Turvameetrika: Riski kvantifitseerimine – globaalne perspektiiv

Kiiresti areneval digitaalsel maastikul ei tähenda tõhus küberturvalisus enam pelgalt turvakontrollide rakendamist; see tähendab riski mõistmist ja kvantifitseerimist. See nõuab andmepõhist lähenemist, mis kasutab turvameetrikat praktiliste ülevaadete pakkumiseks. See blogipostitus uurib turvameetrika kriitilist rolli riski kvantifitseerimisel, pakkudes globaalset perspektiivi selle rakendamisele ja eelistele.

Riski kvantifitseerimise tähtsus

Riski kvantifitseerimine on protsess, mille käigus omistatakse küberturvalisuse riskidele arvuline väärtus. See võimaldab organisatsioonidel:

• Prioriseerida riske: Tuvastada ja keskenduda kõige kriitilisematele ohtudele.
• Teha teadlikke otsuseid: Põhineda turvainvesteeringute ja ressursside jaotamisel andmetel.
• Suhelda tõhusalt: Selgelt väljendada riski tasemeid sidusrühmadele.
• Mõõta edusamme: Jälgida turvameetmete tõhusust ajas.
• Vastata vastavusnõuetele: Järgida määrusi nagu GDPR, CCPA ja ISO 27001, mis sageli nõuavad riskide hindamist ja aruandlust.

Ilma riski kvantifitseerimiseta võivad turvaalased jõupingutused muutuda reageerivaks ja ebatõhusaks, jättes organisatsioonid potentsiaalselt haavatavaks märkimisväärsete rahaliste kaotuste, mainekahju ja juriidiliste kohustuste ees.

Peamised turvameetrikad riski kvantifitseerimiseks

Põhjalik turvameetrika programm hõlmab erinevate mõõdikute kogumist, analüüsimist ja nendest aruandmist. Siin on mõned peamised valdkonnad, mida kaaluda:

1. Haavatavuste haldus

Haavatavuste haldus keskendub süsteemide ja rakenduste nõrkuste tuvastamisele ja parandamisele. Peamised mõõdikud hõlmavad:

• Keskmine parandamisaeg (MTTR): Keskmine aeg, mis kulub haavatavuse parandamiseks. Madalam MTTR näitab tõhusamat parandusprotsessi. See on globaalselt ülioluline, kuna ajavööndid ja hajutatud meeskonnad erinevates riikides võivad mõjutada reageerimisaegu.
• Haavatavuse raskusastme skoorid (nt CVSS): Haavatavuste raskusaste standardiseeritud hindamissüsteemide alusel. Organisatsioonid kasutavad neid skoore iga haavatavuse potentsiaalse mõju mõistmiseks.
• Haavatavuste arv vara kohta: Aitab mõista teie organisatsiooni infrastruktuuri üldist haavatavuste maastikku. Võrrelge seda erinevate varatüüpide vahel, et tuvastada valdkonnad, mis vajavad suuremat tähelepanu.
• Parandatud kriitiliste haavatavuste protsent: Kõrge raskusastmega haavatavuste protsent, mis on edukalt lahendatud. See on riski vähendamise mõõtmisel kriitilise tähtsusega.
• Haavatavuste paikamise määr: Süsteemide ja rakenduste protsent, mis on teatud aja jooksul (nt nädalas, kuus) teadaolevate haavatavuste vastu paigatud.

Näide: Rahvusvaheline korporatsioon, millel on kontorid USAs, Indias ja Ühendkuningriigis, võib jälgida MTTR-i iga piirkonna jaoks eraldi, et tuvastada geograafilisi väljakutseid, mis mõjutavad parandustöid (nt ajavööndite erinevused, ressursside kättesaadavus). Samuti võivad nad prioriseerida paikamist CVSS-skooride alusel, keskendudes esmalt haavatavustele, mis mõjutavad kriitilisi ärisüsteeme, sõltumata asukohast. Selle meetrika väljatöötamisel arvestage iga piirkonna juriidiliste nõuetega; näiteks on GDPR-il ja CCPA-l erinevad nõuded andmetega seotud rikkumiste kohta, sõltuvalt mõjutatud andmete asukohast.

