Grunnleggende rammeverk for styrking av den digitale sikkerheten i kritisk infrastruktur er utformet for å redusere risiko ved å forbedre styringen av cybersikkerhetsrisiko sett i forhold til organisasjonens forretnings- og virksomhets mål. Ideelt sett vil organisasjoner som bruker rammeverket være i stand til å måle og tilordne verdier til risikoen deres sammen med kostnadene og fordelene ved tiltak som er tatt for å redusere risikoen til akseptable nivåer. Jo bedre en organisasjon er i stand til å måle risikoen, kostnadene og fordelene ved cybersikkerhetsstrategier, jo mer verdifull vil dens cybersikkerhetstilnærming være.

Over tid bør selvevaluering og måling forbedre beslutningstaking om investeringsprioriteringer. For eksempel, måling – eller i det minste robust karakterisering – av aspekter ved en organisasjons cybersikkerhetstilstand og trender over tid kan gjøre det mulig for organisasjonen å forstå og formidle meningsfull risikoinformasjon til leverandører, kunder, brukere og andre. En organisasjon kan oppnå dette internt eller ved å søke en tredjeparts verifikasjon og revisjon. Hvis de gjøres riktig og med en forståelse av begrensninger, kan disse målingene gi grunnlag for sterke pålitelige relasjoner, både i og utenfor en organisasjon gjennom forbedret tillit.

For å undersøke effektiviteten til investeringer, må en organisasjon først ha en klar forståelse av sine organisatoriske, forretningsmessige-, og virksomhets mål, forholdet mellom disse målene og de understøttende cybersikkerhetsprogrammene, og hvordan disse diskrete
cybersikkerhetsresultatene implementeres og administreres. Selv om målinger av alle disse
elementene er utenfor rammeverkets omfang, støtter cybersikkerhetsresultatene til kjernen
egenevaluering av investeringseffektivitet og cybersikkerhetsaktiviteter på følgende måter:

Ta valg om hvordan ulike deler av cybersikkerhetsoperasjonen skal påvirke valget av målimplementerings nivåer,

• Evaluere organisasjonens tilnærming til risikostyring og cyber- informasjonssikkerhet og
personopplysningsvern ved å bestemme de gjeldende implementeringsnivåene,

• Prioritering av cybersikkerhetsresultater ved å utvikle mål-profiler,

• Bestemme i hvilken grad spesifikke cybersikkerhetstrinn oppnås og ønsket
cybersikkerhetsresultater ved å vurdere gjeldende profiler, og

• Måle graden av implementering for kontrollkataloger eller teknisk veiledning som er
definert og valgt som informative referanser.

Organisasjoner bør være gjennomtenkte, kreative men også forsiktige med måtene de bruker målinger på for å optimalisere bruken, samtidig som de unngår å stole på kunstige indikatorer for nåværende tilstand og fremgang i å forbedre risikostyringen for cybersikkerhet. Å bedømme cyberrisiko krever disiplin basert på kunnskap og erfaring, og bør revurderes med jevne mellomrom. Hver gang målinger brukes som en del av rammeprosessen, oppfordres organisasjoner til å tydelig identifisere og vite hvorfor disse målingene er viktige og hvordan de vil bidra til den generelle styringen av cybersikkerhetsrisiko. De bør også være tydelige om begrensningene for målinger som brukes.

For eksempel kan sporing av sikkerhetstiltak og forretningsresultater gi meningsfull innsikt i hvordan endringer i detaljerte sikkerhetskontroller påvirker fullføringen av organisasjonens mål. For å verifisere oppnåelse av noen organisatoriske mål krever at man analyserer dataene først etter at målet skulle ha blitt oppnådd. Denne typen etterslep er mer absolutt. Imidlertid er det ofte mer verdifullt å forutsi om en cybersikkerhetsrisiko kan oppstå, og virkningen det kan ha, ved å bruke et ledende mål. Organisasjoner oppfordres til å innovere og tilpasse hvordan de inkorporerer målinger i deres anvendelse av rammeverket med full forståelse for deres nytte og begrensninger.