مباحث امنیتی زیادی وجود دارد که وقتی شخصی آنها را مطرح می‌کند بحث و گفتگو زیادی در رابطه با آن ایجاد می‌شود. متأسفانه، معیارهای امنیتی جزو این مباحث نیست.

باید دید چرا معیارها تقریباً همیشه متوقف کننده مکالمه در این باره هستند؟ دلایل زیادی وجود دارد. ما متوجه شدیم که مردم از بحث در مورد موضوعاتی که به آنها علاقه مندند، تجربشان د و یا درباره مسائلی که نسبت به آنها آگاهی دارند، لذت بیشتری می‌برند و مطمئناً، معیارها ی امنیتی تقریباً هرگز در هیچ یک از این دسته‌ها قرار نمی‌گیرند.

 گفته می‌شود، هنوز یکسری اصول بنیادی وجود دارد که در طی سالیان متمادی کمک کرده است تا معیارهای معنادار و نسبی ایجاد شوند. امیدواریم که سازمان‌ها با تلاش در جهت ساختن و بهبود معیارهای خاص خود، این پیشنهادات را پیگیری کنند.

با این روال، پنج نکته مفید برای ایجاد معیارهای امنیتی معنادار ارایه می‌دهیم:

ارزیابی آنچه که مهم است: یکی از قانون‌های مهم هنگام ساختن معیارهای معنی دار، ارزیابی مواردی است که مهم هستند. اما این را از چه کسی باید بپرسید؟ از ذینفعانی که معیارهای شما را بکار خواهند برد. به عبارت دیگر، مخاطبان خود را بشناسید و بدانید که آنها به چه چیزی علاقه دارند. به عنوان یک تاکتیک متفاوت، هشدارهای ویژه‌ای را که مخاطبانتان را در معرض خطر قرار می‌دهد در نظر بگیرید. پس از انجام این کار، می توانید ارزیابی کنید و نشان دهید که برنامه نظارت امنیتی شما نسبت به آن خطرات چه دیدگاهی دارد و آیا به موقع آنها را کنترل کرده است یا خیر.

برای چه؟: بدترین سؤالی که یک متخصص امنیتی پس از نشان دادن یک معیار می‌تواند دریافت کند این است؟ “برای چه؟ وقتی مخاطبان معیارها این سؤال را می‌پرسند، بدان معنی است که آنها ارتباط آنچه را که به آنها گزارش می‌دهید را درک نمی‌کنند. به عبارت دیگر، آن مخاطب اهداف خاصی دارد که به دنبال دستیابی به آن است. آنچه به آنها گزارش می‌شود، با این اهداف همخوانی نداشته و به آنها اجازه نمی‌دهد پیشرفت تیم امنیتی را در برابر آن اهداف ارزیابی کنند. معیارهای معقول با پیش بینی سؤال برای چه؟ و توسعه راه‌هایی برای گزارش پیشرفت در مقابل اهداف به روشی که مخاطبان معیارها را درک کنند، به وجود می‌آیند.

کمتر بیشتر است: مدتهاست که فلسفه کمتر بیشتر است (Less is more)، طرفداران زیادی پیدا کرده است. چرا وقتی می‌توان آن را به راحتی حل کرد، کاری را پیچیده می‌کنیم؟ دشوارترین بخش در مورد ایجاد یک برنامه موفق ارزیابی، چیزی است که اهمیت دارد، و اینکه اهمیت آن برای مخاطب مورد نظر چه قدر بوده و نحوه اندازه گیری صحیح آن چیست. پس از استقرار این عناصر اساسی، گزارش نتایج باید تا حد امکان ساده سازی شود. نیازی به اضافه کردن چیز پیچیده‌ای نیست. اگر یک معیار مطلوب باشد، پس گزارش آن به روشی صریح و با تعداد اندک کلمات لازم برای نمایش دقیق آن، ارایه می‌شود.

آماده، هدف، آتش: بارها و بارها این عبارت مناسب را شنیده‌ایم و کاملاً هم منطقی به نظر می‌رسد. در تلاش برای ایجاد معیارهای ارزشمند، اغلب تمایل به گزارش بیش از حد داده‌های خیلی سریع وجود دارد. بدون وجود یک رویکرد رسمی، بسیاری از سازمان‌ها تمایل دارند تا آنجا که می‌توانند به آن فکر کنند و نکات مورد نظر را گزارش دهند. زمان زیادی لازم است تا اطمینان حاصل شود که معیارهای تولید شده و گزارش شده دارای معنی و ارزش هستند. در غیر این صورت، داده‌هایی که گزارش می‌دهید احتمالاً تعداد زیادی سؤال در ذهن مخاطبان‌تان ایجاد می‌کنند در حالی که هیچ پاسخی به آنها ندارید.

همه اینها نسبی هستند: اگر کار را به درستی انجام داده و معیارهای مطلوبی را ایجاد کرده‌اید که پیشرفت برنامه امنیتی را در برابر اهداف و تلاش‌ها برای کاهش ریسک ارزیابی می‌کنند، کمی دست نگه دارید. یک نکته بسیار مهم برای یادآوری در اینجا وجود دارد. معیارها باید نسبی باشند؛ ولی معنی آن چیست؟ این بدان معناست که سازمان‌های امنیتی در خلاء نیستند و یک شبه رشد نمی‌کنند. به این ترتیب، نشان دادن پیشرفت با استفاده از معیارهای تنظیم شده برای سازمانی که نماینده آنهاست، بسیار مهم است. هدف تمام این معیارها این است که یک تیم امنیتی را از نشان دادن تعداد مطلقی که به مخاطب امکان مقایسه و تضاد عملکرد فعلی و گذشته را نمی‌دهد، و همچنین از جبرگرایی دور نگه دارد. مهمتر از همه، این همان چیزی است که کاربران این معیارها انتظارش را دارند؛ یعنی چگونه می‌توان موفقیت را به بهترین وجه اندازه گرفت.