web analytics

10 Kennzahlen, die CISOs weiterbringen – Source: www.csoonline.com

10-kennzahlen,-die-cisos-weiterbringen-–-source:-wwwcsoonline.com
Rate this post

Source: www.csoonline.com – Author:

Die richtigen Security-Performance-Metriken können zu mehr Effizienz beitragen, CISOs und Sicherheitsentscheider jedoch auch ansonsten auf diversen Ebenen entscheidend voranbringen.

Geht es um Security-Kennzahlen, sollten CISOs sich auf das Wesentliche fokussieren.

Geht es um Security-Kennzahlen, sollten CISOs sich auf das Wesentliche fokussieren.

Foto: Vadym Nechyporenko – shutterstock.com

Die Security-Performance zu messen, gehört vielleicht nicht zu den aufregendsten Aufgaben eines CISOs – kann allerdings sehr nützlich sein, um eine ganze Reihe von Herausforderungen zu bewältigen. Neben der Erkenntnis darüber, wie effektiv ihre Security-Bemühungen sind, können Sicherheitsentscheider mit den richtigen Kennzahlen unter anderem auch strategisches Alignment mit dem Business demonstrieren.

Um jedoch einen echten Nutzen aus den Metriken ziehen zu können, ist das oberste Gebot, sich auf diejenigen zu konzentrieren, die belegen, dass die Security das Business stützt. Kennzahlen, denen es an Bedeutung oder Kontext mangelt, sind hingegen zu vernachlässigen, wie Richard Absalom, Principal Research Analyst beim Information Security Forum, unterstreicht: “Man kann unzählige Dinge in Sachen Security Performance messen – was mit Blick auf Extraktion und Reporting viel Zeit, Mühe und Ressourcen kostet. Fragen Sie sich: Warum messen wir das? Wie hilft uns das? Welche Frage können wir damit beantworten? Wenn die Messung nicht dazu beiträgt, Stakeholdern oder Entscheidern wichtige Informationen zu liefern, wird sie sehr wahrscheinlich ignoriert.”

10 Security-Metriken, von denen CISOs profitieren

Im Folgenden haben wir im Gespräch mit Experten und Entscheidern zehn Benefits identifiziert, die CISOs mit den jeweils richtigen Security-Metriken realisieren können.

1. Incident-Response-Metriken

Mean Time to Detect (MTTD) oder Mean Time to Respond (MTTR) liefern beispielsweise quantitative Daten, die CISOs dabei unterstützen, objektive Entscheidungen zu treffen. Frank Kim, Fellow am SANS Institute, erklärt: “Indem sie wichtige Sicherheitsindikatoren analysieren und nachverfolgen, können CISOs Prioritäten setzen, Ressourcen zuweisen und sich auf die Bereiche konzentrieren, die am dringendsten optimiert werden müssen.”

2. Security-Investment-Metriken

Beispielsweise zu wissen, wie hoch der Prozentsatz wichtiger Business-Initiativen mit eingebetteten Sicherheitsprozessen ist, kann CISOs dabei unterstützen, den Return on Investment (ROI) von Security-Initiativen gegenüber der Geschäftsleitung und den Stakeholdern nachzuweisen. Insofern aufgezeigt wird, wie diese Bemühungen zur Risikominderung und dazu beitragen, Zwischenfälle zu verhindern.

“Die Stakeholder interessieren sich nicht für die Cyberrisiken, sondern die Geschäftsrisiken, die sich aus dem Cyberbereich ergeben”, konstatiert Brian Contos, CSO bei Sevco Security. Er fügt hinzu: “Genauer gesagt geht es dabei um Risiken im Zusammenhang mit Umsatz, Brands, Operations sowie ESG – Environmental, Social, Governance.”

