Se dovete presentare le metriche di cybersecurity al vostro consiglio di amministrazione, è essenziale selezionare metriche che siano d'impatto, comprensibili e rilevanti per i risultati aziendali.
Ecco le migliori metriche da includere nei vostri rapporti:
L'importanza dell'MTTD risiede nel suo impatto diretto sulla capacità di un'organizzazione di rispondere e mitigare efficacemente le minacce alla sicurezza informatica. Un MTTD più breve indica una postura di cybersecurity più efficiente e proattiva, consentendo una più rapida identificazione e risposta alle potenziali minacce. La rapidità di rilevamento è fondamentale per minimizzare i danni causati dagli attacchi informatici, ridurre i tempi di inattività e proteggere i dati sensibili.
Le organizzazioni cercano di ottimizzare l'MTTD impiegando soluzioni avanzate di cybersecurity, come l'AI e gli algoritmi di apprendimento automatico, che possono analizzare grandi quantità di dati e rilevare anomalie indicative di potenziali incidenti di sicurezza. Riducendo l'MTTD, le aziende possono migliorare in modo significativo la loro resilienza e prontezza complessiva contro il panorama in continua evoluzione delle minacce informatiche.
Il tempo medio di rilevamento (MTTD) si calcola misurando l'intervallo di tempo tra il verificarsi iniziale di un incidente di sicurezza e il suo rilevamento da parte del team di sicurezza. La formula per il calcolo del MTTD è relativamente semplice:
MTTD=Tempo totale per rilevare tutti gli incidenti / Numero di incidenti rilevati
Ecco una descrizione passo per passo del processo di calcolo:
Il risultato fornisce il tempo medio necessario ai sistemi o al team di sicurezza per rilevare un incidente. Un MTTD più basso è generalmente migliore, in quanto indica che gli incidenti vengono rilevati più rapidamente, consentendo una risposta e una mitigazione più rapide.
Le organizzazioni spesso tengono traccia dell'MTTD per valutare l'efficacia dei propri strumenti e processi di monitoraggio della sicurezza. I miglioramenti tecnologici, come le piattaforme di sicurezza basate sull'intelligenza artificiale, possono contribuire a ridurre l'MTTD identificando e segnalando rapidamente le attività anomale che potrebbero indicare una violazione della sicurezza.
La determinazione di un "buon" tempo medio di rilevamento (MTTD) dipende in larga misura dal contesto specifico di un'organizzazione, compresi il settore, le dimensioni, la complessità dell'infrastruttura IT e la natura dei dati gestiti. Tuttavia, in generale, un MTTD più breve è preferibile, in quanto indica che le potenziali minacce alla sicurezza vengono rilevate più rapidamente, consentendo una risposta e una mitigazione più rapide.
Ecco alcuni fattori da considerare per valutare quale potrebbe essere un buon MTTD per una particolare organizzazione:
Sebbene non esista una risposta univoca per tutti, come regola generale le organizzazioni dovrebbero puntare al MTTD più basso possibile nel contesto delle loro operazioni e dell'ambiente delle minacce. Il monitoraggio e il miglioramento continui sono fondamentali, con l'obiettivo di rilevare e rispondere alle minacce il più rapidamente possibile per ridurre al minimo i danni potenziali.
L'MTTR misura l'efficienza e la velocità con cui un'organizzazione può affrontare e mitigare gli effetti di una minaccia di cybersecurity rilevata.
Comprende l'intero processo di risposta a un incidente, compresa l'identificazione della causa principale, il contenimento della minaccia, l'eliminazione dell'elemento dannoso e il ripristino del normale funzionamento dei sistemi.
L'MTTR si calcola dividendo il tempo totale impiegato per rispondere e risolvere gli incidenti per il numero di incidenti in un determinato periodo:
MTTR=Total Time Spent on Responding and Resolving Incidents / Number of Incidents (tempo totale speso per rispondere e risolvere gli incidenti).
