Q:
Ako sa dá merať bezpečnosť IT?
A:Bezpečnosť IT je svojou povahou nehmotným a ťažko merateľným cieľom alebo službou. Môže byť nesmierne ťažké presne vyhodnotiť prínos bezpečnostných ustanovení alebo zistiť, ako dobre bezpečnostné systémy fungujú. V bezpečnostnom priemysle sa však objavili niektoré osvedčené postupy na meranie účinnosti bezpečnostných stratégií a systémov.
Jedným zo spôsobov merania bezpečnosti IT je vytváranie správ o kybernetických útokoch a kybernetických hrozbách v priebehu času. Chronologickým mapovaním týchto hrozieb a reakcií sa spoločnosti môžu priblížiť k hodnoteniu toho, ako dobre fungujú bezpečnostné systémy pri ich implementácii. Spoločnosti môžu tiež skúmať osoby, ktoré sú v kľúčových bezpečnostných pozíciách, aby zabezpečili určitý druh „vnímania rizika“, ktorý tiež prispeje k bezpečnostnému porovnávaniu. Niektorí odborníci odporúčajú sledovať návratnosť investícií v oblasti bezpečnosti kladením správnych otázok tým, ktorí pracujú v popredných líniách kybernetickej bezpečnosti a prijímaním všetkých prichádzajúcich údajov poskytujú väčší obraz o bezpečnostných výsledkoch.
Spoločnosti môžu tiež podporovať meranie presnosti a bezpečnosti rozdelením zabezpečenia na jednotlivé komponenty. Napríklad zabezpečenie koncových bodov je špecifická implementácia bezpečnostných postupov pre koncové body údajov, ako sú obrazovky smartfónov, tablety a počítače. Medzi ďalšie aspekty bezpečnosti údajov patria údaje používané v sieti, kde odborníci môžu použiť kontrolné body siete na stanovenie bezpečnostných kritérií alebo meranie bezpečnosti iným spôsobom.
Pre mnohých odborníkov v oblasti IT je meranie bezpečnosti proces „vstup, vstup a výstup“, v ktorom odborníci v oblasti bezpečnosti zhromažďujú údaje o kybernetických hrozbách, vkladajú ich do databázy a prichádzajú s informačnými správami. Tieto typy sofistikovanej analýzy pomáhajú riadiť hodnotenie bezpečnostných postupov a pomáhajú ľudským činiteľom s rozhodovacou právomocou zaoberať sa riadením zmien bezpečnostných stratégií. Vo všeobecnosti zahŕňa bezpečnosť IT „životný cyklus bezpečnosti“ s niekoľkými krokmi a fázami, ktoré reagujú na hrozby, a nie iba poskytujú statický typ ochrany.