3. Security-Awareness-Metriken

In diesen Bereich fällt beispielsweise der Prozentsatz der Fachabteilungen, die an entsprechenden Programmen beteiligt sind. Diese Kennzahlen unterstützen dabei, zu ermitteln, ob im Unternehmen eine Security-Kultur existiert – oder entsteht. So lässt sich darstellen, wie effektiv entsprechende Initiativen auf die allgemeine Sicherheitslage des Unternehmens einzahlen – was für Sicherheitsentscheider traditionell eine Herausforderung darstellt.

Fred Rica, ehemals Head of Cyber Practice bei KPMG und Partner beim Wirtschaftsprüfungsunternehmen BPM, erläutert: “CISOs, die dem Vorstand technische Kennzahlen präsentieren, schießen oft am Ziel vorbei, weil der Kontext fehlt. Dem Board mitzuteilen, dass 100.000 Events per Firewall blockiert wurden, wird ohne entsprechenden Kontext nicht fruchten.”

4. Vulnerability-Management-Metriken

Metriken im Bereich Schwachstellenmanagement, wie das “Window of Exposure”, können CISOs dabei unterstützen, das Risikoprofil ihrer Organisationen besser zu verstehen und Bedrohungen aktiv zu begegnen.

“Letztlich geht es darum, die zerbrochenen Fenster und unverschlossenen Türen eines Unternehmens anzugehen”, verbildlicht SANS-Experte Kim. “Vulnerability-Management-Metriken geben Aufschluss darüber, wie lange die Türen potenziell offenstehen und unterstützen dabei, tägliche Arbeitsabläufe zu etablieren, zum Beispiel im Bereich Scanning oder Patching.”

5. Security-Process-Improvement-Metriken

Metriken zur Verbesserung von Sicherheitsprozessen erfassen den Fortschritt im Zeitverlauf und ermöglichen CISOs, spezifische Ziele zu setzen beziehungsweise zu verfolgen. Ein Beispiel für eine Kennzahl in diesem Bereich wäre der Prozentsatz von Vorfällen mit derselben wiederkehrenden Grundursache.

“Dieser datengesteuerte Ansatz trägt zur kontinuierlichen Verbesserung der Sicherheitspraktiken bei und fördert eine Kultur der Verantwortlichkeit”, hält Kim fest. Anschließend könnten risikobasierte Metriken in Jahresberichte oder Corporate-Governance-Dokumente einfließen.

6. Security-Maturity-Metriken

Metriken zum Security-Reifegrad – beispielsweise Capability Maturity Scores – lassen sich mit Branchen-Benchmarks (beispielsweise denen des Center for Internet Security) oder auch früheren Ergebnissen abgleichen. Das ermöglicht Sicherheitsentscheidern, den Security-Reifegrad ihrer Organisation zu verstehen, um im Anschluss realistische Sicherheitsziele und -strategien zu entwickeln.

Laut ISF-Chefanalyst Absalom sollten Sicherheitsverantwortliche nach Indikatoren und Metriken Ausschau halten, die Aufschluss darüber geben, wie gut die Organisation:

  • Bedrohungen und gefährdete Assets identifiziert;

  • die identifizierten Assets schützt;

  • Bedrohungsereignisse erkennt;

  • auf erkannte Ereignisse reagiert;

  • sich nach Vorfällen erholt und deren Auswirkungen begrenzen kann.

7. Compliance-Metriken

Da viele Vorschriften und Standards auch ein Reporting zu bestimmten Security-Metriken erfordern, ist es sinnvoll, über Compliance-Metriken zu verfügen – beispielsweise den Prozentsatz der Systeme, die mit bestimmten Anforderungen im Einklang stehen.

Kim bringt es auf den Punkt: “Das erleichtert es, Compliance-Anforderungen zu erfüllen und potenzieller Strafzahlungen zu vermeiden.”

8. Threat-Detection-Metriken

Kennzahlen im Bereich Bedrohungserkennung – wie die Anzahl der erkannten Vorfälle oder False-Positive/Negative-Raten – können als Frühwarnzeichen für potenzielle Sicherheitsvorfälle oder Schwachstellen in der Infrastruktur dienen.

