Evitare il sovraccarico di analisi attraverso le metriche di cybersecurity con indicatori di rischio e di performance mirati
Nelle odierne operazioni commerciali basate sui dati, la fornitura di significative metriche di cybersecurity è essenziale per misurare il valore delle risorse aziendali e i progressi compiuti verso gli obiettivi dell’azienda.
La quantità di strumenti disponibili a tutela della sicurezza in una data organizzazione può rendere la governance generale dei dati e l’aggregazione di informazioni tra i vari sistemi una sfida da modellare.
Spesso esistono così tanti punti di dati da collegare che identificare da dove iniziare può essere impegnativo.
Una soluzione GRC può aiutare a organizzare e strutturare i dati per il reporting diretto o armonizzare i dati tra i vari obiettivi di sicurezza, normativi e di conformità interna.
Vuoi conoscere meglio la soluzione GRC di OneTrust? Trovi tutte le info qui.
Al di là delle sfide interne legate alla strutturazione dei dati, un ulteriore livello di complessità comporta la comprensione di quali sono le metriche di benchmarking del vostro mercato. Avere metriche di cybersecurity personalizzate è un’iniziativa strategica per seguire le prestazioni della propria organizzazione in linea con i principali driver aziendali.
Quali sono alcuni dei Key Risk Indicators (KRI) e le metriche di cybersecurity che le organizzazioni leader nel settore seguono regolarmente?
Avere approfondimenti su prospettive focalizzate e prove di KRI può aiutare l’organizzazione a valutare la propria posizione generale in termini di rischio. Comprendere l’entità e l’estensione dell’esposizione al rischio richiede una mappatura dettagliata delle operazioni di tutta la rete aziendale, l’IT, l’infrastruttura degli asset di sicurezza e le pratiche di controllo.
Vi illustreremo alcune delle informazioni che possono essere tratte da queste metriche di cybersecurity e vi proporremo domande da considerare nell’analisi delle vostre operazioni aziendali.
Bilanciare e dare priorità alle iniziative di mitigazione
1. Numero di attività critiche con vulnerabilità note
Una delle prime variabili da considerare in questa sede è: quali sono i punti di forza? In secondo luogo, quante vulnerabilità note del sistema sono presenti? Stratificando questi due punti di dati, possiamo dare rapidamente priorità alle iniziative per garantire la continuità delle operazioni principali.
2. Vulnerabilità interne vs. vulnerabilità esterne
A seconda della propria rete, il titolo di questa metrica di cybersecurity potrebbe essere focalizzato esclusivamente sulle vulnerabilità esterne in diverse sezioni della propria supply chain. Le vulnerabilità fuori dal vostro controllo possono costare all’azienda molto di più di quanto inizialmente valutato da un contratto con un fornitore in termini di prestazioni, pianificazione e qualità del servizio. Se l’entità delle vulnerabilità è distribuita in modo sproporzionato tra le relazioni con terzi, i dati aziendali potrebbero essere a rischio più elevato.
3. Frequenza della revisione di terzi
Se si considera la natura continuativa del modo in cui vengono valutate le operazioni interne, è altrettanto importante revisionare e valutare regolarmente la rete esterna. Esistono una serie di fattori che possono far decadere le best practice della sicurezza all’interno di un’organizzazione. Gestione delle modifiche, cambiamento delle priorità, o aumentare la fiducia nell’accesso al sistema con le metriche di cybersecurity.
4. Il numero di utenti con accesso come “superuser” (ossia, utente con privilegi avanzati)?
La visualizzazione di questa metrica in linea con la comprensione di chi sono i principali manager e amministratori GRC è un buon indicatore per costruire fiducia nei controlli di accesso complessivi. Spesso, compiti specifici possono essere svolti per delega, il che può richiedere un livello di accesso più alto di quello normalmente concesso. Il mantenimento di un accesso esteso come “superuser” può esporre a una serie di vulnerabilità.
- In primo luogo, l’istanza che gli individui potrebbero inconsapevolmente compromettere le impostazioni di sistema che incidono sull’esecuzione di determinate funzionalità e sulla qualità dei dati nel tempo.
- In secondo luogo, l’accesso esteso potrebbe esporre informazioni sensibili o privilegiate a utenti che non hanno un ruolo nelle attività di trattamento dei dati previsti.
Avere un accesso completo e flessibile basato sui ruoli può aiutare le organizzazioni ad adattare meglio i “superuser” a un numero limitato di individui che possono poi regolare le impostazioni in base alle necessità per i successivi membri del team.
