Posted on Aug 18th, 2021 by Eitan Satmary

Forrester S&RM 高级分析师 Jess Burn 的见解

8 月 17 日,Forrester 的高级安全和风险管理分析师 Jess Burn 与 Tufin 社区分享了她对零信任指标的见解,特别是关于如何确认重要指标。在过去的两年里,Jess 与 500 多名 CISO 探讨了他们面临的挑战,以及哪些策略推动了解决方案。她最常听到的挫折是,许多 CISO 认为他们的指标被打破,或者与他们旨在实现的零信任方法不一致。

挑战 – 新受众:董事会

在过去的两年里,安全指标的受众发生了变化。历史上,CISO 通常会为 CIO 准备 1-2 张幻灯片向董事会展示。由于出现了引人注目的漏洞,CIO 现在成为任何董事会演讲的关键部分,董事会成员需要了解他们接收的是哪些内容。他们需要了解需要哪些决策来衡量组织的安全风险、对业务的潜在影响以及与缓解措施相关的进展。他们需要知道安全风险是否确定,以及如何缓解安全风险。

解决方案摘要:可执行指标

良好的指标必须引导决策,并针对受众量身定制。Jess 建议组织围绕三种受众制定指标:策略受众、运营受众和战术受众。策略受众通常由董事会或高管组成,将纳入反映当前安全态势(成熟度)、风险对业务的影响、风险如何影响业务决策以及与公司策略的联系的指标。运营指标是为组织中的对应职位设计的,并概述了整个组织的表现和关系。下图是部分运营指标的案例。

Screenshot from webinar – examples of operational zero trust metrics.

网络研讨会截图 – 运营零信任指标案例。

最后一类受众是需要战术指标的人,这些指标推动开展安全团队的活动。

此外,对于将当前输入转换为可执行见解的指标,他们需要查看之前的行动、当前状态和未来状态。领先的指标预测即将发生的事情,滞后的指标展示过去的趋势和进展,而一致的指标反映当前的状态。
通过将指标与受众和风险态势保持一致并确保指标可执行,CIO 可以向董事会保证他们正在管理组织风险,并满足管理层和团队的需求。如需了解有关策略指标、运营指标和战术指标记分卡的更多信息,请观看网络研讨会记录:Forrester 访谈:重要的零信任指标