2. Ohuanalüüs

Ohuanalüüs annab ülevaate ohumaastikust, võimaldades ennetavat kaitset. Peamised mõõdikud hõlmavad:

• Organisatsiooni sihtivate ründajate arv: Konkreetsete ründajate või rühmade jälgimine, kes aktiivselt teie organisatsiooni sihivad, võimaldab keskenduda kõige tõenäolisematele ohtudele.
• Tuvastatud ohuindikaatorite arv: Teie turvasüsteemides tuvastatud pahatahtlike indikaatorite (nt pahavara signatuurid, kahtlased IP-aadressid) arv.
• Blokeeritud ohtude protsent: Turvakontrollide tõhusus ohtude organisatsiooni sisenemise takistamisel.
• Aeg ohtude tuvastamiseks: Aeg, mis kulub turvaintsidendi tuvastamiseks. Selle aja minimeerimine on kahjude minimeerimiseks ülioluline.
• Valepositiivsete tulemuste arv: Teie ohutuvastussüsteemide täpsuse näitaja. Liiga palju valepositiivseid tulemusi võib tekitada hoiatustest väsimuse ja takistada reageerimist.

Näide: Globaalne finantsasutus võiks kasutada ohuanalüüsi rahaliselt motiveeritud küberkurjategijate tegevuse jälgimiseks, tuvastades andmepüügikampaaniaid ja pahavararünnakuid, mis on suunatud selle klientidele erinevates riikides. Nad saavad mõõta blokeeritud andmepüügimeilide arvu erinevates piirkondades (nt Euroopas, Aasia ja Vaikse ookeani piirkonnas, Põhja-Ameerikas) ning aega, mis kulub eduka andmepüügikatse tuvastamiseks ja sellele reageerimiseks. See aitab kohandada turvateadlikkuse programme konkreetsetele piirkondlikele ohtudele ja parandada andmepüügi tuvastamise määrasid.

3. Intsidentidele reageerimine

Intsidentidele reageerimine keskendub turvaintsidentide käsitlemisele ja leevendamisele. Peamised mõõdikud hõlmavad:

• Keskmine tuvastamisaeg (MTTD): Keskmine aeg turvaintsidendi tuvastamiseks. See on turvaseire tõhususe mõõtmisel kriitilise tähtsusega mõõdik.
• Keskmine ohjeldamisaeg (MTTC): Keskmine aeg turvaintsidendi ohjeldamiseks, vältides edasist kahju.
• Keskmine taastamisaeg (MTTR): Keskmine aeg teenuste ja andmete taastamiseks pärast turvaintsidenti.
• Käsitletud intsidentide arv: Turvaintsidentide maht, millele intsidentidele reageerimise meeskond peab reageerima.
• Intsidentide maksumus: Turvaintsidentide rahaline mõju, sealhulgas parandamiskulud, kaotatud tootlikkus ja juriidilised kulud.
• Edukalt ohjeldatud intsidentide protsent: Intsidentidele reageerimise protseduuride tõhusus.

Näide: Rahvusvaheline e-kaubanduse ettevõte võiks jälgida andmetega seotud rikkumiste MTTD-d, võrreldes tulemusi eri piirkondades. Kui rikkumine toimub, analüüsitakse intsidentidele reageerimise meeskonda piirkonnas, kus MTTD on kõrgem, et tuvastada kitsaskohad või valdkonnad, mida intsidentidele reageerimise protseduurides parandada. Tõenäoliselt prioritiseerivad nad turvaintsidenti vastavalt regulatiivsetele nõuetele piirkonnas, kus rikkumine toimus, mis omakorda mõjutab ohjeldamise ja taastamise mõõdikuid.

4. Turvateadlikkus ja koolitus

Turvateadlikkuse ja koolituse eesmärk on harida töötajaid turvaohtude ja parimate tavade osas. Peamised mõõdikud hõlmavad:

• Andmepüügile klikkimise määr: Töötajate protsent, kes klikivad simuleeritud andmepüügikampaaniate ajal andmepüügimeilidele. Madalamad määrad näitavad tõhusamat koolitust.
• Turvateadlikkuse koolituse läbimise määr: Nõutud turvakoolituse läbinud töötajate protsent.
• Teadmiste säilimise skoorid: Mõõdab koolituse tõhusust, hinnates töötajate arusaamist turvakontseptsioonidest.
• Teatatud andmepüügimeilid: Töötajate poolt teatatud andmepüügimeilide arv.

