Hvis du Information Security funksjoner som de fleste, utvikler det store mengder data om virksomhetens sikkerhets at den leverer på en jevnlig basis. Og vanligvis er det aldri blir lest.

"Det er en mangel på samarbeid mellom de to partene," sier Steve Durbin, administrerende direktør for Information Security Forum (ISF), en nonprofit organisasjon som forsker på og analyserer sikkerhet og risiko administrative spørsmål. "Hva er det felles språket som vi bør snakke? Hvordan kan vi, fra et sikkerhetsmessig ståsted, være fokusert på de riktige tingene fra et forretningsmessig perspektiv?"

Nyere forskning ved ISF har funnet ut at mange CISOs er rapportering av feil nøkkelindikatorer (KPI) og sentrale risikoindikatorer (KRIS). Durbin tilskriver dette til det faktum at de fleste CISOs har liten eller ingen interaksjon med publikum til hvem de rapporterer. Som et resultat, er de gjette på hva deres målgrupper trenger og savne merke når du forsøker å gi løpende ledelsesrapportering om emner som informasjonssikkerhet effektivitet, organisatoriske risiko og informasjonssikkerhet ordninger

[Relatert: 4. CISO ønskeliste elementer for 2 015]

"Hvis jeg ikke vet hva du gjør, hvordan kan jeg hjelpe deg? Jeg kommer til å gjøre noen antagelser om hva du gjør og jeg kan være helt feil, "Durbin sier. "Sikkerhets gutta er alltid snakk om kostnader. Hvis vi justere dette, kan sikkerhet gutta nå gå til virksomheten og si:" se, hvis dette er hva som er viktig for deg, er dette den rollen jeg kan spille for å hjelpe deg med å beskytte det , men jeg har ikke midler til en rekke årsaker. Virksomheten kan da ringe til om å finne midler til det problemet. Det er ikke lenger sikkerheten fyr problem, det er virksomhetens problem. "

4 trinn til KPIer og Kris

For å hjelpe sikkerhet avdelinger finne at felles fokus med virksomheten, har ISF utviklet en fire-fase, praktisk tilnærming til utviklings KPIer og Kris. Durbin sier denne tilnærmingen vil hjelpe informasjonssikkerhet funksjon svare proaktivt til behovene til virksomheten. Nøkkelen, sier han, er å ha de riktige samtaler med de rette menneskene

[Relatert: Textron er CISO på risiko, tech talent og mer].

ISF tilnærming er designet for å bli brukt på alle nivåer i en organisasjon, og består av fire faser:

1. Etablere relevans ved å engasjere å forstå virksomheten sammenheng, identifisere felles interesser og utvikle kombinasjoner av KPRs og Kris

2. Generere innsikt ved å engasjere til å produsere, kalibrere og tolke KPI /Kri kombinasjoner

3. Lag påvirkning ved å engasjere til å gi anbefalinger om felles interesser og ta avgjørelser om neste skritt

4. Lære og forbedre ved å delta for å utvikle lærings- og forbedringsplaner

I hjertet av ISF tilnærming er tanken på engasjement
. Engasjement bygger relasjoner og forbedrer forståelse, slik at CISO og sikkerhetsfunksjonen som en helhet for å bedre svare på behovene til virksomheten. Som en ekstra bonus, pleier det å åpne dører, slik at CISO å ha innflytelse utover bare rapportering.

engasjement begynner med de riktige data

Engasjement starter med å etablere relevans. I ISF tilnærming, betyr at å få riktige data, kalibrert og støttet av de riktige strukturer for de riktige målgruppene. At data må da brukes konsekvent på tvers av organisasjonen. Etablering relevans tar seks trinn, i henhold til ISF:

1. Forstå virksomheten konteksten

2. Identifisere målgrupper og samarbeidspartnere

3. Bestem felles interesser

4. Identifisere de viktigste informasjonssikkerhet prioriteringer

5. Design KPI /Kri kombinasjoner

6. Test og bekreft KPI /Kri kombinasjoner

[Relaterte: Sony og Chase: Ikke klandre CISO]

Når du har data, må du generere innsikt fra den. ISF sier pålitelige innsikt kommer fra forståelse KPIer og KRI. Generere innsikt omfatter følgende tre trinn:

1. Samle data

2. Produserer og kalibrering KPI /Kri kombinasjoner

3. Tolke KPI /Kri kombinasjoner for å utvikle innsikt

Med den innsikten i hånden, er det på tide å skape effekt, slik at informasjonen blir rapportert og presentert på en måte som er akseptert og forstått av alle involverte. Dette fører til beslutning og handling, som følger:

1. Enig til konklusjoner, forslag og anbefalinger

2. Produsere rapporter og presentasjoner

3. Forbered deg på å presentere og distribuere rapporter

4. Stede og bli enige om neste skritt

Det siste trinnet er å utvikle lærings- og forbedringsplaner basert på alt lært fra forrige trinn. Dette, i henhold til ISF tilnærming, vil føre til informerte beslutninger basert på en nøyaktig visning av resultater og risiko, noe som gir organisasjoner sikkerhet for at CISO og informasjonssikkerhet funksjon reagerer proaktivt til prioriteringer og andre behov i virksomheten.

"Nå som Cybersecurity har oppmerksomheten til styret, og informasjon risikoen er på agendaen, er CISOs blir bedt om stadig tøffere spørsmål om sikkerhet investering og risiko", sier Durbin. "Det har aldri vært viktigere for CISOs å være klar til å svare på disse spørsmålene og artikulere hvordan informasjonen sikkerhetsfunksjonen er å bidra til strategiske prioriteringer samtidig bidra til å balansere informasjon risiko."

Følg Thor på Google+