Sicherheitsverantwortliche müssen die Auswirkungen von Cybersecurity-Maßnahmen messen und tracken, um Bereiche zu identifizieren, die Aufmerksamkeit erfordern, den Stakeholdern den Wert zu demonstrieren, laufende Investitionen zu sichern und Vertrauen in die Führungsteams aufzubauen. Es gibt jedoch keinen Standardsatz von Kennzahlen zur Auswahl – wie bestimmen Sie also die richtigen Kennzahlen, die auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten sind?
Auf dem Okta CISO Forum, einer Gruppe von mehr als 50 CISOs, die sich regelmäßig treffen, um Best Practices auszutauschen, teilten Sicherheitsverantwortliche die Werkzeuge und Kennzahlen mit, die sie zur Bewertung ihrer Programme verwenden. Obwohl sich ihre Messansätze und spezifischen KPIs unterscheiden, verwendet jeder eine Mischung aus qualitativen Erzählungen und quantitativen Daten, um eine überzeugende Geschichte über die Wirksamkeit und Rendite (ROI) von Cybersicherheitsinitiativen zu erzählen.
Hier ist ein umfassender Überblick darüber, wie Sicherheitsverantwortliche den Erfolg ihrer Sicherheitsprogramme messen können, gestützt auf reale Beispiele.
Quantitative Kennzahlen: die Zahlen, die den Erfolg vorantreiben
Kennzahlen dienen als Brücke zwischen technischer Implementierung und Geschäftsergebnissen und ermöglichen es Sicherheitsleitern, den ROI nachzuweisen, Zustimmung zu erhalten, Fortschritte zu tracken und Verantwortlichkeit zu etablieren. Quantitative Kennzahlen sind mächtig, weil sie datengestützte Erkenntnisse in einer Sprache vermitteln, die Entscheidungsträger verstehen.
1. Risikokennzahlen
Reduzierung identifizierter Risiken misst, wie effektiv Ihr Team im Laufe der Zeit die kritischen Schwachstellen Ihres Unternehmens angeht. Risiko-Bewertung-Trends, unterdessen zeigen Kategorien von Verbesserungen bei jährlichen oder vierteljährlichen Überprüfungen, die greifbare Fortschritte veranschaulichen können.
„Jedes Jahr führen wir eine Risikobewertung durch und zeigen die Fortschritte in verschiedenen Kategorien innerhalb der Cybersicherheit“, sagt Jane Domboski, CISO bei OneMain Financial, einem Unternehmen, das verantwortungsvollen Zugang zu Krediten bietet „Die Möglichkeit, dem Vorstand im Laufe der Zeit Trends aufzuzeigen, war sehr hilfreich, um den Wert dessen, was wir tun, zu erklären.“
2. Betriebskennzahlen
Die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) erfassen die Geschwindigkeit und Effizienz der Erkennung und Abwehr von Bedrohungen, sobald diese auftreten. Eine Verringerung von MTTD und MTTR im Laufe der Zeit kann auf ein ausgereiftes Sicherheitsprogramm hinweisen. Die mittlere Eindämmungszeit (MTTC), also die durchschnittliche Zeit, die benötigt wird, um die Ausbreitung einer Bedrohung zu stoppen, ist eine weitere Kennzahl, die Sicherheitsverantwortliche möglichst reduzieren sollten, um den potenziellen Schaden durch Bedrohungen zu minimieren. Die mittlere Zeit zwischen Ausfällen (MTBF) wird häufig verwendet, um die Zuverlässigkeit eines Systems zu messen.
Vulnerability-Patching-Kadenz misst, wie schnell Ihr Team Patches für kritische Schwachstellen im Vergleich zu Branchen-Benchmarks anwendet. In der Zwischenzeit überwachen die Kennzahlen zur Reduzierung von Vorfällen die Abnahme von Sicherheitsvorfällen (insbesondere Vorfälle mit mittlerem und hohem Schweregrad) im Laufe der Zeit.