Das ermöglicht CISOs, Probleme aktiv anzugehen und größeren Sicherheitsverletzungen vorzubeugen.

9. Ressource-Utilization-Metriken

Metriken zur Ressourcennutzung wie der prozentuale Anteil der Zeit, der für aktive gegenüber reaktiven Sicherheitsaufgaben aufgewendet wird, können CISOs in die Lage versetzen, ineffiziente Bereiche oder redundante Sicherheitskontrollen zu identifizieren.

Das kann in der Konsequenz zu einer besseren Ressourcenzuweisung und damit zu Kostenoptimierungen führen. In Zeiten des immer noch ausgeprägten Security-Fachkräftemangels könnte das eine entscheidende Unterstützung für Sicherheitsverantwortliche darstellen.

10. Security-Transparency-Metriken

Kennzahlen zur Security-Transparenz – etwa die Anzahl der dem Unternehmen mitgeteilten Sicherheitsvorfälle oder die Bewertungen der internen Stakeholder zur Security-Kommunikation – können das Vertrauen zwischen Security-Team und anderen Geschäftseinheiten stärken.

“Wenn die Wirksamkeit von Sicherheitsmaßnahmen quantifiziert und transparent kommuniziert wird, stärkt das das Vertrauen in das Sicherheitsprogramm”, konstatiert SANS-Experte Kim.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

vgwort

SUBSCRIBE TO OUR NEWSLETTER

From our editors straight to your inbox

Get started by entering your email address below.

Original Post url: https://www.csoonline.com/article/3492322/cybersecurity-messen-10-kennzahlen-die-cisos-weiterbringen.html

Category & Tags: IT Leadership, ROI and Metrics, Security – IT Leadership, ROI and Metrics, Security

Views: 0

LinkedIn
Twitter
Facebook
WhatsApp
Email

advisor pick´S post

Nathalie Cole
How Much 10 Companies Paid Their Virtual CISO Service in 2022 Benchmark by Nathaniel Cole
How Much 10 Companies Paid...
Tushar Subhra Dutta
Top 10 Cyber Attack Maps to See Digital Threats 2022 by Tushar Subhra Dutta – Cyber Security News.
Top 10 Cyber Attack Maps...
Microsoft
Microsoft Zero Trust Maturity Model
Microsoft Zero Trust Maturity Model
US Deparment of Defense
DevSecOps Fundamentals Guidebook – Tools & Activities by American Deparment of Defense
DevSecOps Fundamentals Guidebook – Tools...
HADESS
DevSecOps Guides – Comprehensive resource for integrating security into the software development by HADESS
DevSecOps Guides – Comprehensive resource...
Microsoft
Microsoft 365 and the NIST Cybersecurity Framework
Microsoft 365 and the NIST...
Vendict
The 2024 CISO Burnout Report by Vendict
The 2024 CISO Burnout Report...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Marcos Jaimovich
The Silent Spectre Haunting Your Network: QPhishing, the CISO’s Unspoken Nightmare.
The Silent Spectre Haunting Your...
Marcos Jaimovich
Goodbye to Traditional: Why Conventional Cybersecurity Tools are No Longer Sufficient for the Future of Digital Threats ?
Goodbye to Traditional: Why Conventional...
Marcos Jaimovich
Why do we compare a SOC (Security Operations Center) with the cockpit of a commercial airplane? by Marcos Jaimovich
Why do we compare a...
Joas Antonio
Security Operations Center (SOC) – Tools for Operations Development by Joas Antonio
Security Operations Center (SOC) –...

