Con l'aumento e la sofisticazione delle minacce informatiche, le organizzazioni necessitano di strumenti concreti per misurare l'efficacia della protezione delle risorse critiche. Le metriche di sicurezza informatica ci forniscono questa chiarezza, mostrando se gli investimenti in tecnologia, formazione e processi stanno dando i loro frutti. Tuttavia, solo il 23% delle aziende riferisce che le proprie metriche sono ben comprese dai dirigenti di alto livello, indicando una discrepanza tra le operazioni di sicurezza e la leadership aziendale. Pertanto, ci soffermeremo un attimo a capire quali sono le metriche di sicurezza informatica che contano davvero, perché sono importanti e come iniziare a monitorarle correttamente negli ecosistemi IT moderni di oggi.
In primo luogo, definiamo le metriche di sicurezza informatica, il loro ruolo nella gestione del rischio, nella conformità e nella dimostrazione del ROI. In secondo luogo, illustriamo perché le metriche sono importanti, lasciando che sia il aumento dei pagamenti dei ransomware a parlare da sé e sottolineando la necessità di un monitoraggio continuo. Sulla base delle metriche e delle misure di sicurezza informatica del NIST, analizzeremo quindi le principali categorie di metriche ed elencheremo circa 30 metriche da monitorare.
Cosa sono le metriche di sicurezza informatica?
Le metriche di sicurezza informatica misurano il livello di sicurezza di un'organizzazione valutando specifici dati nel tempo (ad esempio, tempi medi di applicazione delle patch, successo nella risposta agli incidenti, frequenza di successo del phishing). Oltre alle valutazioni generali dei rischi, si tratta di un approccio strutturato che approfondisce i benchmark delle prestazioni a livello operativo, di conformità e strategico. Indipendentemente dal fatto che si tratti di metriche e misure di sicurezza informatica NIST o di framework interni, KPI ben selezionati ci forniscono una visione obiettiva dell'efficacia delle difese contro le minacce emergenti.
Ma aiutano anche all'allineamento: i team di sicurezza possono fornire ai dirigenti risultati supportati da dati. Entro la fine del 2025, i log arriveranno da dispositivi mobili, sensori IoT, carichi di lavoro cloud e altro ancora, rendendo ancora più difficile scegliere e comprendere le metriche giuste.
Perché le metriche di sicurezza informatica sono importanti?
Le metriche di sicurezza informatica hanno molteplici obiettivi critici per l'azienda, dalla giustificazione delle richieste di budget al rilevamento più rapido delle intrusioni furtive. Con il loro aiuto, le organizzazioni fissano obiettivi realistici, individuano i punti deboli dei processi e dimostrano la conformità alle normative in continua evoluzione.
Poiché il pagamento medio medio ransomware è aumentato da 812.380 dollari nel 2022 a 1.542.333 dollari nel 2023, il rischio di sicurezza informatica è aumentato notevolmente. Ora che conosciamo un aspetto, esaminiamo gli altri cinque motivi per cui le metriche sono importanti.
- Dimostrare il ROI alla leadership: Poiché i CISO devono sempre giustificare la spesa per la sicurezza ai dirigenti, che spesso considerano la sicurezza informatica come un centro di costo, devono dimostrare il ROI alla leadership. I leader sono in grado di vedere i benefici tangibili degli investimenti nella sicurezza grazie alla presentazione di metriche chiave di sicurezza informatica, quali i tassi di riduzione degli incidenti, il miglioramento degli SLA relativi alle patch o i tempi di recupero. Colmando il divario tra il gergo tecnico e le priorità del consiglio di amministrazione incentrate sul ROI, questa narrativa basata sui dati è uno strumento potente per il marketer. Le metriche fattuali, non le supposizioni, sono la base per budget solidi in un contesto di crescenti minacce.
- Priorità di rischio: Non tutte le vulnerabilità o gli eventi presentano lo stesso livello di rischio. I team analizzano esempi di metriche di sicurezza informatica per capire quali aree, come endpoint, account privilegiati o app pubbliche, presentano il rischio maggiore. Quindi assegnano risorse e personale a questi punti critici ed evitano di sprecare energie su vulnerabilità a basso impatto. Questa precisione porta a una visione più strategica delle attività quotidiane e della prospettiva del rischio.
- Accelerazione del rilevamento e della risposta agli incidenti: Gli aggressori traggono vantaggio dalla lentezza del rilevamento: più tempo hanno a disposizione per operare senza essere scoperti, più dati possono sottrarre o sabotare. I team possono monitorare la rapidità con cui individuano e mitigano le minacce tramite metriche quali il tempo medio di rilevamento (MTTD) o il tempo medio di risposta (MTTR). Con il passare del tempo, queste metriche indicano la maturità di un programma di sicurezza quando continuano a migliorare. È chiaro che le metriche e le misure di sicurezza informatica sono collegate a un rilevamento più rapido, con conseguente risparmio di denaro, reputazione e continuità aziendale.
- Conformità e allineamento normativo: Con normative come il GDPR e il PCI DSS, è necessario dimostrare l'efficacia dei controlli di sicurezza. Le metriche sulla conformità delle patch, le revisioni dell'accesso degli utenti o la copertura della crittografia aiutano a dimostrare tali controlli in un audit. Le organizzazioni con framework di metriche consolidati forniscono report immediati e verificabili invece di cercare dati ad hoc. Conformità La preparazione è più agevole se allineata a framework quali le metriche e le misure di sicurezza informatica del NIST.
- Supporto ai cicli di miglioramento continuo: La sicurezza non è statica, gli attacchi si evolvono e così devono fare le difese. Rivedere mensilmente o trimestralmente le metriche di sicurezza informatica aiuta a identificare le tendenze: c'è stato un calo dei tentativi di phishing dopo la nuova formazione? I ritardi nell'applicazione delle patch sono ancora troppo elevati? Si tratta di una valutazione ciclica che incoraggia una cultura iterativa in cui ogni miglioramento o regressione è evidente. Con il passare del tempo, le metriche diventano la guida per la trasformazione della sicurezza, consentendo di prendere decisioni basate su prove concrete piuttosto che sull'intuizione.
Categorie di metriche di sicurezza informatica
L'ambito e la funzione delle metriche sono molto diversi. Alcune organizzazioni misurano le attività operative quotidiane, mentre altre monitorano livelli di conformità e di rischio più ampi. Questa sezione suddivide le tre categorie principali: metriche operative, metriche di conformità e metriche di gestione dei rischi.
Riconoscendo questi raggruppamenti, è chiaro come le organizzazioni possano organizzare le metriche di sicurezza informatica per affrontare vari obiettivi, come il rispetto dei mandati legali e il controllo dei rischi strategici.
- Metriche operative: Includono metriche operative quali la correzione delle vulnerabilità, la scansione di nuove minacce o l'analisi dell'attività degli utenti. Mostrano se i processi fondamentali funzionano correttamente e se si stanno accumulando arretrati. Esempi potrebbero includere il tempo necessario per correggere vulnerabilità critiche o il numero di endpoint ancora non protetti. Il monitoraggio costante di queste metriche porta a miglioramenti immediati nella salute del sistema e nella sicurezza degli utenti. Piccole lacune possono trasformarsi rapidamente in enormi falle per gli aggressori se vengono trascurate.
- Metriche di conformità: I governi e le autorità di regolamentazione del settore richiedono sempre più spesso prove in tempo reale dei controlli di sicurezza e della la conservazione dei dati, l'adozione dell'autenticazione a più fattori o i programmi di rotazione delle password sono metriche di conformità comuni. Queste metriche possono essere acquisite e utilizzate per produrre rapidamente prove per gli audit e ridurre l'esposizione legale. Se non si è in linea con questi requisiti, si può incorrere in multe o danni alla reputazione, il che significa che le metriche di conformità sono essenziali.
- Metriche basate sul rischio: Queste includono metriche basate sul livello di rischio, come minacce avanzate o esposizione di sistemi non aggiornati. Quantificano la vulnerabilità delle risorse aziendali (come i noti CVE) e producono un punteggio di rischio per indirizzare l'allocazione delle risorse. Queste metriche combinano la gravità tecnica e l'impatto aziendale per collegare le metriche e le misure di sicurezza informatica del NIST alle decisioni a livello dirigenziale. I punteggi di rischio aggregati sono un modo per vedere se la vostra posizione rispetto alle minacce è migliorata, peggiorata o rimasta stabile nel tempo con nuove strategie di sicurezza.
Metriche chiave di sicurezza informatica da monitorare
Decidere quali metriche selezionare è un compito arduo: la domanda è: misurate tutto o vi concentrate su un insieme strategico? Per rispondere a questa domanda, abbiamo compilato circa 30 metriche significative attingendo da più riferimenti, inclusi esempi di metriche di sicurezza informatica provenienti dai principali framework.
Ogni metrica rappresenta una dimensione specifica della vostra posizione di sicurezza, da quella operativa e orientata alla conformità a quella strategica. Approfondiamo ciascuna di esse.
