Q:
Jak lze měřit bezpečnost IT?
A:Bezpečnost IT je ze své podstaty nehmotným a těžko měřitelným cílem nebo službou. Může být velmi obtížné přesně vyhodnotit přínos ustanovení o zabezpečení nebo zjistit, jak dobře fungují bezpečnostní systémy. V bezpečnostním průmyslu se však objevilo několik osvědčených postupů pro měření účinnosti bezpečnostních strategií a systémů.
Jedním ze způsobů, jak měřit bezpečnost IT, je sestavovat zprávy o kybernetických útokech a kybernetických hrozbách v průběhu času. Díky chronologickému mapování těchto hrozeb a odpovědí se mohou společnosti přiblížit k hodnocení toho, jak dobře fungují bezpečnostní systémy, jak jsou implementovány. Společnosti mohou také zkoumat osoby, které jsou v klíčových bezpečnostních pozicích, aby zajistily určitý druh „vnímání rizika“, který také přispěje k testování bezpečnosti. Někteří odborníci doporučují sledovat návratnost investic do bezpečnosti tím, že kladou správné otázky těm, kteří pracují na předních liniích kybernetické bezpečnosti, a berou všechna příchozí data, aby poskytli větší obrázek o bezpečnostních výsledcích.
Společnosti mohou také podporovat měření přesnosti a zabezpečení rozdělením zabezpečení na různé součásti. Například zabezpečení koncových bodů je konkrétní implementace bezpečnostních postupů pro datové koncové body, jako jsou obrazovky smartphonu, tablety a počítače. Mezi další aspekty zabezpečení dat patří data používaná v síti, kde mohou odborníci používat kontrolní body sítě ke stanovení bezpečnostních standardů nebo měřit zabezpečení jinými způsoby.
Pro mnoho odborníků v oblasti IT je měření bezpečnosti procesem „vstup, vstup a výstup“, kdy odborníci v oblasti bezpečnosti shromažďují údaje o kybernetických hrozbách, vkládají je do databáze a přicházejí s informativními zprávami. Tyto typy sofistikované analýzy pomáhají řídit vyhodnocování bezpečnostních postupů a pomáhají lidem s rozhodovací pravomocí vypořádat se se správou změn pro bezpečnostní strategie. Obecně zahrnuje zabezpečení IT „životní cyklus zabezpečení“ s více kroky a etapami, které reagují na hrozby, a ne pouze poskytováním statického typu ochrany.