Näide: Globaalne tootmisettevõte, millel on tehased ja kontorid mitmes riigis, võiks kohandada oma turvateadlikkuse koolitusprogramme iga piirkonna kultuurilistele ja keelelistele nüanssidele. Seejärel jälgiksid nad igas riigis andmepüügile klikkimise määrasid, läbimise määrasid ja teadmiste säilimise skoore, et hinnata nende lokaliseeritud programmide tõhusust ja teha vastavaid kohandusi. Mõõdikuid saab võrrelda piirkondade vahel parimate tavade tuvastamiseks.

5. Turvakontrollide tõhusus

Hindab rakendatud turvakontrollide tõhusust. Peamised mõõdikud hõlmavad:

• Vastavus turvapoliitikatele ja -protseduuridele: Mõõdetakse auditi tulemustega.
• Turvakontrolli rikete arv: Mitu korda turvakontroll ei toimi ootuspäraselt.
• Süsteemi tööaeg: Protsent ajast, mil kriitilised süsteemid on töökorras.
• Võrgu jõudlus: Võrgu latentsuse, ribalaiuse kasutuse ja paketikao mõõdud.

Näide: Globaalne logistikaettevõte võiks kasutada peamise tulemusnäitajana (KPI) „nõuetele vastavate saatedokumentide protsenti“, et hinnata oma krüpteerimis- ja juurdepääsukontrollide tõhusust. Seejärel kasutataks vastavusauditeid, et teha kindlaks, kas need kontrollid toimivad rahvusvahelistes asukohtades ettenähtud viisil.

Turvameetrika rakendamine: Samm-sammuline juhend

Turvameetrika edukas rakendamine nõuab struktureeritud lähenemist. Siin on samm-sammuline juhend:

1. Määratlege eesmärgid ja sihid

Määratlege oma riskiisu: Enne mõõdikute valimist määratlege selgelt oma organisatsiooni riskiisu. Kas olete valmis aktsepteerima kõrgemat riskitaset, et soodustada äri paindlikkust, või seate turvalisuse esikohale? See mõjutab mõõdikute valikut ja aktsepteeritavaid lävendeid. Seadke turvaeesmärgid: Mida te oma turvaprogrammiga saavutada püüate? Kas soovite vähendada rünnakupinda, parandada intsidentidele reageerimise aegu või tugevdada andmekaitset? Teie eesmärgid peaksid olema kooskõlas teie üldiste ärieesmärkidega. Näide: Finantsteenuste ettevõte eesmärk on vähendada andmetega seotud rikkumiste riski järgmise aasta jooksul 20% võrra. Neil on eesmärgid, mis on keskendunud haavatavuste halduse, intsidentidele reageerimise ja turvateadlikkuse parandamisele.

2. Tuvastage asjakohased mõõdikud

Joondage mõõdikud eesmärkidega: Valige mõõdikud, mis mõõdavad otseselt edusamme teie turvaeesmärkide suunas. Kui soovite parandada intsidentidele reageerimist, võiksite keskenduda MTTD-le, MTTC-le ja MTTR-ile. Kaaluge tööstusharu standardeid: Kasutage raamistikke nagu NIST küberturvalisuse raamistik, ISO 27001 ja CIS Controls, et tuvastada asjakohaseid mõõdikuid ja võrdlusaluseid. Kohandage mõõdikud oma keskkonnale: Kohandage oma mõõdikute valikut vastavalt oma konkreetsele tööstusharule, ettevõtte suurusele ja ohumaastikule. Väiksem organisatsioon võib prioritiseerida erinevaid mõõdikuid kui suur rahvusvaheline korporatsioon. Näide: Tervishoiuorganisatsioon võib Ameerika Ühendriikide HIPAA regulatsioonide ja teistes riikides kehtivate sarnaste andmekaitseseaduste tõttu prioritiseerida mõõdikuid, mis on seotud andmete konfidentsiaalsuse, terviklikkuse ja kättesaadavusega.

