사이버 보안은 높이, 너비, 길이, 무게처럼 일련의 메트릭 표준을 더해 달성할 수 있는 분야가 아니다. 보안 요구 사항, 검증된 코드, 코드 분석가들이 찾은 취약점, 보안을 고려한 프로세스 단계, 보안 버그 수정에 필요한 시간, 데이터 검증 테스트 통과 및 실패 같이 사이버 보안 메트릭 목록을 나열하자면 끝이 없다.
서론
이러한 메트릭을 수집하는 일에는 엄청난 시간과 노력이 수반되며, 수집이 조직, 프로젝트, 개별 인원에게 줄 수 있는 혜택이 명확해야 한다. 사이버 보안 수준을 가늠해 볼 수 있는 관련 메트릭을(예를 들어 품질, 안전, 신뢰성, 사용성, 전체 시스템 및 소프트웨어 품질을 위한 데이터) 이미 수집하고 있을지도 모른다.
본론
비록 시스템 및 소프트웨어 공학은 개별 평가가 가능한 다양한 측면으로 구성됐지만, 전체 적인 관점에서 판단할 필요가 있다. 우리는 제품, 제품을 만들고 유지하기 위해 사용하는 프로세스, 구축 수행 및 벤더 도입을 위한 기술자의 역량, 제품과 다른 제품 및 연결된 다른 통제 수단과의 신뢰 관계, 제품이 실행될 운영 환경을 위한 별도의 보안 측정 기준이 필요하다. 뿐만 아니라 우리가 수행하는 공학 단계가 조직에서 원하는 사이버 보안 결과로 발전되도록 끌어갈 필요가 있다.
결론
그렇다면 이러한 일이 왜 힘든 것일까? 이러한 다양한 영역의 책임 소재는 여러 팀, 부서, 개발 조직에 걸쳐 있으며, 공학 노력을 구축한 방식에 크게 의존한다. 각 영역에 대한 우리 의 통제권과 정보 접근 권한은 광범위하며, 개별 요소가 측정 방식에 큰 영향을 미칠 수 있다. 보안에 필요한 요소와 가용 해결책 또한 변수가 많고, 운영 목표, 제품 개발에 사용한 언어와 프레임워크, 운영 인프라 선택에 크게 의존한다. 이러한 다양한 영역의 책임 소재를 명확히 할 수 있도록 도와주는 체계적인 표준은 아직까지 개발되지 않았다. 그렇다면 범위를 조금 넓혀 일반적인 소프트웨어 평가 영역을 한 번 고려해 보자.
