IT-Sicherheit messbar machen

Compliance-Standards beinhalten mögliche Kennzahlen für IT-Sicherheit

Seite: 2/3

Firmen zum Thema

Kennzahlen-Dschungel durchdringen

Die Control Objectives zu ISO 27001, die Best Practices-Sammlung ITIL oder das IT-Governance-Framework CoBIT liefern Anregungen für die Festlegung von Kennzahlen – bleiben aber oft vage oder mischen unterschiedliche Arten von Kennzahlen. In einer Übersicht zu ITIL-Key Performance Indikatoren (KPI) für das IT-Security Management finden sich beispielsweise Kennzahlen, …

  • mit denen sich die Risikominimierung nachweisen lässt (Anzahl schwerwiegender sicherheitsrelevanter Vorfälle).
  • zur Prüfung, ob IT-Sicherheit überhaupt umgesetzt wird (Anzahl implementierter Präventiv-Maßnahmen).
  • die den Erfolg von konkreten Maßnahmen messen (Umsetzungsdauer Vorsorgemaßnahmen).

Hier muss der Security Officer erst einmal die für seine IT-Sicherheitsinfrastruktur passenden Kennzahlen auswählen und in eine vernünftige Hierarchie ordnen. Ein praktikabler Ansatz besteht darin, sich zur Bestimmung von Kennzahlen für alle Ebenen an den eigenen IT-Sicherheitsprozessen zu orientieren.

Ableitung strategischer Kennzahlen für die IT-Sicherheit

Der Return on Investment (ROI) im Bereich IT-Sicherheit besteht in der Minimierung der Risiken. Vereinfacht gesagt: Kommt es zu keiner Behinderung von Geschäftsprozessen, haben sich die Investitionen in die IT-Sicherheit gelohnt. Die „Anzahl an Vorfällen“ oder die „gesamte Ausfallzeit“ sind daher Kennzahlen, an denen sich die übergeordnete Zielerreichung überprüfen lässt. Damit lässt sich die IT-Sicherheit aber noch nicht gezielt steuern.

Umfassende Schutzmaßnahmen werden vor allem auf der operativen Ebene durchgeführt: Um die Anzahl an Vorfällen zu minimieren, ergreifen Unternehmen Maßnahmen, betreiben beispielsweise einen Virenschutz und ein Patch-Management, haben Firewalls oder Webfilter und führen Awareness-Schulungen von Mitarbeitern durch.

Um prüfen zu können, ob diese Maßnahmen erfolgreich sind und auf das Ziel der Risikominimierung einzahlen, müssen für jede Maßnahme messbare Ziele und Kennzahlen festgelegt werden. Nur dann lässt sich die Verbesserung der IT-Sicherheit transparent messen und der ROI wird in Bezug auf jede Maßnahme nachgewiesen.

Steuern mit Kennzahlen

Sinnvolle Kennzahlen zur Prüfung und Steuerung der Maßnahme „Virenschutz und Patch-Management“ sind also beispielsweise eine Prozentangabe zur erfolgreichen Verteilung neuer Updates im gesamten Unternehmensnetz oder kritischen Teilbereichen sowie die Dauer bis zur erfolgreichen Verteilung dieser Updates. Werden solche Werte für jedes Update und jedes System im Netzwerk gemessen, können Schwachpunkte sehr schnell erkannt werden und lassen sich beheben.

Beobachtet ein Security Officer zum Beispiel, dass Rollouts in einem bestimmten Netzwerkabschnitt nie vollständig funktionieren, kann er geeignete Maßnahmen in diesen Bereichen durchführen. Verbesserungen werden durch den Soll/Ist-Abgleich der Ziele und der gemessenen Werte sichtbar und nachweisbar. Der Security Officer kann schon beim nächsten Rollout sehen, dass das Restrisiko durch fehlende Updates gesunken ist.

Einen kontinuierlichen Prozess zur kennzahlenbasierten Steuerung von IT-Sicherheit beschreibt das Konzept des „Security Level Management“. Security Officer, die sich daran orientieren, schaffen ein professionelles System der Qualitätssicherung für ihre IT-Sicherheit.

Inhalt

  • Seite 1: Ziele und Kennzahlen für alle Ebenen
  • Seite 2: Den Kennzahlen-Dschungel durchdringen
  • Seite 3: Reality-Check – Bestehende Kennzahlen prüfen

(ID:2051099)