메트릭은 수량화 가능한 절차를 기반으로 하는 차원 시스템을 정의합니다. 유용한 메트릭은 데이터 기밀성과 같은 보호 목표가 충족되고 있는 정도를 가리키며 조직의 완전한 보안 프로그램을 찾기 위해 취해진 조치를 유도합니다. 개인 정보 보호는 정보 개인 정보 보호와 같이 우리의 사적인 규모에 대해 다른 사람이 액세스할 수 있는 권한을 행사하는 것으로 설명할 수 있습니다.
메트릭은 보안 경영진이 보호 프로그램의 여러 구성 요소의 효율성, 특정 시스템, 제품 또는 프로세스의 보안, 조직 내 직원이나 부서가 보안 영역을 다루는 적성을 식별하는 효과적인 장치가 될 수 있습니다. 책임을 져야 합니다.
메트릭은 또한 주어진 조치를 취하지 않을 때의 위험 수준을 식별하는 데 도움이 될 수 있으며 이러한 방식으로 대응 조치의 우선 순위를 정하는 지침을 제공할 수 있습니다. 또한 조직 내부의 보안 경보 수준을 높이는 데 사용할 수 있습니다.
다음과 같은 보안 측정의 다양한 측면이 있습니다 -
-
정확성과 효율성 − 정확성은 보안 강화 접근 방식이 올바르게 실행되었다는 보장을 의미합니다(예:일부 계산 구현과 같이 제안된 작업을 정확하게 수행). 효율성은 시스템의 보안 강화 접근 방식이 선언된 보안 목표를 충족한다는 확신을 의미합니다(즉, 유연성에 대한 기대치를 충족하면서 제안된 것 외에는 아무 것도 하지 않음).
-
선행 대 후행 지표 − 선행 및 포괄 지표는 보안 변경 이전 또는 이후에 해당하는 보안 상황을 재현합니다. 짧은 대기 시간 절차 또는 지연 시간을 포함하는 보안 메트릭은 대기 시간 절차가 긴 것보다 선호됩니다. 일부 보안 메트릭은 지연 마커로 간주될 수 있습니다.
-
조직 보안 목표 − 조직은 여러 가지 이유로 구성되어 있고, 여러 자산을 보유하고 있으며, 대중에게 다양하게 노출되고, 서로 다른 위협에 직면하고, 위험에 대한 내성이 다릅니다. 여러 차이점으로 인해 보안 목표는 상당히 다를 수 있습니다. 보안 메트릭은 일반적으로 조직이 보안 목표를 얼마나 잘 달성하고 있는지 확인하는 데 사용됩니다.
-
질적 및 양적 속성 − 보안 속성의 정량적 프로세스를 상징하는 정성적 할당을 생성할 수 있습니다(예:낮음은 취약성이 없음을 의미, 중간은 1~5개 중 발견, 높음은 5개 이상 발견). 여러 보안 자산에 대한 정량적 평가도 가중치를 부여하고 공유하여 복합 가치를 변경할 수 있습니다.
-
큰 것과 작은 것의 측정 − 보안 측정은 연산의 초점이 크고 복잡한 것보다 작고 단순할 때 훨씬 더 승리하는 것으로 확인되었습니다. 시스템의 여러 구성 요소가 확장됨에 따라 가능한 상호 작용의 수는 구성 요소 수의 제곱으로 증가합니다.