La sécurité informatique est, par nature, un objectif ou un service intangible et difficile à mesurer. Il peut être extrêmement difficile d’évaluer avec précision les avantages des dispositions de sécurité ou de voir dans quelle mesure les systèmes de sécurité fonctionnent.
Des analyses et évaluations des risques sont effectuées pour évaluer chaque risque individuel en fonction de sa probabilité de survenance et de son impact. Une fois les risques classés comme faibles, moyens ou élevés, l’entreprise peut mesurer sa capacité à les gérer, à les atténuer ou à les prévenir purement et simplement.
Au sein du secteur de la sécurité, certaines bonnes pratiques ont émergé pour mesurer l'efficacité des stratégies et des systèmes de sécurité. Les mesures de sécurité sont mesurées par rapport à certaines normes pour quantifier le risque de subir des dommages ou des pertes à la suite d'une attaque malveillante. Ces mesures sont particulièrement importantes pour comprendre quels domaines peuvent être améliorés, quelles sont les vulnérabilités les plus remarquables et comment allouer correctement un budget de cybersécurité.
Une façon de mesurer la sécurité informatique consiste à compiler des rapports sur les cyberattaques et les cybermenaces au fil du temps. En cartographiant chronologiquement ces menaces et réponses, les entreprises peuvent mieux évaluer le fonctionnement des systèmes de sécurité au fur et à mesure de leur mise en œuvre. Les entreprises peuvent également interroger des personnes occupant des postes clés en matière de sécurité afin d'obtenir une sorte de « perception du risque » qui alimentera également l'analyse comparative en matière de sécurité. Certains experts recommandent de suivre le retour sur investissement de la sécurité en posant les bonnes questions à ceux qui travaillent en première ligne de la cybersécurité et en prenant toutes les données entrantes pour fournir une vue d'ensemble des résultats en matière de sécurité.
Les entreprises peuvent également promouvoir la précision et la mesure de la sécurité en décomposant la sécurité en ses différentes composantes. Par exemple, la sécurité des points finaux est la mise en œuvre spécifique de pratiques de sécurité pour les points finaux de données tels que les écrans de smartphones, les tablettes et les PC. D'autres aspects de la sécurité des données impliquent l'utilisation des données sur un réseau, où les professionnels peuvent utiliser des points de contrôle du réseau pour établir des références de sécurité ou mesurer la sécurité par d'autres moyens.
Les traces d'activités malveillantes pourraient être suivies par des outils de sécurité, ainsi que d'autres données pouvant suggérer des vulnérabilités potentielles (telles que le nombre de correctifs appliqués, les tentatives d'intrusion, les modifications de privilèges, les alertes système, etc.). Ces données peuvent être rassemblées avec des informations extraites d'un logiciel de gestion des journaux pour établir des corrélations et des rapports mesurant l'amélioration de la sécurité au fil du temps.
Pour de nombreux professionnels de l'informatique, la mesure de la sécurité est un processus « d'entrée et de sortie » dans lequel les experts en sécurité regroupent des données sur les cybermenaces, les alimentent dans une base de données et établissent des rapports informatifs. Ces types d'analyses sophistiquées contribuent à piloter l'évaluation des pratiques de sécurité et aident les décideurs humains à gérer le changement pour les stratégies de sécurité. En général, la sécurité informatique implique un « cycle de vie de sécurité » comportant plusieurs étapes et étapes pour répondre aux menaces, plutôt que de simplement fournir un type statique