Q:
Hoe kan IT-beveiliging worden gemeten?
EEN:IT-beveiliging is van nature een ongrijpbaar en moeilijk meetbaar doel of dienst. Het kan uiterst moeilijk zijn om het voordeel van beveiligingsvoorzieningen nauwkeurig te evalueren of om te zien hoe goed beveiligingssystemen werken. Binnen de beveiligingsindustrie zijn er echter enkele best practices naar voren gekomen voor het meten van de effectiviteit van beveiligingsstrategieën en -systemen.
Een manier om IT-beveiliging te meten, is om tabellen van cyberaanvallen en cyberdreigingen in de loop van de tijd te tabelleren. Door deze bedreigingen en reacties chronologisch in kaart te brengen, kunnen bedrijven dichter bij het evalueren van hoe goed beveiligingssystemen hebben gewerkt bij de implementatie ervan. Bedrijven kunnen ook mensen met een sleutelpositie in sleutelposities bevragen om te zorgen voor een soort 'risicoperceptie' die ook zal bijdragen aan benchmarking van de veiligheid. Sommige experts raden aan om het beveiligingsrendement van investeringen te volgen door de juiste vragen te stellen aan degenen die aan de frontlinie van cybersecurity werken en alle inkomende gegevens te nemen om een groter beeld te krijgen voor de beveiligingsresultaten.
Bedrijven kunnen ook nauwkeurigheid en beveiligingsmetingen bevorderen door de beveiliging op te splitsen in verschillende componenten. Eindpuntbeveiliging is bijvoorbeeld de specifieke implementatie van beveiligingsmethoden voor gegevenseindpunten zoals smartphoneschermen, tablets en pc's. Andere aspecten van gegevensbeveiliging betreffen gegevens die via een netwerk worden gebruikt, waarbij professionals netwerkcontrolepunten kunnen gebruiken om beveiligingsbenchmarks vast te stellen of de beveiliging op andere manieren te meten.
Voor veel IT-professionals is beveiligingsmeting een 'input in, input out'-proces waarbij beveiligingsexperts gegevens over cyberbedreigingen verzamelen, deze in een database invoeren en informatieve rapporten opstellen. Dit soort geavanceerde analyses helpen de evaluatie van beveiligingspraktijken te stimuleren en helpen menselijke besluitvormers omgaan met veranderingsbeheer voor beveiligingsstrategieën. Over het algemeen omvat IT-beveiliging een "beveiligingslevenscyclus" met meerdere stappen en fasen om op bedreigingen te reageren, in plaats van alleen een statische beveiliging te bieden.