Grupa udostępnia jednolite wskaźniki do pomiaru bezpieczeństwa IT

Centrum Bezpieczeństwa Internetowego (CIS) ma opublikować wytyczne dotyczące tego, w jaki sposób przedsiębiorstwa mogą mierzyć stan bezpieczeństwa swojej organizacji i uruchamiać usługę dla firm w celu porównania ich wydajności z rówieśnikami.

Najnowszy projekt CIS ma na celu wyjaśnienie zamieszania i brak jednolitości w sposobie mierzenia, czy bezpieczeństwo IT przedsiębiorstwa lub organizacji poprawia się, czy nie, powiedział Bert Miuccio, CIS CEO.

"Problemem, który rozpoznaliśmy jest to, że bezpieczeństwo informacji profesjonaliści są coraz bardziej zdezorientowani, jeśli chodzi o definiowanie sukcesu "- powiedział Miuccio. "Wiedzą, że zgodność z wymogami regulacyjnymi i ramami audytu niekoniecznie przekłada się na poprawę bezpieczeństwa i nie są najlepszymi miernikami sukcesu."

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

CIS jest organizacja non-profit finansowana przez przedsiębiorstwa i inne organizacje zainteresowane bezpieczeństwem. Odkąd powstał w 2000 roku, stworzył 40 testów porównawczych dla domyślnych konfiguracji zabezpieczeń dla oprogramowania, od systemów operacyjnych po oprogramowanie pośrednie i urządzenia sieciowe. Testy porównawcze, które można pobrać bezpłatnie ze strony internetowej CIS, mają na celu pomóc organizacjom zmniejszyć ryzyko związane z bezpieczeństwem IT.

Każdy specjalista ds. Bezpieczeństwa ma różne definicje dotyczące oceny środków bezpieczeństwa, powiedział Miuccio. CIS zebrał 85 ekspertów ds. Bezpieczeństwa informacji, aby uzgodnić metody pomiaru ośmiu różnych wskaźników. Metryki powinny zostać opublikowane pod koniec października lub na początku listopada, powiedział Miuccio.

Dwa to wskaźniki "wyniku": średni czas pomiędzy incydentami bezpieczeństwa a średnim czasem do odzyskania po incydentach bezpieczeństwa. Pozostałe sześć odnosi się do procesu: odsetek systemów skonfigurowanych do zatwierdzonych standardów; odsetek systemów zaadoptowanych do polityki; odsetek systemów z technologią antywirusową; odsetek aplikacji biznesowych, które mają ocenę ryzyka; odsetek aplikacji biznesowych, które mają ocenę penetracji lub podatności; i procent kodu aplikacji, który ma ocenę bezpieczeństwa lub przegląd kodu przed wdrożeniem.

Wraz z danymi, CIS planuje uruchomić w tym samym czasie usługę opartą na oprogramowaniu dla firm, aby porównać ich działanie, pod względem bezpieczeństwa, w stosunku do innych anonimowych firm na ich rynku pionowym. Tego rodzaju porównanie jest już powszechnie stosowane w odniesieniu do wyników finansowych i innych aspektów wydajności biznesowej, takich jak obsługa klienta.

"To nie odbywa się dziś w dziedzinie bezpieczeństwa informacji" - powiedział Miuccio. "Wierzymy, że ta usługa zacznie to umożliwiać."