如何创建一个有意义的信息安全度量项目
2010-05-18 00:00:00 来源:WEB开发网核心提示: 丢西瓜拣芝麻,好的安全度量应该具有5种属性,如何创建一个有意义的信息安全度量项目(2),大多数公司都知道怎样选择符合前4种属性的度量:他们分别是,用数字说话,而哪个是“牛仔”或者叛徒?通过对比不同的小组,你度量测量的工作就会变得有趣起来,测量有一种或多种计量单位,以持续客
丢西瓜拣芝麻。好的安全度量应该具有5种属性。大多数公司都知道怎样选择符合前4种属性的度量:他们分别是,用数字说话,测量有一种或多种计量单位,以持续客观的方式测量,而且可以以较小的代价收集。但是只有很少的一部分选择了符合最重要条件的度量:语境相关。也就是说,度量需要帮助某人——通常是老板 ——作出和安全或者业务相关的重要问题的决定。太多的公司使用度量来建立拜占庭式的“安全”教堂,测量他们知道的细节,而不是老板想要知道的事。
经验教训
其实建立一个安全度量项目不是一件易事。但是它也不一定是充满压力的。建立一个度量体系意味着要有正确的视角。这里是从企业安全领导那里得到的4个经验:
明确性和背景易接受性。一些安全度量的含义十分清楚。要理解“给工作站打补丁的平均时间”这个度量的含义以及它如何得来的很容易;度量的单位表述的很清晰。“补丁”以及“工作站”这两个词的含义无需解释。但是“应用风险分”93分的含义呢?它比起80分又有多好呢?在这些情况下,有经验的项目经理就会解释分数是如何取得的。他们的展示和“仪表盘”简洁明了地说明他们不太容易明白的公式中都包含了什么,以及读者应该如何解读其结果。
洞悉来自对比。耶鲁大学教授 Edward Tufte在他的佳作《Envisioning Information》中说,“如果数字很无聊,那说明你得到了错误的数字。”洞察有关安全项目健康度的最佳方法就是不要把公司看作一个整体。当你按业务单元、部门、经理或者地域来把安全度量分割开时,总是会出现发人深省的模式。你的哪个部门是明星,而哪个是“牛仔”或者叛徒?通过对比不同的小组,你度量测量的工作就会变得有趣起来,而洞悉也变得显而易见了。
更多精彩
赞助商链接