Per scomporre il tutto:
Il risultato è il tempo medio necessario per rispondere e risolvere un singolo incidente. È importante notare che l'MTTR comprende l'intero processo, dal momento in cui viene rilevato un incidente fino alla sua completa risoluzione.
Un buon tempo medio di risposta (MTTR) dipende dal contesto e varia in base alla natura delle operazioni di un'organizzazione, alla complessità del suo ambiente IT e ai tipi di minacce che deve affrontare. Tuttavia, alcuni principi generali possono guidare quello che potrebbe essere considerato un buon MTTR:
In sintesi, un buon MTTR è quello che riflette capacità di risposta rapide ed efficaci, adattate al contesto specifico dell'organizzazione e confrontate con gli standard del settore e gli obiettivi di miglioramento continuo.
Il tasso di rilevamento è la percentuale di minacce reali alla sicurezza che vengono identificate con successo da un sistema di sicurezza.
È un indicatore di prestazioni chiave per gli strumenti di sicurezza come i sistemi di rilevamento delle intrusioni (IDS), il software antivirus e altre soluzioni di rilevamento delle minacce.
Il tasso di rilevamento viene solitamente calcolato come rapporto tra il numero di rilevamenti veri positivi (minacce effettive identificate correttamente) e il numero totale di minacce effettive.
La formula è tipicamente:
Tasso di rilevamento=(Numero di veri positivi / Totale minacce effettive) × 100%.
Un tasso di rilevamento elevato indica che un sistema di sicurezza è efficace nell'identificare le minacce reali, il che è fondamentale per prevenire le violazioni della sicurezza.
Riflette anche la capacità del sistema di distinguere tra attività legittime e attività dannose, riducendo così al minimo i falsi negativi (quando una minaccia reale viene ignorata).
Un "buon" tasso di rilevamento è quello sufficientemente alto da garantire l'identificazione della maggior parte delle minacce reali, bilanciando al contempo la necessità di ridurre al minimo i falsi positivi. Sebbene il tasso di rilevamento ideale possa variare a seconda del contesto specifico di un'organizzazione, della sua tolleranza al rischio e della natura delle minacce che deve affrontare, esistono delle linee guida generali da considerare:
In sintesi, un buon tasso di rilevamento è quello che massimizza il rilevamento delle minacce reali mantenendo un livello gestibile di falsi positivi e deve essere costantemente valutato rispetto all'evoluzione delle minacce e ai benchmark di settore.
Il tasso di falsi positivi misura la percentuale di queste identificazioni errate rispetto a tutti gli avvisi di sicurezza generati.
Tassi elevati di falsi positivi possono portare a una "stanchezza da allarme", in cui i professionisti della sicurezza vengono sommersi da falsi allarmi e possono inavvertitamente trascurare le vere minacce. Può anche portare a uno spreco di risorse, in quanto i team spendono tempo per indagare e rispondere a incidenti che non sono minacce reali.
Il tasso di falsi positivi è in genere calcolato come il numero di avvisi falsi positivi diviso per il numero totale di avvisi di sicurezza (sia veri che falsi positivi).
Tasso di falsi positivi = (numero di falsi positivi / numero totale di segnalazioni) × 100%.
Il livello accettabile del tasso di falsi positivi può variare a seconda delle dimensioni dell'organizzazione, della natura dell'attività e della tolleranza al rischio. Alcuni ambienti possono preferire un tasso più alto per garantire che non vengano perse minacce reali, mentre altri possono puntare a un tasso più basso per ottimizzare l'utilizzo delle risorse.
Il Risk Score è uno strumento fondamentale per comprendere, valutare e dare priorità ai rischi di cybersecurity.
Il punteggio di rischio è in genere un valore numerico che sintetizza vari fattori di rischio in un'unica metrica completa. Aiuta le organizzazioni a valutare la probabilità e l'impatto potenziale delle minacce alla sicurezza informatica, facilitando il processo decisionale informato sulla gestione del rischio e sulle strategie di mitigazione.
Quantificando il rischio, i Risk Score facilitano la comunicazione dei problemi di cybersecurity con gli stakeholder non tecnici, compresi i dirigenti e i membri del consiglio di amministrazione.
