Fair Isaac Corp .公司问题对个人信用评分,厌倦了其他分析公司为企业开发安全评分工具然后宣称自己“安全的FICO分数。”
所以今年5月,FICO增加自己的得分的游戏。收购网络安全公司QuadMetrics企业安全得分为企业创建自己的品牌。新的评分工具,可在8月,使用预测分析和安全风险评估工具的问题分数和预测公司的重大违约的可能性比其他公司在未来12个月内。
“我们自己的网络违反保险承销商评论是多么伟大的如果有真正的FICO分数在承销过程,”道格·克莱尔说,网络安全解决方案的副总裁。公司已经投资在网络安全评估网络流量检测技术,它将添加QuadMetrics视为“在正确的时间正确的机会,”他补充道。
事实上,企业渴望一个准确,易于理解公司的安全态势指标,但今天的企业安全成绩准备就绪?BitSight技术、SecurityScorecard和创业RiskRecon UpGuard,已经提供安全得分,等等。另一组供应商监控和分数的安全云提供商,包括eFortresses,弹力,Netskope和极高的网络。
市场安全评分工具和服务非常新,研究公司还没有评估它的增长潜力,但是像BitSight公司报告增加了60%在2016年上半年的客户,和销售在2015年上半年的三倍。
安全使用分数网络保险承销商评估一个公司的潜在风险,公司评估cyber-risk姿势的第三方供应商和合作伙伴,和高管解释一个公司的网络与一个易于理解的董事会风险评级。
“第三方风险管理是我们看到增长最迅速,”Jeffrey Wheatman说研究室主任,Gartner的安全和隐私。“我们认为,在短期内,一个网络安全的分数将作为重要的信用评分当组织注册伙伴关系。”
研究主管杰弗里·Wheatman Gartner安全和隐私
弗雷斯特研究公司调查的将近三分之二的决策者相信连续第三方监测会改善他们的屏幕供应商基于风险的能力。几乎80%的美国人说他们最首要任务是确保业务合作伙伴和第三方遵守他们的安全需求。
一个安全的得分是什么?
安全专家有一些担忧,然而,单一的分数是否可以捕捉一个安全程序的所有细节,分数发行人是否比较相同的安全生产指标得分,如果公司甚至可以比另一个,因为没有两个网络都是一样的。
“网络风险就是一个活的有机体,每天在不断变化,”玛丽加里根说,主任德勤的安全和隐私的做法。”的执行如何使用分析分配分数是极其复杂,但得分可能是一个很好的基准,只要苹果正在与苹果相比。”
最大security-score提供者只分析一个公司的安全姿势使用外部访问数据,他们不需要获得许可。这也意味着公司可以有一个安全的分数未察觉。
大多数分数发行人公开数据依赖已知的漏洞对公司目前的网络,web应用程序和端点安全。地下黑客组织和暗Web聊天监控恶意活动。分数还可以考虑公司的反应时间修补已知的漏洞和泄露公司凭证的数量被小偷和黑客流传。
额外的成本,一些供应商提供的工具可以放置在防火墙,活动在网络上收集更多的数据。“这并不一定会提高你的分数,但它将使其更准确的细节,”克莱尔说。
真正的区别,或“秘密武器”,是供应商的深度收集数据和分析它使用想出一个分数,很难辨别。
“完美的工具吗?不。他们总比没有好吗?他们是。问题是,他们不是真正的透明如何做他们所做的,”Wheatman说。
Security-score提供者使用他们自己的独特的鳞片。BitSight安全评级,举例来说,从250年到900年,评级越高表明积极的安全状况。SecurityScorecard问题一封信年级通过F基于10安全类别,和QuadMetrics分数从0到300不等。新FICO / QuadMetrics提供将得分范围从0到900,以便更详细的结果,克莱尔说。
尽管评分方法的差异,Gartner的少数客户收到各种供应商演示成绩发现,他们通常产生了相同的结果,Wheatman说。
算法调整可以改变得分显著
公司报道,更新算法,分数会剧烈波动。“他们不断重新评估他们得分的方式。两个月前我与客户。BitSight改变了算法,他们的分数下降了80点。他们是疯了,”Wheatman说。重要得分变化触发警报发送到任何组织,监控公司的安全态势,它会导致不必要的担忧,他补充道。
大多数得分服务将许可或销售的业内同行公司,这样就可以比较其安全实践对他人在同一市场。合同通常禁止公司出版的其他公司,但没有保证。
FICO现在没有这样的条款的合同。“我们是一个组织能力选择退出,说“我不要”想要得分,”克莱尔说。公司还没有决定退出是公平的游戏。“如果我们看到某种形式的虐待,这将是一个有趣的考虑,但到目前为止我们还没有看到它。”
保险公司承保的许可与分数提供者的过程。公司申请网络保险没有说什么提供者问题得分。
“如果你得到一个坏分数,你不同意,这不是一个好的机制来吸引。这是需要解决的,”Wheatman补充道。
克莱尔说较低的分数往往是由于无关的资产集中到一个公司的外部形象,比如具有类似的公司名称或缩写。“有医治的方法,在这个过程中,”他补充道。
会有三大吗?
Experian, TransUnion和Equifax已经成为主要的信用评分提供者,将当前的企业安全提供者被削减至几?
“这可能会这样,”Wheatman说。“网络的分数将会成为其他成绩一样重要,所以其他评级机构需要建立或收购这项技术。还为时过早确定景观看起来甚至两年,更不用说五至七年。”
相关视频:
这个故事,“一个安全的得分是什么?”最初发表的方案 。