1. Tempo medio di rilevamento (MTTD)
Il tempo medio di rilevamento (MTTD) è uno dei parametri chiave della sicurezza informatica, che misura per quanto tempo le minacce possono proliferare senza essere rilevate. Un MTTD elevato indica processi di rilevamento lenti o un monitoraggio insufficiente. Le organizzazioni sono in grado di dimostrare i miglioramenti nelle loro capacità di rilevamento seguendo l'MTTD. Un calo continuo dell'MTTD implica un ambiente di sicurezza più proattivo.
2. Tempo medio di risposta (MTTR)
Quando viene rilevata un'anomalia, quanto tempo occorre ai team per contenere la minaccia, chiudere le falle o eliminare il malware? Un valore più basso di MTTR indica che i flussi di lavoro sono ben coordinati e gli incidenti vengono gestiti in modo adeguato. Insieme all'MTTD, offre una visione completa dell'efficacia della sicurezza. L'MTTD/MTTR è molto importante per molti consigli di amministrazione quando si tratta di determinare i budget o le soluzioni dei fornitori.
3. Tempo medio di contenimento (MTTC)
Si riferisce al tempo necessario per arrestare la diffusione della minaccia, anziché per risolverla completamente. Se un endpoint è stato compromesso, l'autore dell'attacco è passato ad altri endpoint? Un MTTC breve indica un buon controllo dei movimenti laterali e una quarantena rapida. La metrica che risuona con la dimensione della sicurezza informatica è il rilevamento, la risposta e la segmentazione dell'ambiente.
4. Tasso di clic di phishing
Il phishing è ancora uno dei principali vettori di attacco, che può portare al furto di credenziali o all'infezione da ransomware. Uno degli esempi di metriche di sicurezza informatica è sapere quanti dipendenti cliccano sui link di phishing simulati. Questo è il risultato di una formazione efficace e di un comportamento prudente da parte degli utenti. I tassi di clic potrebbero essere elevati, il che richiederebbe sessioni di aggiornamento o campagne di sensibilizzazione più avanzate.
5. Tasso di conformità delle patch
Le vulnerabilità che non vengono corrette lasciano aperte delle falle che possono essere sfruttate e questo viene misurato come tasso di conformità delle patch. La conformità delle patch si riferisce alla percentuale di endpoint che dispongono dell'ultima versione delle patch critiche o ad alta gravità. Un tasso di conformità elevato è in linea con le metriche e le misure di sicurezza informatica del NIST e implica un rischio minimo di sfruttamento da parte di bug noti. Molte organizzazioni hanno obiettivi di conformità delle patch (ad esempio, 95% o 99%) per eseguire tempestivamente gestione delle vulnerabilità.
6. Ricorrenza delle vulnerabilità
La stessa vulnerabilità ricompare perché le correzioni non sono state completate interamente o perché il codice è stato reintrodotto. Questa misura viene utilizzata per tracciare la frequenza con cui una vulnerabilità precedentemente risolta ricompare nell'ambiente. Un'elevata ricorrenza implica che vi sia un problema di processo più profondo con DevOps o una gestione delle patch non allineata. Il miglioramento robusto e coerente delle metriche di sicurezza informatica si ottiene riducendo la ricorrenza.
7. Tentativi di intrusione bloccati
Questo include il numero di tentativi di accesso dannosi, scansioni delle porte o payload di exploit noti che le vostre difese hanno bloccato con successo. Tuttavia, può essere gonfiato a causa di bot di scansione casuali. Anche se può essere gonfiato dai bot di scansione casuale, riflette l'esposizione al rischio nell'ambiente. Differenziare gli attacchi mirati dal rumore di fondo di Internet correlando i dati degli honeypot. Esaminare i tentativi di intrusione nel tempo aiuterà a perfezionare i set di regole o la postura di sicurezza.
8. Tasso di accesso fallito
Monitorate il numero di tentativi di accesso non riusciti al giorno o alla settimana. Alcuni fallimenti di base sono normali (errori di battitura), ma un picco improvviso potrebbe essere segno di campagne di forza bruta o di test di credenziali rubate. Queste metriche sono solitamente generate da un sistema di analisi dei log dedicato o da un SIEM. Evidenziate i potenziali comportamenti dannosi incrociando i dati con i contesti degli utenti (posizione o orari insoliti).
