Untuk Merilis Metrik Seragam untuk Mengukur Keamanan TI

Pusat Keamanan Internet (CIS) diatur untuk memberikan panduan bagaimana perusahaan dapat mengukur keadaan keamanan organisasi mereka dan meluncurkan layanan bagi perusahaan untuk membandingkan kinerja mereka dengan rekan-rekan mereka.

Proyek CIS terbaru ditujukan untuk menyelesaikan kebingungan dan kurangnya keseragaman dalam cara mengukur apakah keamanan TI perusahaan atau organisasi meningkat atau tidak, kata Bert Miuccio, CEO CIS.

"Masalah yang kami sadari adalah bahwa keamanan informasi para profesional benar-benar semakin bingung bagaimana mendefinisikan kesuksesan, "kata Miuccio. "Mereka tahu bahwa kepatuhan dengan persyaratan peraturan dan kerangka kerja audit tidak selalu menghasilkan peningkatan keamanan dan bukan ukuran keberhasilan terbaik."

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

CIS adalah organisasi nonprofit yang didanai oleh perusahaan dan organisasi lain yang berkepentingan dengan keamanan. Sejak dibentuk pada tahun 2000, telah menciptakan 40 tolok ukur untuk konfigurasi keamanan standar untuk perangkat lunak mulai dari sistem operasi hingga middleware ke perangkat jaringan. Tolok ukur, yang dapat diunduh gratis di situs Web CIS, dimaksudkan untuk membantu organisasi mengurangi risiko keamanan TI.

Setiap profesional keamanan memiliki definisi yang berbeda untuk cara mengevaluasi langkah-langkah keamanan, kata Miuccio. CIS telah mengumpulkan 85 ahli keamanan informasi untuk menyetujui metode-metode untuk mengukur delapan metrik yang berbeda. Metrik ini harus dirilis pada akhir Oktober atau awal November, kata Miuccio.

Dua adalah metrik "hasil": waktu rata-rata antara insiden keamanan dan waktu rata-rata untuk pulih dari insiden keamanan. Enam sisanya terkait dengan proses: persentase sistem yang dikonfigurasi untuk standar yang disetujui; persentase sistem yang ditambal untuk kebijakan; persentase sistem dengan teknologi antivirus; persentase aplikasi bisnis yang memiliki penilaian risiko; persentase aplikasi bisnis yang memiliki penilaian penetrasi atau kerentanan; dan persentase kode aplikasi yang memiliki penilaian keamanan atau tinjauan kode sebelum penerapan.

Bersama dengan metrik, CIS berencana untuk meluncurkan sekitar waktu yang sama layanan berbasis perangkat lunak bagi perusahaan untuk membandingkan bagaimana mereka lakukan, dalam hal keamanan, melawan perusahaan anonim lainnya di pasar mereka secara vertikal. Jenis perbandingan ini sudah umum digunakan untuk hasil keuangan dan aspek lain dari kinerja bisnis seperti layanan pelanggan.

"Itu tidak dilakukan dalam keamanan informasi hari ini," kata Miuccio. "Kami percaya bahwa layanan ini akan mulai mengaktifkannya."