3. Koguge andmeid

Automatiseerige andmete kogumine: Kasutage turvatööriistu nagu turvainfo ja sündmuste halduse (SIEM) süsteeme, haavatavuste skannereid ning lõpp-punkti tuvastamise ja reageerimise (EDR) lahendusi, et automatiseerida andmete kogumist. Automatiseerimine vähendab käsitsi tehtavat tööd ja tagab andmete järjepidevuse. Määratlege andmeallikad: Tuvastage oma andmete allikad, näiteks logid, andmebaasid ja süsteemikonfiguratsioonid. Tagage andmete täpsus ja terviklikkus: Rakendage andmete valideerimise ja kvaliteedikontrolli meetmeid, et tagada oma mõõdikute täpsus ja usaldusväärsus. Kaaluge andmete krüpteerimist vastavalt kehtivatele seadustele, et kaitsta andmeid edastamise ja säilitamise ajal, eriti kui kogute neid mitmest jurisdiktsioonist. Näide: Globaalne jaemüügikett saab kasutada oma SIEM-süsteemi, et koguda andmeid oma müügikoha (POS) süsteemidest, võrguseadmetest ja turvaseadmetest kõigis oma kauplustes, tagades järjepideva andmete kogumise erinevates asukohtades ja ajavööndites.

4. Analüüsige andmeid

Looge baastase: Enne andmete analüüsimist looge baastase, mida kasutada tulevaste muutuste mõõtmiseks. See võimaldab teil näha oma andmete suundumusi ja määrata, kas teie tegevused on tõhusad. Analüüsige suundumusi ja mustreid: Otsige oma andmetest suundumusi, mustreid ja anomaaliaid. See aitab teil tuvastada tugevaid ja nõrku kohti. Võrrelge andmeid erinevate ajavahemike lõikes: Võrrelge oma andmeid erinevate ajavahemike lõikes, et jälgida edusamme ja tuvastada valdkonnad, mis vajavad rohkem tähelepanu. Kaaluge ajagraafiku loomist suundumuste visualiseerimiseks. Korreleerige mõõdikuid: Otsige korrelatsioone erinevate mõõdikute vahel. Näiteks võib kõrge andmepüügile klikkimise määr korreleeruda madala turvateadlikkuse koolituse läbimise määraga. Näide: Tehnoloogiaettevõte, analüüsides haavatavuste skannerist kogutud haavatavuste andmeid, võib leida korrelatsiooni kriitiliste haavatavuste arvu ja oma serverites avatud portide arvu vahel. See võib seejärel suunata paikamise ja võrguturbe strateegiaid.

5. Esitage aruandeid ja suhelge

Koostage sisukaid aruandeid: Looge selgeid, lühikesi ja visuaalselt atraktiivseid aruandeid, mis võtavad teie tulemused kokku. Kohandage aruandeid vastavalt oma sihtrühma konkreetsetele vajadustele. Kasutage andmete visualiseerimist: Kasutage diagramme, graafikuid ja armatuurlaudu, et keerulist teavet tõhusalt edastada. Visualiseerimine võib aidata sidusrühmadel andmeid paremini mõista ja tõlgendada. Suhelge sidusrühmadega: Jagage oma tulemusi asjaomaste sidusrühmadega, sealhulgas tippjuhtkonna, IT-töötajate ja turvameeskondadega. Pakkuge praktilisi teadmisi ja soovitusi parandamiseks. Esitage tulemused otsustajatele: Selgitage oma tulemusi otsustajatele viisil, mida nad saavad kergesti mõista, selgitades soovituste rakendamise ärilist mõju, kulusid ja ajakava. Näide: Telekommunikatsiooniettevõte, analüüsides intsidentidele reageerimise andmeid, koostab igakuiseid aruandeid, mis kirjeldavad intsidentide arvu, tuvastamise ja reageerimise aega ning nende intsidentide kulusid tippjuhtkonnale. See teave aitab ettevõttel luua tõhusama intsidentidele reageerimise plaani.

6. Tegutsege

Koostage tegevuskava: Oma analüüsi põhjal koostage tegevuskava tuvastatud nõrkuste kõrvaldamiseks ja oma turvalisuse seisundi parandamiseks. Prioriseerige tegevusi riski ja mõju alusel. Rakendage parandusmeetmeid: Astuge konkreetseid samme tuvastatud probleemide lahendamiseks. See võib hõlmata haavatavuste paikamist, turvakontrollide uuendamist või koolitusprogrammide parandamist. Uuendage poliitikaid ja protseduure: Vaadake üle ja uuendage turvapoliitikaid ja -protseduure, et need peegeldaksid muutusi ohumaastikul ja parandaksid teie turvalisuse seisundit. Jälgige edusamme: Jälgige pidevalt oma turvameetrikat, et hinnata oma tegevuste tõhusust ja teha vajadusel kohandusi. Näide: Kui ettevõte avastab, et selle MTTR on liiga kõrge, võib ta rakendada sujuvama paikamisprotsessi, lisada täiendavaid turvaressursse haavatavuste käsitlemiseks ja rakendada turvaautomaatikat, et kiirendada intsidentidele reageerimise protsessi.

