问:
如何衡量IT安全性?
A:从本质上讲,IT安全是无形且难以衡量的目标或服务。 准确评估安全条款的好处或查看安全系统的运行状况可能非常困难。 但是,在安全行业内,已经出现了一些用于衡量安全策略和系统有效性的最佳实践。
衡量IT安全性的一种方法是将一段时间内网络攻击和网络威胁的报告制成表格。 通过按时间顺序绘制这些威胁和响应,公司可以更接近评估安全系统在实施过程中的运行情况。 公司还可以对处于关键安全职位的关键人员进行调查,以提供一种“风险感知”,也可以将其引入安全基准测试中。 一些专家建议通过询问那些在网络安全前沿工作的人员的正确问题,并收集所有传入数据来提供更大的安全结果图,从而跟踪安全投资回报。
公司还可以通过将安全性分解为各个组成部分来提高准确性和安全性度量。 例如,端点安全是针对数据端点(如智能手机屏幕,平板电脑和PC)的安全实践的特定实现。 数据安全性的其他方面涉及网络上使用的数据,专业人员可以使用网络检查点来建立安全性基准,或以其他方式衡量安全性。
对于许多IT专业人员而言,安全性度量是一个“输入,输出”过程,安全专家将有关网络威胁的数据汇总,馈送到数据库中并提供有用的报告。 这些类型的复杂分析有助于推动对安全实践的评估,并帮助人类决策者应对安全策略的变更管理。 通常,IT安全涉及一个“安全生命周期”,该生命周期具有多个步骤和阶段来响应威胁,而不仅仅是提供静态类型的保护。