9. Gravità degli incidenti
Classificare gli incidenti rilevati (ad esempio, avvisi o potenziali violazioni) in base ai livelli di gravità (bassa, media, alta, critica). Il monitoraggio delle tendenze vi dirà se il vostro ambiente è oggetto di attacchi più gravi o se i miglioramenti nel rilevamento stanno riducendo il rapporto degli avvisi di alto livello. Inoltre, questa misura può aiutare nella pianificazione delle risorse: incidenti critici frequenti possono richiedere più personale o strumenti specializzati.
10. Causa principale degli incidenti di sicurezza
Stabilire se i problemi sono causati da configurazioni errate, phishing, software obsoleto o uso improprio dei privilegi. Gli incidenti possono essere suddivisi in categorie di cause principali e i team possono investire nelle soluzioni giuste (formazione avanzata anti-phishing o processi di patch migliorati). I cambiamenti nella distribuzione nel tempo indicano se le politiche affrontano efficacemente le principali vulnerabilità. Questa metrica favorisce un approccio basato sui dati per la definizione delle priorità.
11. Completamento della formazione sulla consapevolezza degli utenti
Si tratta del numero di moduli di formazione obbligatoria sulla sicurezza o esercitazioni di phishing completati. È anche legato alle metriche di sicurezza informatica e alle misure di preparazione della forza lavoro, come il tasso di clic di phishing o il potenziale di minaccia interna. Si tratta di una forza lavoro con alti tassi di completamento e ottimi punteggi nei quiz e, quindi, più abile nell'identificare link sospetti o tattiche di ingegneria sociale. Se la conformità è carente, ci si può aspettare vulnerabilità dovute a sviste a livello di utente.
12. Percentuale di sistemi coperti da EDR
Gli endpoint non integrati con EDR o AV di nuova generazione sono punti ciechi che non dispongono di copertura EDR. Si tratta di una metrica del numero di dispositivi con rilevamento endpoint aggiornato. La copertura può diminuire per i sistemi remoti o aggiunti di recente in organizzazioni grandi e decentralizzate. Mantenere una copertura vicina al 100% è coerente con le dimensioni della sicurezza informatica per protezione degli endpoint, garantendo un rilevamento coerente delle intrusioni.
13. Costo medio degli incidenti
Un KPI di natura finanziaria calcolato come il costo totale della risposta agli incidenti, dei tempi di inattività, delle spese legali e dell'impatto sul marchio durante un determinato periodo diviso per il numero di incidenti. Una tendenza al rialzo potrebbe riflettere una maggiore infiltrazione o tempi di risposta più lenti. I dirigenti che troppo spesso richiedono il ROI o la quantificazione del rischio rispondono bene alle metriche dei costi. Il calo del costo medio degli incidenti nel tempo attesta che le misure di sicurezza stanno dando i loro frutti.
14. Numero di violazioni delle politiche di sicurezza
Monitorate quante volte i dipendenti o i processi violano le vostre regole di sicurezza: classificazione dei dati, installazioni di software non autorizzate, utilizzo di supporti rimovibili, ecc. Il numero potrebbe aumentare a causa dell'ignoranza delle politiche o dell'inadeguatezza della formazione degli utenti. La correzione mirata di questa misura è facilitata dall'allineamento con i gruppi di utenti. Il rispetto delle politiche è spesso identificato come un fattore chiave per una solida posizione di rischio dalle metriche e dalle misure di sicurezza informatica del NIST.
15. Tempo di distribuzione delle patch di sicurezza
A differenza del tasso di conformità, questa metrica rileva il tempo medio che intercorre tra il rilascio della patch e la sua distribuzione nell'ambiente. Tempi più brevi significano meno tempo a disposizione per lo sfruttamento. Combinalo con un obiettivo SLA, come patch ad alta priorità, in meno di 7 giorni. I tempi sono misurati dai team, il che aiuta a identificare i colli di bottiglia (programmazione dei tempi di inattività, dipendenza dai fornitori, ecc.) e a perfezionare le pipeline delle patch.
16. Casi di sfruttamento zero-day
Contate quante volte gli exploit sconosciuti o "in circolazione" causano incidenti nel vostro ambiente. Gli exploit zero-day sono ancora difficili da bloccare, ma questa metrica vi dice se li state bloccando con strumenti di rilevamento avanzati o informazioni sulle minacce. Se il numero è costante o in aumento, sapete che dovete migliorare la vostra risposta agli incidenti o segmentare maggiormente la vostra rete.
