Berikut adalah metrik keamanan siber yang umum digunakan untuk mengamankan aplikasi web yang bisa anda berikan ke C- Level anda. Semua metrik sebaikanya di perhatikan dan terus dipantau sebagai nilai terbaru maupun tren yang terbaru.
Jumlah total kerentanan
Mekanisme pelaporan Acunetix sangat berguna untuk menyediakan metrik ini karena kemampuan penilaian kerentanan otomatis. Acunetix secara otomatis mengklasifikasikan kerentanan menurut tingkat keparahannya berdasarkan potensi dampak, kemudahan eksploitasi, dan banyak lagi.
Contohnya, CTO anda ingin kerentanan diklasifikasikan menurut dampak bisnis dari aset web – misalnya, kerentanan utama di situs pemasaran kecil mungkin memiliki dampak yang jauh lebih kecil daripada kerentanan kecil dalam sistem keuangan utama.
Acunetix juga dapat membantu Anda memantau hal ini, tetapi Anda perlu memasukkan data dasar secara manual. Oleh karena itu, Anda harus terus mengevaluasi dampak bisnis dari setiap aset web dan memodifikasinya di Acunetix sebagai parameter target pemindaian.
Kerentanan yang berulang
Jumlah kerentanan yang berulang adalah ukuran yang sangat penting dari efisiensi proses remediasi serta kualitas pengetahuan pengembang. Jika kerentanan yang sama dalam aset web yang sama ditemukan kembali selama beberapa pemindaian kerentanan berturut-turut, itu berarti kerentanan tersebut tidak diperbaiki. Fakta bahwa itu tidak diperbaiki biasanya berarti tidak ada cukup sumber daya untuk memperbaikinya, yang mungkin penting bagi perusahaan.
Waktu pemulihan rata-rata
Metrik penting lainnya (sekali lagi, berguna untuk dibagi lagi ke dalam kelas keparahan yang berbeda) adalah waktu yang biasanya diperlukan untuk memperbaiki kerentanan. Data waktu respons ini dapat diperoleh langsung dari pemindai (waktu antara penemuan pertama kerentanan dan kemunculan terakhir kerentanan ini), atau dari alat manajemen kerentanan/pelacakan masalah.
Biaya perbaikan
C- level anda juga berfokus pada anggaran IT perusahaan, oleh karena itu informasi keuangan sangat berharga bagi mereka. Sayangnya, mendapatkan data tentang biaya remediasi tidak semudah dalam kasus pengukuran sebelumnya karena tidak dapat diperoleh langsung dari pemindai kerentanan. Pemindai kerentanan dapat mengevaluasi berapa lama waktu yang dibutuhkan untuk memperbaiki kerentanan tetapi tidak dapat mengevaluasi berapa lama kerentanan tersebut terjebak dalam antrian dan berapa banyak waktu dan upaya yang diperlukan pengembang untuk memperbaikinya.
Jumlah insiden keamanan siber
Selain potensi ancaman siber dan vektor serangan, seperti kerentanan
aplikasi web, manajeman atau C-level anda juga harus mengetahui tentang insiden keamanan siber yang terkait dengan potensi vektor serangan siber ini. Informasi ini diperlukan untuk mempertahankan program manajemen risiko yang efektif.
Sementara metrik sebelumnya menunjukkan kualitas aset yang dimiliki (dari sudut pandang keamanan siber), metrik ini menunjukkan potensi kerugian nyata seperti yang disebabkan oleh pelanggaran data. Data ini membantu C-Level membuat keputusan terkait risiko dunia maya, misalnya, membantu mereka memutuskan apakah akan berinvestasi lebih banyak dalam respons insiden atau dalam tindakan pencegahan.
Kontrol dan metrik keamanan lainnya
Metrik di atas bukanlah standar industri, metrik tersebut hanyalah contoh jenis data yang mungkin diperlukan C-Level Anda. Metrik dan KPI yang sebenarnya akan berbeda dari satu organisasi ke organisasi lainnya, tergantung pada ukuran perusahaan, jenis aset, dan bahkan pendekatan manajemen perusahaan.
Mengetahui tentang langkah-langkah ini lebih awal dan bersiap untuk menggunakan pemindai dengan kemampuan pelaporan yang luas seperti Acunetix adalah ide bagus untuk profesional keamanan tingkat manajemen dalam bisnis yang sedang berkembang.
0 Comment