Metriken für CISOs, Teil 2

Welche Kennzahlen CISOs wirklich helfen

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Das Business wünscht sich KPIs (Key Performance Indicatoren), um den Unternehmenserfolg zu quantifizieren. Auch die IT-Sicherheit muss solche KPIs für sich entwickeln.
Das Business wünscht sich KPIs (Key Performance Indicatoren), um den Unternehmenserfolg zu quantifizieren. Auch die IT-Sicherheit muss solche KPIs für sich entwickeln. (© Blue Planet Studio - stock.adobe.com)

Die Security muss in alle Abläufe integriert werden, so lautet eine bekannte Forderung. Trotzdem werden Business-Prozesse oftmals mit anderen Kennzahlen ausgewertet als Security-Prozesse. Das muss sich ändern, denn integrierte Kennzahlen helfen den CISOs genauso wie dem ganzen Unternehmen. Wir nennen Beispiele für passende Security-Kennzahlen.

Stellen Sie sich vor, Sie haben als CISO viel Zeit in den Management-Bericht zur Lage der Security im Unternehmen gesteckt. Sie legen den Bericht vor, die Geschäftsleitung wirft einen kurzen Blick darauf, bedankt sich und geht zum nächsten Thema über.

Eigentlich wollten Sie den Bericht nutzen, um für mehr Budget zu werben, aber Sie kommen gar nicht dazu. Scheinbar interessiert sich niemand für Ihr Reporting, trotz aller Mühe. Ein Grund könnte in den gewählten Kennzahlen liegen. Im Business wünscht man sich immer KPIs, also Key Performance Indicators, mit denen ein Unternehmen in der Regel seinen Erfolg definiert und bewertet, um Fortschritte bei der Erreichung seiner langfristigen Unternehmensziele zu erzielen.

Warum CISOs andere Kennzahlen benötigen

Metriken für CISOs, Teil 1

Warum CISOs andere Kennzahlen benötigen

06.09.19 - Security-Metriken sind bei CISOs beliebt und gehasst zugleich. Zum einen erhöhen sie die Transparenz in der Security, zum anderen will die Geschäftsleitung den CISO daran messen. Wichtig ist es, die richtigen Metriken zu nutzen, auch für die Automatisierung in der Security. In einer Mini-Serie nennen wir Kennzahlen, die in keiner Security-Abteilung fehlen sollten. lesen

Da stellt sich die Frage, was denn die langfristigen Unternehmensziele sind, und wie diese mit den Security-Zielen einhergehen. Wenn Sie zum Beispiel das Ziel verfolgen, dass alle Applikationen einen Security-Test durchlaufen haben, dass möglichst keine bekannten Schwachstellen offen sind oder dass alle Beschäftigten eine Sicherheitsschulung durchlaufen haben, dann ist die Bedeutung für das Unternehmen nicht für jeden auf den ersten Blick sichtbar, obwohl sie für Sie als CISO offenkundig ist.

Die Security muss deshalb auch bei den Kennzahlen noch stärker in die Business-Strategien integriert werden, mit deutlichen Vorteilen, wie eine aktuelle Studie zeigt.

Business-Driven Security auch in den Kennzahlen

Laut der PwC-Studie „Digital Trust Insights Survey“ erzielen Unternehmen, die einen unternehmensorientierten Cybersicherheitsansatz verfolgen, bessere Ergebnisse. Die globale Umfrage unter mehr als 3.000 Führungskräften und IT-Fachleuten weltweit ergab, dass die erfolgreichsten Unternehmen nicht nur Vorreiter bei der Cybersicherheit sind, sondern auch bessere Geschäftsergebnisse erzielen.

Der Weg zu verlässlichen IAM-Kennzahlen

Ahnungslosigkeit beim IAM

Der Weg zu verlässlichen IAM-Kennzahlen

05.08.19 - Im Bereich von IT-Sicherheit und Identity- und Access-Management (IAM) sind aussage­kräftige Kennzahlen in vielen Fällen absolute Mangelware. Einen nachvollziehbaren Grund für das Fehlen gibt es nicht, schließlich setzen Unternehmen bei Geschäftsprozessen schon lange auf vergleichbare Kennzahlen. Es wird Zeit, dass die IT-Security hier nachzieht. lesen

Zu den wichtigsten Verhaltensweisen, mit denen sich Vorreiter von ihren Mitbewerbern abheben, gehören die Ausrichtung ihrer Geschäfts- und Cybersicherheitsstrategien, ein risikobasierter Ansatz und die Koordinierung ihrer Teams, die Risiken managen. Die wichtigsten Ergebnisse der Digital Trust Insights-Umfrage von PwC verdeutlichen den Vorsprung, den Vorreiter in allen drei Bereichen haben:

  • 65 Prozent der Vorreiter sind der festen Überzeugung, dass ihr Cybersicherheitsteam in das Geschäft eingebettet ist, sich in die Geschäftsstrategie des Unternehmens einfügt und über eine Cybersicherheitsstrategie verfügt, die die geschäftlichen Erfordernisse unterstützt.
  • 89 Prozent der Vorreiter geben an, dass ihre Cybersicherheitsteams konsequent an der Bewältigung der mit der Geschäftstransformation oder digitalen Initiativen des Unternehmens verbundenen Risiken beteiligt sind.
  • 77 Prozent der Vorreiter sind der festen Überzeugung, dass ihr Cybersicherheitsteam ausreichend mit Führungskräften zusammenarbeitet, um ein Verständnis für die Risikobereitschaft des Unternehmens zu entwickeln.

