K:
Kuinka IT-turvallisuus voidaan mitata?
V:IT-turvallisuus on luonteeltaan aineeton ja vaikeasti mitattavissa oleva tavoite tai palvelu. Voi olla erittäin vaikeaa arvioida turvallisuussäännösten etuja tarkasti tai nähdä, kuinka hyvin turvajärjestelmät toimivat. Turva-alalla on kuitenkin syntynyt joitain parhaita käytäntöjä turvallisuusstrategioiden ja -järjestelmien tehokkuuden mittaamiseksi.
Yksi tapa mitata IT-tietoturvaa on taulukoida raportit kyberhyökkäyksistä ja kyberuhkista ajan myötä. Kartoittamalla nämä uhat ja vastaukset kronologisesti, yritykset voivat päästä lähemmäksi arvioimaan, kuinka hyvin turvajärjestelmät ovat toimineet niiden toteutuksen yhteydessä. Yritykset voivat myös selvittää avainasemassa olevissa turvallisuusasemissa olevia ihmisiä tarjoamaankseen eräänlaisen "riskien havaitsemisen", joka myös otetaan huomioon turvallisuuden vertailuanalyyseissä. Jotkut asiantuntijat suosittelevat sijoitetun pääoman tuoton seuraamista kysymällä oikeita kysymyksiä nettiturvallisuuden eturintamassa työskenteleville ja ottamalla kaikki saapuvat tiedot saadakseen paremman kuvan turvallisuustuloksista.
Yritykset voivat myös edistää tarkkuutta ja turvallisuuden mittaamista jakamalla tietoturva eri komponentteihin. Esimerkiksi päätepisteiden suojaus on tietoturvakäytäntöjen erityinen toteutus tietopäätepisteille, kuten älypuhelinten näytöt, tabletit ja tietokoneet. Muihin tietoturvan näkökohtiin sisältyy verkon kautta käytettävää tietoa, jossa ammattilaiset voivat käyttää verkon tarkistuspisteitä turvallisuusvertailun laatimiseksi tai mitata tietoturvaa muilla tavoilla.
Monille tietotekniikan ammattilaisille tietoturvan mittaus on "tulo sisään, sisään-lähtö" -prosessi, jossa tietoturva-asiantuntijat kokoavat tiedot tietoverkkouhista, syöttämällä ne tietokantaan ja laatiessaan informatiivisia raportteja. Tämäntyyppiset hienostuneet analyysit auttavat ohjaamaan turvallisuuskäytäntöjen arviointia ja auttavat ihmisiä päätöksentekijöitä käsittelemään turvallisuusstrategioiden muutoksenhallintaa. IT-tietoturvaan sisältyy yleensä "turvallisuuden elinkaari", jossa on useita vaiheita ja vaiheita uhkien torjumiseksi sen sijaan, että tarjotaan vain staattista suojaa.