Globaalsed kaalutlused ja parimad tavad

Turvameetrika rakendamine globaalses organisatsioonis nõuab mitmesuguste tegurite arvestamist:

1. Juriidiline ja regulatiivne vastavus

Andmekaitse määrused: Järgige andmekaitse määrusi nagu GDPR Euroopas, CCPA Californias ja sarnaseid seadusi teistes piirkondades. See võib mõjutada, kuidas te turvaandmeid kogute, säilitate ja töötlete. Piirkondlikud seadused: Olge teadlik piirkondlikest seadustest, mis käsitlevad andmete asukohta, andmete lokaliseerimist ja küberturvalisuse nõudeid. Vastavusauditid: Olge valmis reguleerivate asutuste audititeks ja vastavuskontrollideks. Hästi dokumenteeritud turvameetrika programm võib vastavusalaseid jõupingutusi sujuvamaks muuta. Näide: Organisatsioon, mis tegutseb nii ELis kui ka USAs, peab järgima nii GDPRi kui ka CCPA nõudeid, sealhulgas andmesubjektide õiguste taotlusi, andmetega seotud rikkumistest teatamist ja andmeturbe meetmeid. Tugeva turvameetrika programmi rakendamine võimaldab organisatsioonil tõendada vastavust nendele keerukatele regulatsioonidele ja valmistuda regulatiivseteks audititeks.

2. Kultuurilised ja keelelised erinevused

Suhtlus: Suhelge turvaalaste leidude ja soovituste osas viisil, mis on kõigile sidusrühmadele arusaadav ja kultuuriliselt sobiv. Kasutage selget ja lühikest keelt ning vältige žargooni. Koolitus ja teadlikkus: Kohandage turvateadlikkuse koolitusprogramme kohalikele keeltele, tavadele ja kultuurinormidele. Kaaluge koolitusmaterjalide lokaliseerimist, et need kõnetaksid töötajaid erinevates piirkondades. Turvapoliitikad: Veenduge, et turvapoliitikad oleksid kõigi piirkondade töötajatele kättesaadavad ja arusaadavad. Tõlkige poliitikad kohalikesse keeltesse ja pakkuge kultuurilist konteksti. Näide: Rahvusvaheline korporatsioon saab tõlkida oma turvateadlikkuse koolitusmaterjalid mitmesse keelde ja kohandada sisu vastavalt kultuurinormidele. Nad võivad kasutada igale piirkonnale asjakohaseid reaalseid näiteid, et töötajaid paremini kaasata ja nende arusaamist turvaohtudest parandada.

3. Ajavöönd ja geograafia

Intsidentidele reageerimise koordineerimine: Kehtestage selged suhtluskanalid ja eskalatsiooniprotseduurid intsidentidele reageerimiseks erinevates ajavööndites. Seda saab hõlbustada globaalselt kättesaadava intsidentidele reageerimise platvormi abil. Ressursside kättesaadavus: Kaaluge turvaressursside, näiteks intsidentidele reageerijate, kättesaadavust erinevates piirkondades. Veenduge, et teil oleks piisav katvus intsidentidele reageerimiseks igal ajal, päeval või öösel, kõikjal maailmas. Andmete kogumine: Andmete kogumisel ja analüüsimisel arvestage ajavööndeid, kust teie andmed pärinevad, et tagada täpsed ja võrreldavad mõõdikud. Ajavööndi seaded peaksid olema teie süsteemides järjepidevad. Näide: Globaalne ettevõte, mis on hajutatud mitmesse ajavööndisse, saab luua „päikest järgiva“ intsidentidele reageerimise mudeli, andes intsidendihalduse üle teises ajavööndis asuvale meeskonnale, et pakkuda ööpäevaringset tuge. SIEM peab koondama logid standardses ajavööndis, näiteks UTC-s, et pakkuda täpseid aruandeid kõigi turvaintsidentide kohta, olenemata nende päritolukohast.