Offensichtlich spielt hier eine gemeinsame Sprache dank passender Kennzahlen eine wichtige Rolle, um die Security-Ziele und die Business-Ziele eng zu verzahnen und abzustimmen.

Eine KPI für Security

Security-Management

Eine KPI für Security

29.08.16 - Der Sicherheitsbeauftragte muss dem Vorstand regelmäßig Berichte über den aktuellen Sicherheitsstatus und notwendige Maßnahmen erstellen. Mit modernen Kennzahlensystemen, die klare KPIs (Key Performance-Indikatoren) ermitteln, klappt das das schnell, fundiert, umfassend und verständlich. lesen

Welche Kennzahlen das Management ansprechen

Kommen wir zurück zu der Situation, in der Sie als CISO dem Management einen mühsam erstellten Bericht vorgelegt haben. Welche Kennzahlen würden sich darauf befinden? Sind es Kennzahlen, die der Geschäftsleitung deutlich machen, dass Cyber-Risiken als Unternehmensrisiken zu betrachten sind und wie sich diese Risiken auswirken? Wenn nicht, werden die Kennzahlen innerhalb der Security-Organisation hilfreich sein, aber nicht zur Überzeugung und Information des Managements.

Betrachtet man zum Beispiel das Allianz Risk Barometer 2019, das die wichtigsten Unternehmensrisiken aufzeigt, erfährt man: Cyber-Risiken sind erstmals gleichauf mit Betriebsunterbrechung das größte Risiko für Unternehmen weltweit. Cyber-Risiken und Betriebsunterbrechungsrisiken sind zunehmend miteinander verknüpft, da Ransomware-Angriffe oder IT-Ausfälle oft zu Betriebs- und Serviceunterbrechungen führen. So sind Cybervorfälle laut Allianz Risk Barometer der am meisten gefürchtete Auslöser von Betriebsunterbrechungen (50 Prozent der Antworten), gefolgt von Feuer/Explosion (40 Prozent) und Naturkatastrophen (38 Prozent).

Diese Verknüpfung von Cyber-Risiken und Betriebsunterbrechung ist ein wichtiger Schlüssel bei der Wahl der richtigen Kennzahlen, denn hier trifft man die Sorgen der Geschäftsleitung, genau wie dies die Versicherungsgesellschaften tun.

Es gilt also, nicht bei Kennzahlen stehen zu bleiben wie Anzahl der gefundenen Sicherheitslücken, Anzahl der gescannten / getesteten Seiten oder Anzahl der behobenen kritischer Sicherheitslücken. Diese sind durchaus Kennzahlen für die Security, aber die Business-Sicht fehlt, sprich die Sicht auf die damit verbundenen Risiken für das Unternehmen.

Warum CISOs das Security-Marketing verändern müssen

Der CISO und der Stellenwert der Security

Warum CISOs das Security-Marketing verändern müssen

12.07.19 - Gute IT-Sicherheit ist ein Wettbewerbsvorteil, eigentlich ein tolles Argument für mehr Security-Budget. Doch wenn Sicherheit zu sehr als Marketing-Faktor gesehen wird, schadet dies der Security. CISOs müssen Einfluss auf das Marketing nehmen, keine leichte Aufgabe, aber zwingend erforderlich. Die Security braucht einen neuen Stellenwert, um nicht unter die Räder der Werbung zu gelangen. lesen

Beispiele für greifbare Kennzahlen aus Business-Sicht

Mit den richtigen Kennzahlen wird Security für das Management relevant, und damit helfen die Kennzahlen jedem CISO, der die Geschäftsleitung zum Beispiel von einem höheren Security-Budget überzeugen muss.

Fehlalarme zum Beispiel können Betriebsabläufe stören, das Ziel muss es sein, solche False Positives zu minimieren. Entsprechend ist die Zahl der False Positives pro Tag durchaus ein Wert, der dem Management zugänglich ist, sofern die Erläuterung der Folge „Störung Betriebsablauf“ nicht fehlt.

Interessant ist auch der Schaden durch verlorene oder gestohlene Datenträger und Endgeräte, sofern klar wird, dass dies die Abläufe stört, und natürlich die Ausfallzeiten in der Produktion oder beim Online-Shop des Unternehmens durch Sicherheitsvorfälle, wobei jeweils die zeitliche Entwicklung eine Rolle spielt.

Auch für Sie als CISO sind diese zeitlichen Entwicklungen spannend, da Sie zum einen selbst den Handlungsbedarf leicht erkennen und zum anderen dadurch auch auf Ihren positiven Einfluss auf die Security im Unternehmen hinweisen können oder auf den Bedarf, möglichst schnell der Entwicklung gegen zu steuern, wozu zum Beispiel ein höheres Security-Budget notwendig sein kann.

Weiterentwicklung des BSI-Standards 200-4

Schritt für Schritt zum Business Continuity Management

Weiterentwicklung des BSI-Standards 200-4

29.08.19 - Notfallmanagement und regelmäßige Übungen sind noch nicht überall Standard, so ein Ergebnis der Cyber-Sicherheitsumfrage des BSI (Bundesamt für Sicherheit in der Informations­technik). Dies soll durch den geplanten BSI-Standard 200-4 anders werden. Dabei spielt das Stufenmodell für den Einstieg ins BCM (Business Continuity Management) eine wichtige Rolle. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46120364 / Mitarbeiter-Management)