カジノサイト

リスク監視活動を測定する方法

理想的には、企業はデータを使用して、セキュリティ機能の内外で最も重要な決定を通知し、状況を説明する必要があります。しかし、リスクの監視や脅威の軽減など、本質的に目に見えにくいセキュリティ サービスの価値と有効性を測定するための正確なデータの取得は、多くの場合、単純な損益計算よりもはるかに複雑です。

適切に設計され実装されたセキュリティ プログラムは通常、シームレスで目に見えないことを目指しており、脅威を十分に防止および軽減するため、組織内の多くの人はリスクの存在に気づきません。しかし、成功が何も起こらなかったことを意味する場合、セキュリティ チームはプログラムの有効性をより適切に測定し、明確にするにはどうすればよいでしょうか?ほとんどのセキュリティ プログラムは、その貢献を金額に簡単に関連付けることはできませんが、それは、それらのプログラムがビジネスに直接的かつ重要な貢献をしていないこと、またはその影響を示す指標が存在しないことを意味するものではありません。

セキュリティ プログラムの有効性を測定する方法はいくつかあります。チームの成功を実証する同時に、セキュリティ プログラムが組織の成長を継続的にサポートし、その目標に貢献できるようにするために、リソースと人員を補充する必要があるギャップも強調しています。おそらく最も重要なのは、これらのベンチマークを定義して測定することで、セキュリティ チームや大規模な組織が新たなリスクや将来の脅威環境に備えるための基盤を提供できることです。

最も重要な指標を理解する

特にセキュリティ業界では、監視する適切な指標を選択するための万能のソリューションはありません。追跡する必要がある最も重要なセキュリティ プログラムの指標を検討するときは、すべてを特定の組織の目標、戦略、優先順位というレンズを通して見る必要があります。追跡すべき最も重要な指標は、組織の最も重要な活動に明確かつ直接関連する指標です。通常、収益をもたらす活動には直接的なつながりがありますが、すべての組織に当てはまるわけではありません。 

組織の最も重要なビジネス プロセスと業務をサポートするセキュリティ プログラムについて考えることから始め、それらのプログラムの成功をどのように定義するかを検討してください。おそらく、分析および追跡できる興味深く有用なデータ ポイントが多数見つかるでしょう。しかし、関心のあるポイントを測定および追跡できるからといって、それがチームにとって有益であるとは限りません。最も有用な指標のカテゴリは次のとおりです:

• 関連します。追跡するのが最も簡単な指標は、多くの場合、最も関連性が低いことが判明します。理想的には、追跡する指標はセキュリティ組織内で有用で関連性があるだけでなく、より大きな組織の成功の重要な部分として追跡されるべきです。
• 対応可能。追跡することを選択した指標は、セキュリティ チームまたは組織が実行できるアクションに関連付けられている必要があります。チームがアクションを起こすことが期待されていないもの、またはチームのアクションが影響を与えないものは測定しないでください。セキュリティ チームやより広範なビジネスによる効果的なビジネス上の意思決定に情報を提供できるメトリクスが多ければ多いほど、モニタリングの有用性は高まります。
• 費用対効果が高い。多くのことを測定して追跡することは便利かもしれませんが、追跡することを選択した指標がコストに見合うものであることを確認してください。最終的なコストには、データの金銭的コスト、収集時間、データを評価するための分析作業が含まれます。 

指標監視プロセスをゼロから開始する場合は、1 ～ 3 つの指標だけから始めて、最終的な目標およびより広範な組織に対するそれらの有用性を再評価することが役立つ場合があります。 

プログラムの効果の測定とベンチマーク

監視すべき最も重要な項目の短いリストを作成したら、それらの各指標の進捗を測定する最適な方法を考えてください。次に、収集する情報に基づいてどのような決定を下せるかを検討します。たとえば、特定のメトリクスがプログラム内で何らかのアクションをトリガーする必要があるかどうかなどです。可能であれば、財務測定は通常、プログラムの価値を最も具体的に示しますが、セキュリティ プログラムでは、財務測定は費用対効果が最も低く、取得と監視に最も時間がかかる場合もあります。 

