Gruppo per rilasciare metriche uniformi per misurare la sicurezza IT

Il Centro per la sicurezza di Internet (CIS) è impostato per rilasciare le linee guida su come le aziende possono misurare lo stato della sicurezza della loro organizzazione e lanciare un servizio per le aziende per confrontare le loro prestazioni con i loro pari.

L'ultimo progetto CIS è finalizzato a risolvere la confusione e la mancanza di uniformità nei modi per misurare se la sicurezza informatica di un'azienda o dell'organizzazione sta migliorando o meno, ha dichiarato Bert Miuccio, CEO della CIS.

"Il problema che siamo venuti a riconoscere è che la sicurezza delle informazioni i professionisti diventano davvero più confusi su come definire il successo ", ha detto Miuccio. "Sanno che la conformità ai requisiti normativi e ai quadri di audit non comporta necessariamente un miglioramento della sicurezza e non sono le migliori misure di successo."

[Ulteriori letture: Come rimuovere malware dal PC Windows]

CIS è un organizzazione senza scopo di lucro finanziata da imprese e altre organizzazioni con un interesse per la sicurezza. Dalla sua creazione nel 2000, ha creato 40 benchmark per configurazioni di sicurezza predefinite per software che vanno dai sistemi operativi al middleware ai dispositivi di rete. I benchmark, che sono scaricati gratuitamente sul sito Web della CIS, hanno lo scopo di aiutare le organizzazioni a ridurre i rischi di sicurezza IT.

Ogni professionista della sicurezza ha definizioni diverse su come valutare le misure di sicurezza, ha detto Miuccio. Il CIS ha riunito 85 esperti di sicurezza delle informazioni per concordare metodi per misurare otto diverse metriche. Le metriche dovrebbero essere rilasciate alla fine di ottobre o agli inizi di novembre, ha detto Miuccio.

Due sono le metriche di "esito": il tempo medio tra gli incidenti di sicurezza e il tempo medio di recupero dagli incidenti di sicurezza. I rimanenti sei sono relativi al processo: la percentuale di sistemi configurati secondo standard approvati; la percentuale di sistemi applicati alla politica; percentuale di sistemi con tecnologia antivirus; percentuale di applicazioni aziendali che presentano una valutazione del rischio; percentuale di applicazioni aziendali che hanno una valutazione di penetrazione o vulnerabilità; e percentuale del codice dell'applicazione che ha una valutazione della sicurezza o una revisione del codice prima della distribuzione.

Insieme alle metriche, CIS prevede di lanciare nello stesso tempo un servizio basato su software per le aziende per confrontare come stanno facendo, in termini di sicurezza, contro altre società anonime nel loro mercato verticale. Questo tipo di confronto è già comunemente utilizzato per i risultati finanziari e altri aspetti delle prestazioni aziendali come il servizio clienti.

"Oggi non è fatto nella sicurezza delle informazioni", ha detto Miuccio. "Riteniamo che questo servizio inizierà ad abilitarlo."