Aumentare la fiducia nell’accesso al sistema con le metriche di cybersecurity
5. Numero di giorni per disattivare le credenziali degli ex dipendenti
Indipendentemente da qualsiasi intento doloso da parte dei dipendenti, non esiste più un caso d’uso appropriato per accedere ai sistemi aziendali al di fuori dei dati personali dei dipendenti. È fondamentale garantire tempestivamente la disattivazione dell’accesso e ridurre la probabilità che i dati aziendali siano utilizzati in modo improprio o non adeguato.
Questo KRI può essere un indicatore di potenziale vulnerabilità per varie minacce. In alternativa, la metrica di cybersecurity può anche essere un KPI generale per la terminazione dei dipendenti. L’analisi del tempo necessario per disattivare le credenziali dei dipendenti è anche un ottimo esempio in cui le aziende potrebbero implementare l’automazione per attivare i controlli di accesso e gli aggiornamenti delle autorizzazioni legati a un database delle risorse umane dello status e ruolo occupazionale.
6. Frequenza di accesso ai sistemi aziendali essenziali da parte di terzi
Con quale frequenza le terze parti accedono ai vostri asset essenziali o alle vostre informazioni di proprietà? Comprendere le tendenze e la frequenza degli accessi può aiutare i sistemi di monitoraggio a identificare cambiamenti o anomalie che potrebbero essere potenziali agenti di minaccia, sfruttando i punti di accesso o le vulnerabilità del sistema.
Valutare le proprie iniziative di monitoraggio e risposta
7. Tempo medio di rilevamento
Per quanto tempo gli incidenti passano inosservati? Un tempo medio di rilevamento basso è un ottimo indicatore del fatto che l’attività di monitoraggio e i canali di segnalazione sono ben funzionanti e adeguatamente utilizzati. Al contrario, se gli incidenti non vengono segnalati per un periodo prolungato, questo potrebbe essere un indicatore di lacune nei vostri strumenti di sicurezza o di sfide culturali nella comprensione delle iniziative di sicurezza.
8. Tempo medio di risoluzione
La misurazione del tempo necessario per risolvere un incidente può essere un buon indicatore della continuità operativa complessiva e della preparazione generale alla gestione del rischio. Con un approccio basato sulla media, è possibile normalizzarsi rispetto ai valori anomali per capire se la propria risposta agli incidenti è adeguatamente potenziata.
9. Interruzione a seguito di un attacco
Il tempo è denaro, qual è il valore o la perdita che un’azienda subisce a causa di un incidente? Calcolare i tempi di inattività a causa di un incidente o di un Denial and Service Attack può aiutare a quantificare le perdite in tutta l’azienda. Una volta quantificati i tempi di inattività, è possibile analizzare l’entità dell’impatto sulla capacità dell’organizzazione di operare in tutte le funzioni aziendali. Questa metrica di cybersecurity è un KPI per spiegare e supportare il programma di gestione del rischio complessivo.
Rafforzare le best practice della sicurezza
10. Numero di corsi di formazione completati
Questa metrica può aiutare a fornire un ulteriore contesto per valutare l’efficienza dei controlli nel caso in cui questi risultino insoddisfacenti; può trattarsi di una lacuna o di un’opportunità di formazione. Identificare la percentuale di stakeholder che hanno completato i corsi di formazione per le policy relative alle pratiche di sicurezza. Nel complesso, queste metriche della policy possono aiutare a identificare l’esistenza di corsi nella vostra galleria di formazione che non sono stati promossi o distribuiti ma che potrebbero aiutare a correggere certi comportamenti?
11. Numero di quiz di attestazione superati
Al di là dei corsi di formazione completati per comprendere la distribuzione delle best practice e delle linee guida delle policy, è possibile inoltre approfondire la valutazione del numero di quiz di attestazione superati. Questa metrica è correlata alla valutazione di come gli stakeholder effettuano ed eseguono tale controllo nella pratica?
Disporre di KRI che possono alimentare le discussioni sui KPI in tutta la azienda aiuterà a mettere in atto il vostro programma generale di gestione del rischio aziendale.
Avere una struttura dinamica e ricca dei dati può aiutare a organizzarli e correlarli tra gli elementi di rischio degli asset, dei processi, delle minacce, delle vulnerabilità, degli attributi di rischio personalizzati e delle metriche qualitative. Questa struttura flessibile fornisce un contesto aggiuntivo tale da tradurre il rischio in impatto aziendale man mano che si relaziona alla propria organizzazione in tutta l’azienda.
Richiedete una demo al nostro team di professionisti GRC per vedere come la struttura flessibile e il motore di reporting dinamico di OneTrust possono modellare queste metriche di sicurezza informatica o KPI unici per la vostra azienda.