Estimated reading time: 4 minuten
Het boek gaat over hoe je security metrieken moet maken, beoordelen, voor wie ze te gebruiken, maar vooral dat het nuttig is ze te gebruiken.
PAGMATIC staat voor
- Predictive
- Relevant
- Actionable
- Genuine
- Meaningful
- Accurate
- Timely
- Independent
- Cheap
En dit zijn de criteria waarop elke indicator moet beoordeeld worden.
Mijn persoonlijke favoriet is de eerste: Predictive. Een indicator moet iets kunnen vertellen over wat er in de nabije toekomst te verwachten valt. De tweede is voor mij Actionable, omdat een indicator moet kunnen een maatregel opleveren die de indicator kan bijsturen. Meaningful is belangrijk, omdat te vaak de eigenaars van de indicatoren teleurgesteld worden erdoor, omdat te gemakkelijke indicatoren gemaakt worden, die snel en gemakkelijk meetbaar zijn, maar weinig zeggen over de security van de organisatie. Meaningful staat volgens mij dan ook lijnrecht tegenover Cheap, dat beter Complex had geweest, omdat Complexere indicatoren meer informatie in zich dragen, maar moeilijker te verkrijgen zijn, ook moeilijker te interpreteren en dus duurder zijn in gebruik.
Accurate doet me dan denken aan het feit dat indicatoren best cijfermateriaal opleveren dat juist is. Er moet hard kunnen gediscuteerd worden, en dat is moeilijk als de indicatoren flou worden gedefinieerd en / of gemeten.
Het zevende kenmerk, Timely, geeft de vanzelfsprekende eigenschap aan dat het management geen boodschap heeft aan indicatoren die reeds hun tijd voorbij zijn. Dit is ook van belang voor het voorspellend karakter van de indicator.
Het boek opent met een office memorandum: de CEO van het bedrijf vraagt kort door de bocht genomen aan de CSO om argumentatie waarom Information Security belangrijk is. Een antwoord dat er morgen moet liggen.
Het boek begint daarna met een hoofdstuk dat onontbeerlijk is: een hoop inspiratie om aan de verschillende doelgroepen in de organisatie duidelijk te maken waarom werken met Security Indicatoren van belang is, naast het feit dat men reeds de gewoonte heeft om met tal van andere indicatoren te werken op voornamelijk financieel vlak.
Daarna volgen hoofdstukken over waarom we Security willen meten. Ook dit kan motiverend werken om de mensen in de organisatie te helpen overtuigen.
Het volgende belangrijke hoofdstuk is Hoofdstuk 6 dat ons een kennismaking geeft met de mnemonic PRAGMATIC. Uiteindelijk staat het de lezer echter vrij om andere criteria te kiezen.
De hoofdbrok wordt echter opgeëist in hoofdstuk 7 door de toepassing van de PRAGMATIC-criteria op een 150-tal indicatoren, met bespreking. Dit om de lezer onder te dompelen in het principe van het denken volgens deze criteria.
Daarna gaat het boek verder over het opzetten van een Information Security Measurement System en wat daarbij gebruikt kan worden. Er wordt een inleiding gegeven in Key Indicatoren, de nadelen van metrieken, en de praktijk wordt belicht in o.a. een hoofdstuk dat de case behandelt van het office memorandum in het begin. Nadien volgt een niet te complexe conclusie. Het boek sluit af met een antwoord van de CSO op de CEO zijn vraag in het begin van het boek.
Vond u deze boekbespreking waardevol? Ontdek dan ook deze gerelateerde artikels voor meer inspiratie en inzichten: