Q:
จะวัดความปลอดภัยของไอทีได้อย่างไร?
A:การรักษาความปลอดภัยด้านไอทีนั้นเป็นไปตามธรรมชาติหรือวัตถุประสงค์หรือบริการที่จับต้องไม่ได้และยากต่อการวัด มันอาจเป็นเรื่องยากอย่างยิ่งที่จะประเมินประโยชน์ของข้อกำหนดด้านความปลอดภัยอย่างแม่นยำหรือเพื่อดูว่าระบบความปลอดภัยทำงานได้ดีเพียงใด อย่างไรก็ตามในอุตสาหกรรมความปลอดภัยมีแนวทางปฏิบัติที่ดีที่สุดสำหรับการวัดประสิทธิภาพของกลยุทธ์และระบบรักษาความปลอดภัย
วิธีหนึ่งในการวัดความปลอดภัยด้านไอทีคือการจัดทำรายงานการโจมตีทางไซเบอร์และภัยคุกคามทางไซเบอร์ในช่วงเวลาหนึ่ง ด้วยการทำแผนที่การคุกคามและการตอบสนองตามลำดับเวลา บริษัท ต่างๆสามารถเข้าใกล้การประเมินว่าระบบความปลอดภัยทำงานได้ดีเพียงใดเมื่อดำเนินการ บริษัท ต่างๆยังสามารถสำรวจคนที่อยู่ในตำแหน่งความปลอดภัยที่สำคัญเพื่อจัดให้มี "การรับรู้ความเสี่ยง" ที่จะป้อนเข้าสู่การเปรียบเทียบด้านความปลอดภัย ผู้เชี่ยวชาญบางคนแนะนำให้ติดตามผลตอบแทนความปลอดภัยจากการลงทุนโดยถามคำถามที่ถูกต้องของผู้ที่ทำงานในแนวหน้าของการรักษาความปลอดภัยทางไซเบอร์และนำข้อมูลขาเข้าทั้งหมดเพื่อให้ภาพที่ใหญ่ขึ้นสำหรับผลการรักษาความปลอดภัย
บริษัท ต่างๆสามารถส่งเสริมความแม่นยำและการวัดความปลอดภัยโดยการแบ่งความปลอดภัยออกเป็นองค์ประกอบต่าง ๆ ตัวอย่างเช่นความปลอดภัยของอุปกรณ์ปลายทางคือการใช้วิธีปฏิบัติด้านความปลอดภัยโดยเฉพาะสำหรับอุปกรณ์ปลายทางเช่นหน้าจอสมาร์ทโฟนแท็บเล็ตและพีซี ด้านอื่น ๆ ของความปลอดภัยของข้อมูลเกี่ยวข้องกับข้อมูลที่ใช้งานผ่านเครือข่ายซึ่งผู้เชี่ยวชาญอาจใช้จุดตรวจสอบเครือข่ายเพื่อสร้างมาตรฐานความปลอดภัยหรือวัดความปลอดภัยด้วยวิธีอื่น ๆ
สำหรับมืออาชีพด้านไอทีจำนวนมากการวัดความปลอดภัยเป็นกระบวนการ "อินพุตเข้าออก" ซึ่งผู้เชี่ยวชาญด้านความปลอดภัยรวมข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์เข้าสู่ฐานข้อมูลและจัดทำรายงานข้อมูล การวิเคราะห์ที่ซับซ้อนประเภทนี้ช่วยผลักดันการประเมินความปลอดภัยและช่วยให้ผู้มีอำนาจตัดสินใจจัดการกับการจัดการการเปลี่ยนแปลงสำหรับกลยุทธ์ความปลอดภัย โดยทั่วไปการรักษาความปลอดภัยด้านไอทีนั้นเกี่ยวข้องกับ "วงจรชีวิตความปลอดภัย" ที่มีหลายขั้นตอนและหลายขั้นตอนเพื่อตอบสนองต่อภัยคุกคามมากกว่าเพียงแค่ให้การป้องกันประเภทคงที่
