Metriken für CISOs, Teil 1

Warum CISOs andere Kennzahlen benötigen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Kennzahlen und Metriken für die Security sollten dem CISO bei der Steuerung und Kontrolle helfen, das Management informieren und bei der Security-Automation genutzt werden können.
Kennzahlen und Metriken für die Security sollten dem CISO bei der Steuerung und Kontrolle helfen, das Management informieren und bei der Security-Automation genutzt werden können. (© everythingpossible - stock.adobe.com)

Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten.

Mangelnder Überblick und Kontrolle verringern die IT-Sicherheit in deutschen Unternehmen, so eine Tanium-Umfrage unter CIOs und CISOs. Das wird zum Beispiel dann deutlich, wenn man sich das Patch-Management ansieht. 94 Prozent der von Tanium befragten deutschen CIOs und CISOs gaben an, dass ein wichtiger Patch nicht wie angenommen auf allen Geräten im Unternehmen installiert wurde und sich somit eine Sicherheitslücke ergab.

47 Prozent der deutschen befragten CIOs und CISOs stehen vor Herausforderungen, weil andere Abteilungen und Führungskräfte nicht verstehen, wie wichtig widerstandsfähige Technologien für das Geschäft sind. 35 Prozent der Befragten sehen Herausforderungen in der Zusammenarbeit mit anderen Abteilungen, weil diese in Silos arbeiten und so kein umfassender Überblick möglich ist. Dies verringert ebenfalls die Sicherheit.

Der Weg zu verlässlichen IAM-Kennzahlen

Ahnungslosigkeit beim IAM

Der Weg zu verlässlichen IAM-Kennzahlen

05.08.19 - Im Bereich von IT-Sicherheit und Identity- und Access-Management (IAM) sind aussage­kräftige Kennzahlen in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht, schließlich setzen Unternehmen bei Geschäftsprozessen schon lange auf vergleichbare Kennzahlen. Es wird Zeit, dass die IT-Security hier nachzieht. lesen

Offensichtlich benötigen CISOs mehr Informationen über die Security-Verfahren, aber auch über die Sicherheitslage in den Bereichen und Abteilungen. Nicht zuletzt benötigen IT-Sicherheitsverantwortliche die richtigen Informationen, um an ihre Geschäftsleitung berichten zu können. Das obere Management erwartet zunehmend auch selbst greifbare Daten zur Security, um die Arbeit des CISOs und die Sicherheitslage bewerten zu können. Compliance-Anforderungen wie die Datenschutz-Grundverordnung (DSGVO) haben dieses Interesse der Geschäftsleitung an Security-Informationen spürbar gesteigert.

Aus gutem Grund lautet eine Empfehlung aus dem CISO-Benchmark von Cisco: Legen Sie Sicherheitsbudgets anhand von Messwerten fest und nutzen Sie Risikobewertungen im Rahmen Ihrer Beschaffungs-, Strategie- und Managemententscheidungen.

Automatisierung fängt mit Messen an

Auch in der Security gilt der „Dreisatz“ Messen, Steuern und Regeln. Von entscheidender Bedeutung ist dabei nicht nur, dass die Messung korrekt ist, sondern was überhaupt gemessen wird. Wenn die Security stärker automatisiert werden soll, sind die richtigen Messungen zwingende Voraussetzung.

„Es geht nicht länger um die Frage, wie wir mit Risiken umgehen und Sicherheit für unser Unternehmen gewährleisten“, so der Gartner Research Vice President Katell Thielemann. „Es geht jetzt darum, dass wir durch das Bewerten und Steuern von Risiken und Sicherheit auch neue Werte im Unternehmen schaffen. Demzufolge ist Automatisierung der beste Weg, um zum Fortschritt des Unternehmens beizutragen“, erklärte Katell Thielemann.

Im Idealfall sollten also Kennzahlen und Metriken für die Security gefunden werden, die dem CISO bei der Steuerung und Kontrolle helfen, die das Management informieren und die bei der Security-Automation genutzt werden können, jeweils natürlich in einer anderen Darstellung und Form.

