tapoja mitata yrityksen tai organisaation tietoturvan parantaminen vai ei, sanoi CIS: n toimitusjohtaja Bert Miuccio.

"Ongelmana, jonka olemme päässeet tunnistamaan, on, että tietoturva ammattilaiset todella kasvavat yhä hämmentyneimpiä menestyksen määrittelyyn ", Miuccio sanoi. "He tietävät, että sääntelyvaatimusten noudattaminen ja tilintarkastusjärjestelmät eivät välttämättä paranna tietoturvaa eivätkä ole parhaita menestystarpeita."

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

CIS on voittoa tavoittelematon organisaatio, joka rahoittaa yrityksiä ja muita järjestöjä, joiden etua asia koskee. Koska se perustettiin vuonna 2000, se on luonut 40 vertailuarvoa oletusjärjestelmiin, jotka ulottuvat käyttöjärjestelmistä middleware-verkkoihin. Vertailuarvot, jotka ovat vapaasti ladattavissa CIS-verkkosivustolla, on tarkoitettu auttamaan organisaatioita vähentämään IT-tietoturvariskejä.

Jokaisella turvallisuusalan ammattilaisella on erilaiset määritelmät turvallisuuden arvioimiseksi, Miuccio sanoi. CIS on koonnut 85 tietoturva-asiantuntijaa hyväksymään menetelmiä mittaamaan kahdeksan eri mittaustietoa. Mittarit olisi julkaistava lokakuun lopulla tai marraskuun alussa, Miuccio sanoi.

Kaksi on "lopputulos" -mittareita: keskimääräinen aika turvahäiriöiden välillä ja keskimääräinen aika turvatoimien palauttamiseksi. Loput kuusi liittyvät prosessiin: hyväksyttyjen standardien konfiguroitujen järjestelmien prosenttiosuus; järjestelmien prosenttiosuus politiikasta; prosenttiosuus virustentorjuntatekniikan järjestelmistä; prosenttiosuus yrityssovelluksista, joilla on riskinarviointi; prosenttiosuus liiketoimintasovelluksista, joilla on tunkeutuminen tai haavoittuvuusarviointi; ja sovelluskoodin prosenttiosuus, jolla on turvallisuusarviointi tai koodin tarkistus ennen käyttöönottoa.

Mittareiden ohella CIS aikoo käynnistää samanaikaisesti ohjelmistopohjaisen palvelun, jonka avulla yritykset voivat vertailla sitä, miten ne tekevät,, vastaan ​​muita nimettömiä yrityksiä niiden markkinoiden vertikaalissa. Tällaista vertailua käytetään jo yleisesti taloudellisiin tuloksiin ja muihin liiketoiminnan osa-alueisiin, kuten asiakaspalveluun.

"Tätä ei ole tehty tietoturvassa tänään", Miuccio sanoi. "Uskomme, että tämä palvelu alkaa sallia sen."