Esta es una pregunta potencialmente complicada. Para una mirada más profunda, busque ‘KPI de seguridad’ o algo similar, ya que hay toda un área de seguridad dedicada a las métricas. Si nada más, eche un vistazo a NIST 800-55.
Dicho esto, mis sugerencias son:
– Primero, datos de incidentes: cuántos incidentes tuvo, cuánto tiempo tardó en resolverlos, cuánto costó la limpieza de cada incidente. Nada más importa hasta que pueda pintar una imagen clara de lo que está sucediendo en su entorno.
– Información de referencia sobre el riesgo residual, especialmente cuando se compara con otros en la misma industria.
– Costos de seguridad como porcentaje de los costos de TI, así como información de tendencias. Siempre útil para mostrar puntos de referencia si es posible.
– Métricas relacionadas con la capacitación en concientización de seguridad, incluidas tendencias y posibles puntos problemáticos.
– Me gusta la idea de mostrar el resultado de proyectos recientes de InfoSec, demostrando claramente qué mejoras se lograron. Idealmente, esto se traducirá en ‘menor costo operativo’, ‘mejor cobertura de seguridad’, ‘más rápido tiempo de respuesta ante incidentes’, ‘respuesta más rápida a solicitudes’, etc.
Algunos números pueden ser más importantes durante la temporada de presupuesto, algunos son más “operativos”. En última instancia, se reduce a lo que desea lograr: demostrar valor, mostrar mejoras, educado sobre el riesgo. Nunca olvide cómo es la cultura de la empresa (algunos son más abiertos que otros) y recuerde que la seguridad ES un centro de costos.
- Cómo comenzar una carrera en seguridad de la información
- ¿Podría un país hacerse cargo de otro país solo mediante ciberataques?
- ¿Qué es bueno para la carrera, la seguridad de la red o la seguridad de la información?
- ¿De qué maneras se utilizará la Inteligencia artificial en la seguridad de Internet y la seguridad de los dispositivos (TV, teléfonos móviles, PC, etc.)?
- ¿Cuáles son los mayores problemas en ciberseguridad en 2016?