网络犯罪分子继续使用复杂的工具和采用新的入侵方法攻击澳门赌场官方下载. Global cyberattacks increased by 32% in 20221 and it is estimated that the cost of cybercrime will grow to US$10.到2025年达到5万亿美元.2 的se statistics have become a topic of discussion in boardrooms everywhere, 首席信息安全官(ciso)应参与并提供相应的网络安全准备情况更新.
同时, 组织正在寻求利用技术为客户提供增强的体验. Digital transformation is top-of-mind for many chief executive officers (CEOs), ciso在这一转型中扮演着至关重要的角色,因为没有安全的转型通常会给澳门赌场官方下载带来比没有转型更大的伤害. 勒索软件的威胁是真实存在的,并且可能会对CISO的行动与业务优先级不一致的组织造成重大损害. 像这样, 首席信息安全官(及其团队)必须采取全面行动,保护澳门赌场官方下载资产免受恶意网络攻击者和日益增长的网络威胁的侵害.
由于恶意软件活动的演变,网络安全实践薄弱的组织面临更大的风险, 暴力攻击, 漏洞利用. 澳门赌场官方下载需要一个战略规划工具,使他们能够主动保护他们的资产免受不可预见的威胁. This is where a balanced scorecard-based tool comes to the rescue.3
平衡计分卡(BSC)4 is a planning and management tool used by organizations to articulate intended objectives, align day-to-day activities with enterprise strategy, 确定项目和行动的优先级, and measure and monitor success against enterprise goals. 美国商业理论家戴维. Norton and US author Robert Kaplan introduced it in 1992 to help identify, 改善, and control business outcomes by measuring 金融 and non-金融 metrics.5
A BSC brings 4 different perspectives together (金融, 客户, 内部流程, 创新和学习)6 监控和衡量每个类别的成功,并根据澳门赌场官方下载目标确定其绩效;
- 的 金融 透视法衡量投资回报率(ROI),并用于管理运行操作(如业务)所涉及的财务风险.g., overall profitability, ROI of the cybersecurity team).
- 的 客户 视角衡量提供给客户(或内部利益相关者)的价值,并通过保护客户的数据隐私来帮助建立信任. 增加对组织数据安全方法的信心有助于培养客户忠诚度.
- 的 内部流程 视角衡量网络安全团队的质量和效率,并确定其为客户提供服务的程度.g., how quickly can the team detect and resolve malware?)
- 的 创新与学习 视角包括人力资本, 资产, 技术, 文化, and other capacities that are key to breakthrough performance. 这决定了如何利用信息来帮助员工在没有任何挑战的情况下提供最好的服务.g., determining what percentage of employees have completed cybersecurity training).
Not all cybersecurity teams have been able to adapt to a consolidated strategy or initiative, 不像其他部门. 在这些情况下, cyberteams may be using disparate 技术 and data sources to secure their 资产, resulting in delays in forming a consolidated view. 此外,有偏见和过时的数据(如.g., 假阳性或阴性)不能提供对数据表示的多少信心,并且不断扩展的攻击面使得难以详尽地覆盖所有场景. 随着网络安全变得更容易获取, 首席信息安全官和网络安全团队必须采用平衡计分卡方法来计划和报告其成功与更广泛的业务目标相一致. Implementing the BSC method can begin by developing a cybersecurity strategy map (图1).
图1网络安全战略图
A balanced scorecard-based cybersecurity strategy map can reduce business risk, 提高生产率, 增强客户信任, and help enterprises grow without the fear of a data breach. 网络安全团队并不总是对业务有一个完整的看法,可能不知道哪些指标是重要的. 另外, 对于安全专业人员来说,多源数据收集和协作通常具有挑战性,因为他们需要从多个内部安全工具中提取数据,以识别模式和异常情况. 网络安全团队可能不知道应该优先考虑哪些安全风险,并且可能缺乏衡量与业务目标和结果一致的成功的能力.
A Balanced Scorecard-based cybersecurity strategy map can reduce business risk, 提高生产率, 增强客户信任, and help enterprises grow without the fear of a data breach.
为网络安全团队确定关键绩效指标(kpi)以使其活动与组织优先级保持一致是有价值的. 主要金融, 客户, 内部, and 创新与学习 metrics may serve as directional inputs (图2). 根据澳门赌场官方下载的业务优先级和当前成熟度状态,kpi可能因澳门赌场官方下载而异, but the following can help provide a starting point for this critical journey.
图2网络安全团队的平衡计分卡
| 金融 | 客户 |
|---|---|
|
|
| 内部 | 创新与学习 |
|
|
考虑一个例子. 美国农业部(USDA)农场服务局成功开发了一种网络安全记分卡,以使其活动与其使命保持一致,并降低整体风险.7 确定哪些kpi滞后有助于该机构确定导致风险的问题, while leading KPIs have offered insight into potential risk. 美国农业部农业服务局的记分卡是一种积极主动的战略方法,可以解决当前的脆弱性, 预计, 并降低潜在风险, 确保弹性网络安全框架与其使命和组织目标保持一致.
结论
基于平衡计分卡的方法使ciso及其团队能够专注于最重要的问题. 它根据业务优先级推荐活动,并提供安全状态分析的路径, 数据聚合和关联, enforcement of automation and AI-based defense policies, 和MFA,以避免单一的漏洞来源. 这将文化转变为关注结果而不是指标,并有助于提供收集指标的简单途径,并确保对其准确性的信心.
尾注
1 检查点研究小组"Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks,” Check Point Software Technologies, 5 January 2023
2 摩根,年代.; 2022年官方网络犯罪报告,网络安全风险投资,2022
3 饶,M.; “CISO转型与运营平衡计分卡:引领现代网络安全格局,《澳门赌场官方软件》,2023年7月26日
4 平衡计分卡协会"平衡计分卡基础s”
5 塔沃,E.; “What Is a Balanced Scorecard (BSC), and How Is It Used in Business?,《澳门赌场官方下载》,2023年3月10日
6 Savkin,.; “金融的角度. Estimating the 金融 Impact of Data Security平衡计分卡设计师
7 瓦格纳,J.; “Developing a 网络安全 Scorecard,” Farm Service Agency美国
阿伦Mamgai
Has more than 18 years of experience in cloud-native cybersecurity, 应用程序现代化, 开源安全供应链, 人工智能/机器学习(ML), and digital transformation (including balanced scorecards, 数据管理, and digital marketing) and has worked with Fortune 1000 客户s across industries. 他发表了许多文章,强调了在网络安全和安全开发现代云应用程序中使用生成人工智能. 他曾受邀在一流学校就数字化转型和联网车辆中的应用级攻击等主题发表演讲,并担任科技行业最负盛名奖项之一的评委. 他还指导了多家初创澳门赌场官方下载,并积极参与一家非营利机构,该机构旨在帮助中学女生成为未来的科技领袖.