LASTEST PUBLISHED POSTS

Cyberint
Retail Threat Landscape Report Q1-Q3 – November 2024 Summary by Cyberint a Check Point Company
Retail Threat Landscape Report Q1-Q3...
NCSC
Protecting Critical Supply Chains – A Guide to Securing your Supply Chain Ecosystem
Protecting Critical Supply Chains –...
Culture AI
Time to Adapt – The State of Human Risk Management in 2024 by Culture AI.
Time to Adapt – The...
National Cyber Security Centre
Engaging with Boards to improve the management of cyber security risk.
Engaging with Boards to improve...
Microsoft Security
2024 State of Multicloud Security Report by Microsoft Security
2024 State of Multicloud Security...
bugcrowd
Inside the Mind of a CISO 2024 The Evolving Roles of Security Leaders 2024 by bugcrowd
Inside the Mind of a...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Lacework
CISO’s Playbookto Cloud Security by Lacework
CISO’s Playbookto Cloud Security by...
MITRE - Carson Zimmerman
Ten Strategies of a World-Class Cybersecurity Operations Center by MITRE
Ten Strategies of a World-Class...
SILVERFRONT - AIG
Identity Has Become the Prime Target of Threat Actors by Silverfort AIG.
Identity Has Become the Prime...
CYZEA.IO
Enterprise Information Security
Enterprise Information Security
IGNITE Technologies
ENCRYPTED REVERSE
ENCRYPTED REVERSE

More Latest Published Posts

WORLD BANK GROUP
Global Cybersecurity Capacity Program
Global Cybersecurity Capacity Program
Gary Hinson
Getting started withsecurity metrics
Getting started withsecurity metrics
EDPS
Generative AI and the EUDPR.
Generative AI and the EUDPR.
Bright
2024 Guide to Application Security Testing Tools
2024 Guide to Application Security Testing Tools
HADESS
Hacker Culture
Hacker Culture
Quuensland Govermment
RISK ASSESSMENT PROCESS HANDBOOK
RISK ASSESSMENT PROCESS HANDBOOK
Ministry of MOS Security
HIPAA SIMPLIFIED
HIPAA SIMPLIFIED
Hacker Combat
How Are Passwords Cracked?
How Are Passwords Cracked?
CIS - Center for Internet Security
How to Plan a Cybersecurity Roadmap in Four Steps
How to Plan a Cybersecurity Roadmap in Four Steps
ACSC Australia
Information Security Manual
Information Security Manual
Kaspersky
Incident Response Playbook: Dark Web Breaches
Incident Response Playbook: Dark Web Breaches
ninjaOne
Endpoint Hardening Checklist
Endpoint Hardening Checklist
HADESS
Important Active Directory Attribute
Important Active Directory Attribute
ISA GLOBAL CYBERSECURITY ALLIANCE
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
Rajneesh Gupta
IAM Security CHECKLIST
IAM Security CHECKLIST
sqrrl
Hunt Evil
Hunt Evil
Searchinform
How to protect personal data and comply with regulations
How to protect personal data and comply with regulations
Giuseppe Manco
Threat Intelligence Platforms
Threat Intelligence Platforms
CSA Cloud Security Alliance
Hardware Security Module(HSM) as a Service
Hardware Security Module(HSM) as a Service
IGNITE Technologies
CREDENTIAL DUMPING FAKE SERVICES
CREDENTIAL DUMPING FAKE SERVICES
IGNITE Technologies
A Detailed Guide on Covenant
A Detailed Guide on Covenant
NIST
Computer Security Incident Handling Guide
Computer Security Incident Handling Guide
IGNITE Technologies
DIGITAL FORENSIC FTK IMAGER
DIGITAL FORENSIC FTK IMAGER
Accedere
Cloud Security Assessment
Cloud Security Assessment
YL VENTURES
CISO Reporting Landscape 2024
CISO Reporting Landscape 2024
CISO Edition
Reporting Cyber Risk to Boards
Reporting Cyber Risk to Boards
CIOB
CIOB Artificial Intelligence (AI) Playbook 2024
CIOB Artificial Intelligence (AI) Playbook 2024
INCIBE & SPAIN GOVERNMENT
Nuevas normativas de 2024 de ciberseguridad para vehículos
Nuevas normativas de 2024 de ciberseguridad para vehículos