„Cyber-Resilienz bedeutet nicht nur, sich von einem Ereignis zu erholen“, sagt Ken Collins, Sr. Director, Information Security bei Sunbelt Rentals, einem nordamerikanischen Unternehmen für Geräte- und Werkzeugvermietung. „Es geht darum sicherzustellen, dass Ihr Unternehmen seine Mission auch angesichts von Widrigkeiten erfüllen kann, mit Vorbereitung und eingeübten Erwartungen.
3. Kennzahlen zur Servicebereitstellung
Die Messung der Einhaltung des Service Level Agreements (SLA) hilft sicherzustellen, dass Sie Sicherheitsdienste den Stakeholdern innerhalb des vereinbarten Zeitrahmens bereitstellen. Ebenso wichtig ist es, Business-Impact -Kennzahlen zu messen, wie gut Ihr Team Anwendungs- oder Netzwerkausfälle während Sicherheitsbereitstellungen vermeidet.
Bei Kyndryl, einem IT-Infrastrukturanbieter, sagt CISO Cory Musselman, dass es um Balance geht. „Wir haben eine ‚Cyber-Balance-Scorecard‘ erstellt, um unsere KPIs jedes Quartal zu messen, damit wir der Führungsebene und dem Vorstand zeigen können, dass wir unseren Plan umsetzen.“ „Aus der Perspektive der Customer Experience bedeutet das, zu evaluieren, wie gut wir unsere SLAs einhalten, ohne Unterbrechungen zu verursachen.“
4. Kennzahlen für Sicherheitsbewusstseinstraining
Kennzahlen des Sicherheitsbewusstseinstrainings helfen dabei, das menschliche Element Ihres Sicherheitsprogramms zu bewerten, indem sie beurteilen, wie effektiv Mitarbeiter Best Practice verinnerlichen und in realen Szenarien anwenden. Sicherzustellen, dass Ihre Belegschaft wachsam bleibt und gut über potenzielle Bedrohungen informiert ist, ist ein wesentlicher Bestandteil der Risikominimierung. Dies kann Abschlussquoten für Sicherheitstrainingsprogramme, Training-Bewertungsergebnisse, Phishing-Simulations- Klickraten, die den Prozentsatz der Mitarbeiter erfassen, die auf simulierte Phishing-Links klicken, und Phishing-Melderaten umfassen.
„Sicherheitsbewusstseinsprogramme sollten das Reporting verdächtiger Aktivitäten betonen, anstatt Fehler zu bestrafen“, sagt Collins „Wir haben gesehen, dass 'see something, say something' die Reportingraten erhöht, was das unternehmensweite Risiko reduziert."
5. Finanzkennzahlen.
Finanzkennzahlen können auch genutzt werden, um den Erfolg Ihres Sicherheitsprogramms zu bewerten. Zum Beispiel kann die Berechnung der Kosten von Vorfällen die Einsparungen aufzeigen, die durch proaktive Sicherheitsmaßnahmen erzielt werden. Die Messung des ROI wird auch aufzeigen, wie bestimmte Tools oder Prozesse die Sicherheitsergebnisse im Vergleich zu ihren Implementierungskosten verbessert haben.
Qualitative Kennzahlen: Aufbau der Erzählung
Während quantitative Kennzahlen harte Daten liefern, helfen qualitative Maßnahmen, die Geschichte hinter den Zahlen zu erzählen. Sie kontextualisieren Sicherheitsbemühungen und betonen Bereiche, in denen weniger greifbare Verbesserungen dennoch erheblichen organisatorischen Wert schaffen.
1. Ausrichtung an Frameworks
Viele CISOs verwenden Cybersecurity-Frameworks wie das NIST Cybersecurity Framework (CSF) als Kompass zur Messung der gesamten Programmreife. Obwohl das CSF keine Zertifizierung oder ein offizielles Compliance-Framework ist, bietet es einen standardisierten Ansatz für die Cybersicherheit und trägt dazu bei, das Vertrauen der Stakeholder zu stärken. Um den fortlaufenden Wert eines bestimmten Framework nachzuweisen, sollten die Teams ihre Initiativen regelmäßig den Kernsäulen abgleichen, wie der Fähigkeit zu identifizieren, zu schützen, zu erkennen, zu reagieren und sich zu erholen.
