IT维护中的KPI缺失及其影响

关键要点

缺乏与IT维护相关的指标和关键绩效指标KPI常导致首席信息官CIO忽视信息安全领导者的关注和请求。企业应开发激励CIO优先处理安全相关任务的KPI。有效的漏洞管理和应用安全需要明确的绩效衡量标准。在非安全IT领导中推动安全意识，以降低潜在的网络安全事件风险。

根据德克萨斯州许可和管制部的CISO Joshua Kuntz的说法，IT维护中缺乏相关测量标准或关键绩效指标KPI常常导致CIO忽视信息安全领导者提出的关切和请求。为了解决这一问题，企业应考虑制定激励CIO将安全作为优先事项的KPI，例如漏洞管理。他在2023年信息安全世界大会上展示了这一观点。

Kuntz提到：“CIO的三个主要工作是：创新、运营和维护。他们被测量最多的就是创新：你能为企业带来什么新价值？”在一次专访中，他分析了这个问题。“维护是他们唯一不被衡量的部分，而唯一关心这个问题的只有CISO。”

海鸥加速器免费版

这种情况可能导致与IT领导之间的冲突，特别是在应用安全和漏洞管理方面。Kuntz分享了他在上一份工作的经历，表示他的沟通和关注没有“传达到高层”这个问题他最终不得不直接与高层管理层讨论。

他表示，围绕应用安全的态度常是问题总能在未来的版本中修复，因此公司往往反复推迟解决漏洞。他认为这种思维方式同样在处理漏洞时普遍存在：“也许我再冒一次险，把这个问题搁置。如果发生数据泄露，那非常糟糕，但如果没有发生，那么我就没有花钱去修复它。”

为了改变这种思维方式，Kuntz建议企业建立绩效指标，测量已知漏洞的修复百分比以及修复速度。例如，他告诉SC媒体，在他之前的工作中，设定的目标是每月修复70的已知漏洞。对修复的截止日期设定为：关键漏洞15天、高严重性漏洞30天、中等风险漏洞90天。

当然，这些期望必须合理和可达成，并且高层管理需要愿意将其作为CIO绩效评估的一部分。

Kuntz还指出，CISO也不应对每一个想要解决的小漏洞大肆渲染或如“鸡小子”般发出警报。“你要能够权衡操作影响与安全需求之间的关系，”Kuntz说道。“不是所有事情都是关键的。”

此外，重要的是与非安全IT领导进行安全意识讨论，让他们了解重大网络事件将如何严重妨碍他们热衷的领域，如创新和运营。“看看Clorox的例子，”Kuntz强调。由于网络安全事件，他们的生产线中断了。”

想要获取Kuntz在信息安全世界大会上的更多观点，可以观看嵌入在此故事中的视频。