17. Tentativi di esfiltrazione dei dati
Registra il numero di tentativi di trasferimento di file di grandi dimensioni sospetti o di download di dati anomali. Un sistema di rilevamento perfezionato segnalerà le esfiltrazioni realmente dannose, mentre appariranno alcuni falsi positivi. Tassi così elevati indicano un ambiente compromesso o una minaccia interna che tentano di rubare dati IP o dei clienti. Con il passare del tempo, è possibile analizzare i modelli per vedere se ci sono determinati segmenti o gruppi di utenti che sono oggetto degli attacchi.
18. Volume di traffico DNS e di comando e controllo
Il malware comunica solitamente con server esterni per ricevere comandi o esfiltrare dati, generando così traffico DNS e di comando e controllo. È possibile valutare i tentativi di infiltrazione monitorando le query DNS sospette o i modelli di comando e controllo. I domini dannosi appena scoperti potrebbero essere indicati da un picco nelle anomalie DNS. È inoltre utile isolare rapidamente gli endpoint infetti o bloccare gli indirizzi IP dannosi noti con i registri di rilevamento delle intrusioni.
19. Stato di rafforzamento del sistema
Quanti server o endpoint sono conformi alle linee guida di configurazione di sicurezza di base (ad esempio, i benchmark CIS)? Questo è un esempio di metrica operativa di sicurezza informatica che rientra nelle misure che verificano la conformità delle configurazioni agli standard raccomandati. Se molti sistemi si discostano da tali standard, l'ambiente è maturo per essere sfruttato. Si crea così una cultura del monitoraggio dei miglioramenti e dell'attenzione alle configurazioni con privilegi minimi e alle impostazioni di crittografia aggiornate.
20. Monitoraggio degli account privilegiati
Questo può essere monitorato contando il numero di account amministratori o root e la frequenza con cui vengono utilizzati. L'impatto delle violazioni aumenta con un numero eccessivo di account privilegiati o un utilizzo non monitorato. Questa metrica manterrà sotto controllo le metriche e le misure di sicurezza informatica del NIST relative al controllo degli accessi. Una scarsa igiene dell'identità è indicata da un'eccessiva proliferazione, quindi ogni trimestre cercate di ridurre o perfezionare questi account.
21. Efficacia del backup e del ripristino
Si tratta di una misura che indica se i backup vengono eseguiti quando dovrebbero, se sono accessibili quando necessario e con quale rapidità è possibile ripristinare i dati dopo un incidente. La resilienza è indicata da alti tassi di successo con tempi di ripristino brevi. Il ripristino dal ransomware è a rischio se i backup falliscono o vengono testati raramente. Abbinando questo dato alle metriche dei test di DR, si ottiene un quadro chiaro di quanto sia effettivamente solida la continuità operativa della vostra azienda.
22. Tentativi di escalation dei privilegi utente
Monitoraggio dei log per eventi ripetuti o sospetti di elevazione dei privilegi. Le escalation potrebbero essere tentate da aggressori o malintenzionati interni per aggirare le normali restrizioni. I tentativi di compromissione più profondi delle risorse critiche sono associati a una frequenza costante o in aumento. Rileva i tentativi di infiltrazione e ottimizza le regole di rilevamento per bloccare o indagare rapidamente prima che si diffondano.
23. Anti-phishing / Efficacia del gateway di posta elettronica
Quante e-mail dannose o spam vengono bloccate ogni giorno dai sistemi di filtraggio della posta elettronica rispetto alla quantità che viene ricevuta? Pertanto, le prestazioni robuste del gateway di posta elettronica sono caratterizzate da un elevato rapporto di blocco con un numero minimo di falsi negativi. D'altra parte, eventi di infiltrazione ripetuti indicano la presenza di regole obsolete o di un filtro difettoso. Queste metriche sono coerenti con le metriche di sicurezza informatica e le misure di efficacia della difesa perimetrale.
24. Livello di patch del browser e delle applicazioni
Oltre agli aggiornamenti del sistema operativo, i browser più diffusi o le app di terze parti rappresentano spesso i principali vettori di infiltrazione. Un approccio parziale alle patch consiste nel contare quanti endpoint utilizzano versioni precedenti. Avere un obiettivo (ad esempio, "il 95% dei browser aggiornati entro 2 giorni dal rilascio della patch") promuove la coerenza nella conformità. La mancata tracciabilità delle statistiche relative alle patch dei browser crea una grave vulnerabilità, poiché gli exploit basati sul web sono comunemente utilizzati per colpire i browser.