„Am Anfang sieht der Erfolg so aus, dass man sich an einige Compliance-Standards hält oder Risiken angeht, die in externen Audits identifiziert wurden“, sagt Collins „Aber in einem ausgereiften Programm werden diese zu Ihrer Basislinie, und der Erfolg entwickelt sich dahingehend, fortgeschrittene Bedrohungen durch operative Effizienz statt durch Heldentum anzugehen."
2. Feedback der Stakeholder.
Um Ihre Cybersecurity-Programme für die Zukunft zu optimieren, holen Sie Feedback von anderen Business Units und Stakeholdern ein. Wie gut fördert Ihr Programm eine Kultur des Sicherheitsbewusstseins? Wie leistet es Support für die Datenzugänglichkeit, die Systemverfügbarkeit oder die rechtzeitige Behebung von Bedrohungen? Das aktive Einholen und Berücksichtigen dieses Feedbacks demonstriert ein Engagement für Zusammenarbeit und kontinuierliche Verbesserung.
„Ein CEO, der ‚gute Arbeit‘ sagt, ist ebenfalls eine wichtige Kennzahl“, sagt Collins. „Es spiegelt das Vertrauen in Ihre Arbeit wider und zeigt, dass Ihr Sicherheitsprogramm mit den Geschäftsprioritäten der Führungsebene übereinstimmt.“
3. Talentmetriken
CISOs integrieren die Leistung und das Wohlbefinden ihres Teams in ihre Gesamtstrategie zur Messung des Erfolgs ihrer Sicherheitsprogramme. Wichtige Kennzahlen, die in diesem Bereich verfolgt werden sollten, umfassen Mitarbeiterbindung und Experience, um sicherzustellen, dass kritische Teammitglieder engagiert bleiben. Darüber hinaus sollten CISOs Effizienzsteigerungen tracken, um festzustellen, ob jüngere und weniger erfahrene Teammitglieder mit den Werkzeugen ausgestattet sind, die sie benötigen, um effektiver beitragen zu können.
Wie Musselman sagt: „Auf der Talentseite der Cybersicherheit betrachten wir Mitarbeiterbindung, Diversität und Employee Experience, denn ein starkes, engagiertes Team steht im Mittelpunkt all dessen, was wir tun.“
Von Kennzahlen zu Maßnahmen
Das Messen und Kommunizieren der Erfolge Ihres Sicherheitsprogramms ist entscheidend, um Zustimmung zu erhalten, den Wert zu demonstrieren und Bereiche für Verbesserungen zu identifizieren – all dies kann den Erfolg Ihres Programms in einer Feedback Loop verstärken. Stellen Sie sicher, dass Sie Ihre Kennzahlen mit umfassenderen Geschäftszielen in Einklang bringen, Tools wie Balanced Scorecards nutzen und Frameworks wie NIST verwenden, um Ihre Strategie zu steuern.
Wenn Sie gerade erst anfangen, ist es in Ordnung, klein anzufangen. „Beginnen Sie mit etwas Einfachem“, sagt Collins. „Schon eine einzige Kennzahl kann Ihnen eine Grundlage bieten.“ Stellen Sie die Zuverlässigkeit sicher, bevor Sie expandieren. Der Versuch, 15 Kennzahlen auf einmal einzurichten, wird Ihnen Rauschen statt Erkenntnissen liefern."
Indem Sie harte Daten mit überzeugenden Erzählungen kombinieren, können Sie den Erfolg Ihres Programms effektiv messen und gleichzeitig kontinuierliche Verbesserungen im Laufe der Zeit vorantreiben.
Wie Collins sagt: „Konsistenz, Klarheit und Kommunikation sind der Schlüssel.“ „Sprechen Sie ihre Sprache, zeigen Sie Ihre Arbeit und messen Sie nicht nur Ihr Programm – messen Sie dessen Auswirkungen.“
Für weitere Einblicke lesen Sie unseren Leitfaden für CISOs, wie man den ROI der Cybersicherheit nachweist.
