Q:
Bagaimana keamanan TI dapat diukur?
SEBUAH:Keamanan TI, pada dasarnya, adalah tujuan atau layanan yang tidak berwujud dan sulit diukur. Mungkin sangat sulit untuk mengevaluasi secara akurat manfaat dari ketentuan keamanan, atau untuk melihat seberapa baik sistem keamanan bekerja. Namun, dalam industri keamanan, beberapa praktik terbaik telah muncul untuk mengukur kemanjuran strategi dan sistem keamanan.
Salah satu cara untuk mengukur keamanan TI adalah dengan membuat tabulasi laporan serangan siber dan ancaman siber dari waktu ke waktu. Dengan memetakan ancaman dan respons ini secara kronologis, perusahaan dapat lebih dekat untuk mengevaluasi seberapa baik sistem keamanan telah bekerja saat diterapkan. Perusahaan juga dapat mensurvei orang-orang yang berada dalam posisi keamanan kunci untuk menyediakan semacam "persepsi risiko" yang juga akan dimasukkan ke dalam tolok ukur keamanan. Beberapa ahli merekomendasikan untuk melacak pengembalian keamanan atas investasi dengan mengajukan pertanyaan yang tepat bagi mereka yang bekerja di garis depan keamanan siber dan mengambil semua data yang masuk untuk memberikan gambaran yang lebih besar untuk hasil keamanan.
Perusahaan juga dapat mempromosikan akurasi dan pengukuran keamanan dengan memecah keamanan menjadi berbagai komponen. Misalnya, keamanan titik akhir adalah penerapan khusus praktik keamanan untuk titik akhir data seperti layar ponsel cerdas, tablet, dan PC. Aspek lain dari keamanan data melibatkan data yang digunakan melalui jaringan, di mana para profesional dapat menggunakan pos pemeriksaan jaringan untuk menetapkan tolok ukur keamanan, atau mengukur keamanan dengan cara lain.
Bagi banyak profesional TI, pengukuran keamanan adalah proses "masukan masuk, keluar" di mana para pakar keamanan mengumpulkan data tentang ancaman dunia maya, memasukkannya ke dalam basis data dan menghasilkan laporan yang informatif. Jenis analisis canggih ini membantu mendorong evaluasi praktik keamanan dan membantu pembuat keputusan manusia menangani manajemen perubahan untuk strategi keamanan. Secara umum, keamanan TI melibatkan "siklus hidup keamanan" dengan beberapa langkah dan tahapan untuk merespons ancaman, bukan hanya menyediakan jenis perlindungan statis.