25. Punteggi di valutazione della formazione sulla consapevolezza della sicurezza
Scoprite i punteggi ottenuti dai dipendenti nei quiz simulati di ingegneria sociale o sicurezza. Se i punteggi medi calano o se un reparto fallisce ripetutamente, è urgente organizzare una formazione. Questi punteggi integrano il tasso di clic di phishing e forniscono prove delle dimensioni della sicurezza informatica basate sugli utenti. Il miglioramento dei punteggi nel tempo riflette una cultura della sicurezza sempre più matura.
26. Punteggio di rischio dei fornitori terzi
Molte violazioni provengono da un fornitore o da un prestatore di servizi che ha un accesso alla rete compromesso. Il punteggio di rischio dei fornitori è un modo per misurare quanto un terzo sia in linea con le vostre aspettative in materia di sicurezza: politiche di patch, standard di crittografia, risposta agli incidenti, ecc. La revisione regolare dei punteggi vi tiene informati su qualsiasi deterioramento della posizione dei partner prima che abbia un effetto sul vostro ambiente. Questo approccio colma una lacuna nelle metriche e nelle misure di sicurezza informatica del NIST, estendendo il monitoraggio dei rischi al di fuori dei confini della vostra organizzazione.
27. Tasso di configurazione errata del cloud
Con l'aumento dell'utilizzo del cloud, aumentano anche i pericoli di un bucket S3 configurato in modo errato, con volumi di archiviazione aperti o interfacce amministrative esposte. Questa metrica ci indica la percentuale di risorse cloud che non hanno configurazioni di base sicure. Pipeline DevSecOps più solide e controlli ambientali migliori si traducono in un tasso di configurazione errata più basso. Tuttavia, quando i numeri persistono o aumentano, è necessario prestare urgente attenzione, poiché i database aperti o i blob leggibili pubblicamente sono ancora le principali vie di infiltrazione.
28. Vulnerabilità critiche irrisolte nel tempo
Questa metrica non solo tiene traccia del tasso di conformità della patch, ma identifica anche quante CVE critiche rimangono aperte per lunghi periodi di tempo. Quando il dato raggiunge picchi o si stabilizza, i sistemi rimangono vulnerabili a exploit di gravità elevata. I team di sicurezza considerano le "vulnerabilità critiche irrisolte" come un arretrato urgente che deve essere corretto o mitigato immediatamente. Si tratta di un chiaro indicatore dell'efficacia con cui l'organizzazione gestisce le vulnerabilità software più gravi.
29. Tasso di completamento delle valutazioni di sicurezza
Molte aziende richiedono valutazioni di sicurezza interne o esterne (ad esempio, test di penetrazione e audit di conformità di terze parti) su base periodica. Si tratta della percentuale di valutazioni pianificate che vengono completate interamente nei tempi previsti. Tassi bassi indicano colli di bottiglia nella pianificazione o vincoli di budget nell'uso delle metriche e delle misure di sicurezza informatica. Tassi di completamento elevati aiutano a convalidare la preparazione e a identificare le lacune in cui il rilevamento dei rischi non avviene in modo continuo.
30. Incidenti di esposizione delle informazioni sanitarie protette elettroniche (ePHI)
L'esposizione delle ePHI per le organizzazioni sanitarie che trattano informazioni mediche rappresenta un enorme rischio reputazionale e normativo. Questa metrica viene calcolata contando il numero di volte in cui le informazioni relative ai pazienti vengono consultate o divulgate senza autorizzazione. La conformità all'HIPAA o a leggi simili è sottolineata dal monitoraggio delle esposizioni delle ePHI, che a sua volta richiede controlli di accesso rigorosi e crittografia. Un picco rappresenta una lacuna urgente da colmare nella governance dei dati, mentre una tendenza al ribasso indica che la gestione dei dati sta migliorando.
Sfide nella misurazione delle metriche di sicurezza informatica
Sebbene i vantaggi siano evidenti, la creazione di un quadro di metriche efficace è tutt'altro che facile. La misurazione delle metriche di sicurezza informatica può essere un processo complesso, che va dai vincoli di volume dei dati alle minacce intangibili. Di seguito sono riportate cinque sfide chiave che impediscono un monitoraggio coerente e affidabile e come le organizzazioni possono superarle:
- Mancanza di standardizzazione: Gli incidenti o le vulnerabilità sono definiti in modo diverso dai vari team o fornitori. A causa di questa incoerenza, i dati risultano confusi tra i vari reparti o nelle configurazioni multi-cloud. I confronti tra elementi dissimili sono inefficaci senza definizioni standardizzate o un sistema di classificazione condiviso. La soluzione consiste nell'elaborare convenzioni di denominazione coerenti che siano convalidate da un comitato di governance o da quadri di riferimento (come le metriche e le misure di sicurezza informatica del NIST).
