Qué tipo de cosas deberían tener los departamentos de seguridad de la información. poner en un tablero que muestran a la administración de negocios que no es de TI?

Hay tres enfoques claramente diferentes que creo que son igualmente importantes cuando se aplican métricas de seguridad para la administración. Todos pueden representar los mismos datos, pero enfatizan diferentes dimensiones que respaldan las preguntas que necesitamos responder y las deficiencias que debemos ilustrar cuando solicitamos financiamiento para resolverlas.

– Lo primero que debe recordar es que demasiado no es necesariamente malo. Cuantas más preguntas pueda responder, mejor. Deje que su liderazgo inmediato revise y filtre a medida que se pasa hacia arriba para vender su historia. Necesitan la mayor cantidad de municiones posible para luchar por el presupuesto y justificar los recuentos. Permítales que taylor el mensaje dándoles lo suficiente para dar masajes en una dirección comercial clara.

– Cuantifique todos los esfuerzos que demuestren que cumple con sus requisitos legales reglamentarios o contractuales. Asegúrese de incluir datos que representen las lagunas y deficiencias que pueden justificar las solicitudes de financiación de proyectos. Asegúrese de incluir tendencias que reflejen las mejoras y los ahorros de costos que se obtienen con su última inversión, o tendencias que ilustren cambios en su negocio y entorno que deben abordarse.

– Posiblemente, lo más importante para medir es el costo de la seguridad como resultado de la mala aplicación de la política y las malas prácticas comerciales. Es oro puro y sólido para todos a lo largo de su cadena de liderazgo cuando puede crear informes que miden y separan esto entre las unidades de negocios y organizaciones funcionales. Separar las métricas de registros de incidentes, eventos por herramienta de seguridad, tráfico de proxy web, etc. en informes individuales, aprovechando las direcciones de origen y las identidades de los usuarios que ilustran las brechas de los usuarios, puede ser el trabajo más efectivo que harás cuando puedas contar la historia explicando la singularidad. desafíos que enfrenta como resultado de comportamientos riesgosos de los empleados. Hacer cumplir las políticas y lograr la cooperación comercial en sus proyectos se vuelve mucho más fácil cuando puede representar su argumento de una manera que compare razonablemente a un líder ejecutivo con otro. Su naturaleza competitiva los obligará a impulsar mejoras y la mayoría de ellos incluirá de manera proactiva esas mejoras en sus objetivos de liderazgo o sus líderes se lo pedirán cuando comiencen los más competitivos. Aprovecha esto para trasladar la mayor parte posible de la obligación de seguridad a donde pertenece, sobre los hombros de las personas que trabajan constantemente para evadirla. Es sorprendente lo rápido que puede pasar de luchar contra las unidades de negocios para hacer cumplir la seguridad a hacer que luchen entre sí para financiar nuevos esfuerzos de seguridad aprovechando el poder de la vergüenza pública y explotando la naturaleza de los grandes egos.