4. Kolmandate osapoolte riskijuhtimine

Tarnijate turvalisuse hindamine: Hinnake oma kolmandatest osapooltest tarnijate turvalisuse seisundit, eriti nende puhul, kellel on juurdepääs tundlikele andmetele. See hõlmab nende turvapraktikate ja -kontrollide hindamist. Kindlasti lisage nendesse tarnijate hindamistesse kõik kohalikud juriidilised nõuded. Lepingulised kokkulepped: Lisage oma lepingutesse kolmandatest osapooltest tarnijatega turvanõuded, sealhulgas nõuded asjakohaste turvameetrikate jagamiseks. Järelevalve: Jälgige oma kolmandatest osapooltest tarnijate turvalisuse tulemuslikkust ja jälgige kõiki turvaintsidente, mis neid hõlmavad. Kasutage mõõdikuid nagu haavatavuste arv, MTTR ja vastavus turvastandarditele. Näide: Finantsasutus võib nõuda oma pilveteenuse pakkujalt turvaintsidentide andmete ja haavatavuste mõõdikute jagamist, võimaldades finantsasutusel hinnata oma tarnija turvalisuse seisundit ja selle potentsiaalset mõju ettevõtte üldisele riskiprofiilile. Neid andmeid võiks koondada ettevõtte enda turvameetrikatega, et hinnata ja hallata ettevõtte riski tõhusamalt.

Tööriistad ja tehnoloogiad turvameetrika rakendamiseks

Mitmed tööriistad ja tehnoloogiad võivad aidata rakendada tugevat turvameetrika programmi:

• Turvainfo ja sündmuste haldus (SIEM): SIEM-süsteemid koondavad turvalogisid erinevatest allikatest, pakkudes tsentraliseeritud seiret, ohtude tuvastamist ja intsidentidele reageerimise võimekust.
• Haavatavuste skannerid: Tööriistad nagu Nessus, OpenVAS ja Rapid7 InsightVM tuvastavad haavatavusi süsteemides ja rakendustes.
• Lõpp-punkti tuvastamine ja reageerimine (EDR): EDR-lahendused pakuvad nähtavust lõpp-punkti tegevusse, tuvastavad ja reageerivad ohtudele ning koguvad väärtuslikke turvaandmeid.
• Turvaorkestreerimine, automatiseerimine ja reageerimine (SOAR): SOAR-platvormid automatiseerivad turvaülesandeid, nagu intsidentidele reageerimine ja ohujahipidamine.
• Andmete visualiseerimise tööriistad: Tööriistad nagu Tableau, Power BI ja Grafana aitavad visualiseerida turvameetrikat, muutes need kergemini mõistetavaks ja edastatavaks.
• Riskijuhtimise platvormid: Platvormid nagu ServiceNow GRC ja LogicGate pakuvad tsentraliseeritud riskijuhtimise võimekust, sealhulgas võimet määratleda, jälgida ja aruandlustada turvameetrika kohta.
• Vastavuse haldamise tarkvara: Vastavustööriistad aitavad jälgida ja aruandlustada vastavusnõuete kohta ning tagavad, et säilitate õige turvalisuse seisundi.

Kokkuvõte

Turvameetrika rakendamine ja kasutamine on tõhusa küberturvalisuse programmi oluline komponent. Riski kvantifitseerides saavad organisatsioonid prioritiseerida turvainvesteeringuid, teha teadlikke otsuseid ja tõhusalt hallata oma turvalisuse seisundit. Selles blogis kirjeldatud globaalne perspektiiv rõhutab vajadust kohandatud strateegiate järele, mis arvestavad juriidilisi, kultuurilisi ja geograafilisi erinevusi. Andmepõhise lähenemisviisi omaksvõtmise, õigete tööriistade kasutamise ja oma tavade pideva täiustamise kaudu saavad organisatsioonid kogu maailmas tugevdada oma küberturvalisuse kaitset ja navigeerida tänapäeva ohumaastiku keerukuses. Pidev hindamine ja kohanemine on selles pidevalt muutuvas valdkonnas edu saavutamiseks üliolulised. See võimaldab organisatsioonidel arendada oma turvameetrika programmi ja pidevalt parandada oma turvalisuse seisundit.