- L'eccessiva dipendenza dagli strumenti automatizzati: L'automazione può accelerare la raccolta dei dati, ma alcune metriche richiedono l'interpretazione umana (ad esempio, la causa principale o il punteggio di gravità). Le metriche basate esclusivamente sugli strumenti sono più soggette a produrre falsi positivi o correlazioni incomplete. L'efficienza delle macchine e l'analisi qualificata sono bilanciate. Questa sinergia contribuisce a fornire un quadro accurato della sicurezza dell'ambiente.
- Dati e sistemi isolati: Le grandi imprese spesso dispongono di registri e scansioni delle vulnerabilità distribuiti su diversi SIEM, EDR o dashboard cloud. Se non si dispone di una piattaforma unificata o, in qualche modo, di un'integrazione tra strumenti, è difficile creare esempi significativi di metriche di sicurezza informatica. I dati sono ancora bloccati in silos dipartimentali. Ciò significa che per superare questo ostacolo è necessaria un'architettura consolidata o pipeline di dati ben orchestrate.
- Interpretazione errata delle metriche da parte degli stakeholder: I dirigenti o i membri del consiglio di amministrazione possono fraintendere o sottovalutare alcune delle metriche, guardando solo ai costi o ai dati di alto livello. Questo divario può rappresentare un problema se i team di sicurezza prendono decisioni basate su metriche operative sfumate. I dashboard o le traduzioni come il punteggio basato sul rischio o l'impatto sul business sono chiari. Lo scopo è colmare il divario linguistico tra il personale tecnico addetto alla sicurezza e la leadership aziendale.
- Cambiamento del panorama delle minacce: Una metrica rilevante oggi potrebbe diventare obsoleta se gli aggressori modificano le loro TTP. Ad esempio, il malware basato sulla memoria o senza file è diventato più popolare rispetto alle vecchie minacce basate sulle firme. Questa continua iterazione del set di metriche garantisce il monitoraggio dei nuovi angoli di infiltrazione o dei tassi di exploit zero-day. Se non ci si adatta, si misurano le vecchie minacce e si perdono quelle attuali.
Best practice per sfruttare le metriche di sicurezza informatica
Disporre di un insieme ben definito di metriche aiuta i team a districarsi in ambienti di rischio complessi. Tuttavia, le metriche hanno un impatto reale solo se sono parte integrante dei processi quotidiani di un'azienda.
Di seguito sono riportate cinque best practice per unificare le metriche con flussi di lavoro di sicurezza più ampi, da definizioni coerenti a cambiamenti culturali basati sui dati:
- Allineare le metriche agli obiettivi aziendali: ogni metrica dovrebbe essere legata a un risultato aziendale specifico, come la fiducia degli utenti, la conformità o il risparmio sui costi derivante da un minor numero di violazioni. Questo allineamento impedisce anche che le metriche vengano monitorate per vanità o tradizione. Al contrario, alimentano la crescita aziendale o la reputazione del marchio. È possibile ottenere il sostegno della dirigenza dimostrando che le metriche di sicurezza informatica sono legate agli obiettivi di fatturato o alla fedeltà al marchio.
- Rendere le metriche semplici e attuabili: un centinaio di metriche su un dashboard sono eccessive e inattuabili. Scegliete una serie di metriche chiave di sicurezza informatica che influenzano direttamente le decisioni aziendali, ad esempio la conformità delle patch o i tassi di clic di phishing. Ogni misura dovrebbe anche rispondere alla domanda: "Cosa faremo di diverso se questo numero cambia?" Se la domanda non è chiara, il valore della metrica è discutibile.
- Creare un ciclo di feedback per il miglioramento continuo: Se i tassi di phishing aumentano del 10%, potreste immediatamente formare i reparti interessati. Eseguite la nuova formazione e misurate i risultati. Quando il tasso non diminuisce, è il momento di cambiare nuovamente strategia. Con questo ciclo di feedback, le metriche di sicurezza informatica diventano un motore di miglioramento dinamico, non dashboard statiche o obsolete.
- Abbina le metriche al rischio o al costo: Metriche come "75 vulnerabilità non corrette" non sono significative senza il rischio o il costo di non correggere tali vulnerabilità. Ad esempio, mappare ogni vulnerabilità critica aperta a possibili esposizioni di dati o ricadute sul marchio. La ponderazione basata sul rischio è analoga a ciò che desiderano i dirigenti di alto livello e incoraggia la rapida adozione delle patch. La sinergia favorisce decisioni di sicurezza più informate e basate sulle priorità.