Eine KPI für Security

Security-Management

Eine KPI für Security

29.08.16 - Der Sicherheitsbeauftragte muss dem Vorstand regelmäßig Berichte über den aktuellen Sicherheitsstatus und notwendige Maßnahmen erstellen. Mit modernen Kennzahlensystemen, die klare KPIs (Key Performance-Indikatoren) ermitteln, klappt das das schnell, fundiert, umfassend und verständlich. lesen

Leider werden oftmals die falschen Kennzahlen bestimmt

Wenn man nicht die richtigen Kennzahlen wählt, kann dies zu der eingangs genannten fehlenden Übersicht und Kontrolle führen. So misst man vielleicht, wie schnell ein Patch installiert wurde, aber nicht, ob auch alle Endpoints beim Patchen erreicht wurden.

Wenn ein Tool für Anwendungssicherheit im Einsatz ist, gibt es mehrere Kennzahlen, anhand derer sich die Effizienz des Tools ablesen und optimieren lässt, so Veracode. Typischerweise achten Unternehmen dabei auf Faktoren wie Scan Rate, Flaw Density und Compliance. Allerdings verfolgen nur relativ wenige Anwender die sogenannte Fix Rate, obwohl diese ein wichtiger Indikator in Sachen Sicherheit ist. Die Fix Rate gibt an, wie lange es dauert, bis ein Team die Sicherheitslücken behebt, die bei Scans gefunden werden. Sie errechnet sich folgendermaßen: Fix Rate = Fixed Flaws / (Fixed + Open Flaws)

Betrachtet man die Fix Rate über einen gewissen Zeitraum, erkennt man die durchschnittliche Geschwindigkeit, mit der Sicherheitslücken geschlossen werden. Kennzahlen wie Scan Rate und Compliance sind zweifellos von hoher Bedeutung, doch die Fix Rate nimmt eine besonders wichtige Position ein, denn letztendlich reicht es nicht, Schwachstellen nur ausfindig zu machen – solange sie nicht behoben sind, bleiben sie ein Risiko, wie Veracode unterstreicht.

Warum CISOs das Security-Marketing verändern müssen

Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

12.07.19 - Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen. lesen

Security-Kennzahlen müssen zu Business-Metriken passen

Es gibt noch einen weiteren Grund, warum CISOs die eigenen Metriken nochmals anschauen sollten: Die richtigen Kennzahlen helfen nicht nur dem CISO, der Geschäftsleitung und der Security-Automatisierung, sie passen auch zu den anderen Metriken im Unternehmen.

Zweifellos hat Security viele Besonderheiten, die sich in eigenen Kennzahlen widerspiegeln, wie es in anderen Fachbereichen auch der Fall ist. Doch Security hat bekanntlich keinen Selbstzweck, es geht immer um den Erfolg des Unternehmens, den Schutz für die Gesellschaft und den Einzelnen.

Genau wie IT-Sicherheitsrisiken Teil der Unternehmensrisiken sind, müssen auch die Security-Kennzahlen Teil der Unternehmenskennzahlen sein, in jedem Fall müssen sie zu den Business-Metriken passen. Wenn also das Unternehmen mit Kennzahlen wie Customer Lifetime Value (CLTV), Net Promoter Score (NPS) und Customer Satisfaction Rate arbeitet, muss die Security dazu passende Kennzahlen haben.

Es stellt sich also die Frage, was einen Kunden zu einem dauerhaft wertvollen Kunden macht, wann Kunden wirklich zufrieden sind und wann sie ein Unternehmen weiter empfehlen. Security spielt dabei ohne Frage eine entscheidende Rolle. Ein Beispiel: Wenn die Webseite eines Unternehmens wegen einer DDoS-Attacke nicht mehr erreichbar ist oder über die Website Schadsoftware an die Besucher verteilt wird, werden die zuvor genannten Business-Kennzahlen sicherlich negativ beeinflusst.

In den folgenden Teilen dieser Serie werden verschiedene Kennzahlen näher betrachtet, die ein CISO kennen und nutzen sollte.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46052636 / Mitarbeiter-Management)