Sono parte integrante dei programmi di sicurezza basati sul rischio, che allocano le risorse e gli sforzi in base ai livelli di rischio quantificati.
I punteggi di rischio vengono calcolati utilizzando varie metodologie, spesso incorporando dati provenienti da valutazioni di vulnerabilità, feed di intelligence sulle minacce, incidenti di sicurezza passati e l'efficacia dei controlli di sicurezza attuali.
La formula esatta può variare a seconda degli strumenti specifici e dei quadri di valutazione del rischio utilizzati da un'organizzazione.
I punteggi di rischio non sono statici; devono essere aggiornati regolarmente per riflettere le nuove vulnerabilità, le minacce emergenti e i cambiamenti nell'ambiente aziendale o informatico.
Il tempo di esposizione della vulnerabilità rappresenta la finestra di opportunità per gli aggressori di sfruttare la vulnerabilità.
Il tempo di esposizione delle vulnerabilità è un parametro chiave per la gestione del rischio e la definizione delle priorità. Le organizzazioni spesso danno priorità alle patch in base alla gravità della vulnerabilità e alla criticità del sistema interessato.
Inoltre, aiuta a valutare l'efficacia dei processi di gestione delle patch e delle vulnerabilità di un'organizzazione.
Tracciare e ridurre al minimo il tempo di esposizione alle vulnerabilità fa parte di una strategia di sicurezza proattiva. Dimostra l'impegno di un'organizzazione a mantenere una solida posizione di sicurezza.
Il calcolo consiste tipicamente nel determinare l'intervallo di tempo tra la data in cui una vulnerabilità viene divulgata o scoperta pubblicamente e la data in cui viene applicata una patch o una correzione.
Ad esempio, se una vulnerabilità viene divulgata il 1 gennaio e patchata il 10 gennaio, il tempo di esposizione della vulnerabilità è di 9 giorni.
Più lungo è il tempo di esposizione della vulnerabilità, maggiore è il rischio che un aggressore sfrutti la vulnerabilità, portando potenzialmente a violazioni della sicurezza. Ridurre al minimo questo tempo è fondamentale per ridurre il rischio di attacchi informatici.
Il tasso di incidenti è un indicatore chiave della salute complessiva della sicurezza di un'organizzazione e dell'efficacia delle sue misure di sicurezza informatica.
L'Incident Rate può influenzare la strategia di cybersecurity di un'organizzazione, inducendo a rivedere e modificare le policy di sicurezza, i programmi di formazione dei dipendenti e i piani di risposta agli incidenti.
Inoltre, può favorire miglioramenti in aree quali il rilevamento delle minacce, la valutazione dei rischi e le misure preventive.
In genere, il tasso di incidenti viene calcolato dividendo il numero totale di incidenti di sicurezza per il periodo di tempo in cui sono stati osservati, spesso espresso come incidenti al mese o all'anno.
Ad esempio, se un'organizzazione ha registrato 24 incidenti di sicurezza nel corso di un anno, il suo tasso di incidenti sarebbe di 2 incidenti al mese.
L'importanza di un tasso di incidenti può variare a seconda delle dimensioni dell'organizzazione, del settore e del tipo di dati gestiti. Ad esempio, i settori soggetti a una rigorosa conformità normativa (come quello finanziario o sanitario) potrebbero avere una minore tolleranza per gli incidenti di sicurezza.
È importante fare un benchmark con organizzazioni simili o con le medie del settore per ottenere una comprensione più significativa del tasso di incidenti.
La metrica del costo per incidente è fondamentale per comprendere le implicazioni economiche delle violazioni della sicurezza e per guidare una gestione efficace del rischio e degli investimenti in misure di cybersecurity.
La comprensione del costo per incidente aiuta le organizzazioni a valutare l'impatto finanziario delle violazioni della sicurezza e l'importanza di investire in misure di cybersecurity efficaci.
Fornisce una base per confrontare i costi delle misure preventive con le perdite potenziali derivanti dagli incidenti, aiutando nelle decisioni di budgeting e di allocazione delle risorse.