- Promuovere la visibilità delle metriche e la collaborazione: Aggiornate regolarmente le metriche con team interfunzionali (DevOps, Finanza, Risorse umane, ecc.) per vedere come si evolve la situazione della sicurezza. Il personale non tecnico diventa consapevole delle potenziali minacce e la collaborazione favorisce una cultura attenta alla sicurezza. Gli strumenti che offrono la possibilità di suddividere i dati metrici per regione, linea di prodotti, ambiente, ecc. migliorano anche la responsabilità. La sicurezza diventa gradualmente qualcosa di condiviso dall'intera organizzazione, non solo dal reparto IT.
Cybersicurezza alimentata dall'intelligenza artificiale
Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.
Richiedi una demoConclusione
Metriche di sicurezza informatica efficaci sono essenziali per prendere decisioni, poiché i vettori di minaccia si moltiplicano e i consigli di amministrazione richiedono un ROI concreto. Le metriche trasformano i rischi intangibili in dati misurabili in numeri, creando un collegamento tra i dettagli tecnici e la supervisione esecutiva. Che si tratti del tempo di ciclo delle patch, dell'utilizzo di account privilegiati o dei tassi di rilevamento delle minacce avanzate, metriche accuratamente selezionate rendono trasparente il progresso della sicurezza. Se il vostro team adotta un approccio strutturato, come l'allineamento con le metriche e le misure di sicurezza informatica del NIST, sarà in grado di identificare i punti deboli, rafforzare la responsabilità e distribuire strategicamente le risorse.
Tuttavia, i dati da soli non sono sufficienti per avere successo. È necessaria la collaborazione tra i team, il miglioramento continuo e soluzioni che riuniscano log, risultati delle vulnerabilità e informazioni sulle minacce in un unico piano di visibilità. È possibile ottenere metriche personalizzate per consentire alla propria organizzazione di misurare le attività di sicurezza quotidiane e le sfide in continua evoluzione poste dalle minacce.
"Domande frequenti sulle metriche di sicurezza informatica
Non tutti i rischi si manifestano sotto forma di log evidenti o tentativi di exploit: le intenzioni degli insider, gli attacchi basati sull'intelligenza artificiale e le debolezze della catena di approvvigionamento possono essere sottili. Metriche come gli incidenti zero-day basati su anomalie o le escalation di privilegi sospette offrono un assaggio di queste minacce nascoste. Quantificando anche solo segnali parziali, le organizzazioni ottengono una visione più completa delle tattiche in evoluzione.
Sì. Le configurazioni errate del cloud spesso non vengono rilevate, ma comportano rischi significativi di violazione: i bucket di archiviazione esposti o i database aperti sono gli obiettivi principali. Il monitoraggio dei tassi di configurazione errata individua i punti deboli ricorrenti nelle pratiche DevOps, consentendo un rapido intervento correttivo. Nel tempo, una metrica di configurazione errata in calo suggerisce processi più solidi, una migliore automazione e una formazione più efficace. Con la crescita dell'utilizzo del cloud, questa misura emerge come una delle metriche chiave da tenere d'occhio in materia di sicurezza informatica.
Esamina una combinazione di tassi di clic di phishing, punteggi di completamento della formazione e segnalazioni di quasi incidenti, ovvero casi in cui i dipendenti individuano tentativi di attacco. Queste metriche rivelano quanto il personale abbia interiorizzato le politiche e contrasti attivamente le minacce. Un alto tasso di completamento della formazione ma tassi di clic invariati, ad esempio, segnalano la necessità di contenuti interattivi più approfonditi. Il monitoraggio di questi dati aiuta a perfezionare le difese incentrate sull'uomo contro il social engineering.
In un panorama in rapida evoluzione, le revisioni trimestrali potrebbero essere troppo lente. Molti esperti suggeriscono controlli mensili o addirittura settimanali, soprattutto per misure ad alto rischio come MTTD o vulnerabilità non corrette. Una rivalutazione frequente evidenzia nuove minacce, garantisce che le metriche rimangano pertinenti e individua più rapidamente le condizioni di deterioramento. Più velocemente si individua uno scostamento nei KPI critici, meglio si può prevenire un grave compromesso.
Le metriche operative monitorano i processi quotidiani come la conformità delle patch o il tempo di attività del sistema, offrendo istantanee granulari dello stato di salute tecnico. Al contrario, le metriche basate sul rischio considerano l'impatto sul business, mappando le vulnerabilità alle potenziali perdite o alle sanzioni normative.