作品に似ています最も適切な指標の特定追跡するには、これらの指標の測定がプログラムの実際のパフォーマンスに関連していることを確認するために創造性を発揮することを恐れないでください。メトリクスの品質と関連性は、ほとんどの場合、収集できるデータの量よりも重要です。たとえば、組織に対する暴力的脅威の数を数えることは、監視の欠如または報告メカニズムの認識の欠如によりその数が正確でないと思われる理由がある場合、特に有用な数値ではない可能性があります。主要なセキュリティ プログラムや目的についての従業員の理解度調査など、プログラムのパフォーマンスの定量的な尺度を作成することは役立つかもしれませんが、最も関連性の高いデータのみを確実に取得することが重要です。

また、組織内の他の人々との友好関係を燃やすことは、指標を取得するメリットがほとんどないことにも留意してください。  

場合によっては、評価にニュアンスを与えてより多くの価値を生み出すために、指標内で分類を作成すると便利な場合があります。たとえば、調査を行うプログラムの場合、労力、速度、パフォーマンスのレベルを正確に反映できるように、複雑さに基づいて各調査を分離すると便利な場合があります。コレクションの正直な費用便益分析により、メトリクスをさらに分類することが有用かつ効果的なステップであるかどうかを判断することができます。 

最終的には、収集して測定した指標は、チームが 2 つの重要な分野でプログラムの有効性を証明するのに役立つはずです。まず、主要な期間におけるパフォーマンスの変化やプログラムの有効性の変化を実証することで、組織は時間の経過に伴う変化を理解できるようになります。第 2 に、傾向の分析により、アクティビティとパフォーマンスのパターンを確立し、特定のイベントやプログラムの変更を対応するパフォーマンスのレベルと関連付けることができます。たとえば、チームの主要人物を失うと、特定のプログラムの有効性が低下する可能性がありますが、新しいツールを取得すると、プログラムの使用量が増加したり、他のプログラムへの従業員の関与が増加したりする可能性があります。

可能であれば、特定のプログラム内で積極的に行動することの利点とコスト削減を明確にし、最もコストのかかる介入が必要となる直接的な脅威となる前に、特定のリスクを軽減できなかった場合のコストを特定することも役立つかもしれません。 

針を動かす

セキュリティ専門家は、プログラムの成果を文書化する最適な方法を知るという課題に直面していますが、チームの継続的な貢献と組織への関連性を確保するには、主要な指標を特定して追跡することが重要です。他のビジネス機能と同様に、成長、収益、または生産性を促進するためにチームがどのように取り組んでいるかを示すデータを提示することは、プログラムの価値を実証し、重要な目標を達成し、ビジネス全体のリスクを軽減する責任を共有するために、より大きな組織の賛同を得るための重要な方法です。 

セキュリティ チームは、従業員、物理的資産、業務を幅広いリスクから安全に保つために日々の意思決定を行っています。適切なデータを使用してこれらの取り組みの有効性を実証することは、セキュリティ チームがプログラムにふさわしい信頼、信頼、サポートを獲得するのに役立ちます。

Thomas Kopecky は Ontic の最高戦略責任者であり、保護インテリジェンス プログラムを開発し、クライアントが Ontic の経済的価値を最大化できるようサポートするセキュリティ インテリジェンスの専門家のチームを率いながら、企業戦略を監督しています。彼はまた、保護インテリジェンスと脅威評価における長年の経験を Ontic Center for Protective Intelligence に役立てています。 Ontic に入社する前に、Kopecky は、グローバルな脅威評価とセキュリティ コンサルティング、および訴訟サポート問題と保護セキュリティ アプリケーションの両方に関する情報収集に重点を置いた 2 つのブティック サービス会社を設立しました。