Questa metrica aiuta a comunicare il valore degli investimenti in cybersecurity agli stakeholder e a giustificare gli stanziamenti di budget. Inoltre, incoraggia un approccio proattivo alla cybersecurity, sottolineando la necessità di solide misure preventive per evitare incidenti costosi.
Il calcolo del costo per incidente consiste nel sommare tutti i costi diretti e indiretti associati a un incidente di sicurezza e dividerlo per il numero totale di incidenti.
Ad esempio, se un'organizzazione sostiene costi per 1 milione di dollari a causa di 10 incidenti di sicurezza in un anno, il costo per incidente sarà di 100.000 dollari.
Il costo per incidente può variare notevolmente a seconda della natura e della gravità dell'incidente, delle dimensioni dell'organizzazione, del settore in cui opera e della sensibilità dei dati coinvolti.
Le organizzazioni che operano in settori altamente regolamentati o che gestiscono dati sensibili possono dover affrontare costi più elevati a causa dei requisiti di conformità più severi e del potenziale danno alla reputazione.
Il tasso di conformità misura l'impegno dell'organizzazione nel mantenere un ambiente IT sicuro e conforme.
Il monitoraggio del tasso di conformità aiuta le organizzazioni a identificare le aree in cui si trovano in difetto e a intraprendere azioni correttive. È essenziale per la pianificazione strategica, soprattutto nella gestione del rischio e nella governance aziendale.
Un elevato tasso di conformità è fondamentale per ridurre al minimo i rischi legali e normativi. La non conformità può comportare multe significative, ripercussioni legali e danni alla reputazione. Inoltre, svolge un ruolo fondamentale nella costruzione e nel mantenimento della fiducia dei clienti, soprattutto nei settori in cui la sicurezza dei dati è fondamentale.
Il tasso di conformità può essere calcolato in vari modi, a seconda dei requisiti e degli standard specifici applicabili all'organizzazione. Spesso si tratta di valutare la conformità su una serie di criteri e di calcolare una percentuale di conformità totale.
Ad esempio, se un'organizzazione è conforme a 90 criteri su 100, il suo tasso di conformità sarà del 90%.
La conformità non è un risultato da raggiungere una volta sola, ma richiede un monitoraggio costante e un miglioramento continuo per adattarsi alle nuove normative e all'evoluzione del panorama delle minacce.
Il livello di consapevolezza degli utenti misura quanto il personale sia informato sulle varie minacce alla sicurezza informatica (come phishing, malware, ecc.), sulle potenziali conseguenze delle violazioni della sicurezza e sulle migliori pratiche per prevenire tali incidenti.
Inoltre, valuta la capacità dei dipendenti di riconoscere e rispondere in modo appropriato alle minacce alla sicurezza.
Poiché l'errore umano o la mancanza di consapevolezza sono spesso un fattore significativo nelle violazioni della sicurezza, un elevato livello di consapevolezza degli utenti è fondamentale per rafforzare la postura complessiva dell'organizzazione in materia di sicurezza informatica.
La formazione dei dipendenti riduce la probabilità di incidenti di sicurezza causati da errori dei dipendenti, li autorizza a contribuire attivamente alla sicurezza dell'organizzazione e migliora l'efficacia complessiva della strategia di cybersecurity.
Il mantenimento di un elevato livello di consapevolezza da parte degli utenti è un processo continuo, che richiede aggiornamenti e rinforzi regolari in base all'evoluzione delle minacce e all'emergere di nuove tecnologie.
Comprendere e sfruttare efficacemente le metriche di cybersecurity è fondamentale per migliorare la postura di sicurezza dell'organizzazione. Noi di Vectra AI forniamo funzionalità avanzate di analisi e reporting per aiutarvi a misurare, analizzare e migliorare le vostre prestazioni di cybersecurity. Contattateci oggi stesso per scoprire come le nostre soluzioni possono potenziare il vostro team SOC con approfondimenti pratici e far progredire la vostra strategia di sicurezza.