Bereitstellung wichtiger Metriken für die Cybersicherheit auf Vorstandsebene
Die Cybersicherheit hängt vom Engagement auf den höchsten Ebenen eines Unternehmens ab. Es ist von entscheidender Bedeutung, dass der Vorstand und die Geschäftsleitung den richtigen Einblick haben, um die Kontrolle auszuüben.
Wichtige Punkte
- CISOs müssen sicherstellen, dass ihre Vorstände und Geschäftsführungen die richtigen Informationen und Daten zur Cybersicherheit erhalten.
- Es ist von entscheidender Bedeutung, die für das Unternehmen wichtigsten Kennzahlen zu präsentieren - und nicht nur operative Kennzahlen umzufunktionieren.
- Die Führungskräfte eines Unternehmens benötigen Messgrößen, die das Geschäftsrisiko, die strategischen Ziele und die Kosteneffizienz berücksichtigen, um bessere Entscheidungen im Bereich der Cybersicherheit treffen zu können.
Die Cybersicherheit ist eine sich ständig verändernde Landschaft. Neue Schwachstellen, Bedrohungen und Angriffsmethoden tauchen auf, während andere wieder verschwinden. Inmitten all dieser Ungewissheit müssen sich Vorstände und Geschäftsführungen mit diesen Risiken und ihren möglichen Auswirkungen auf das Geschäft auseinandersetzen.
Die meisten Top-Führungskräfte in Unternehmen haben erkannt, dass Cyber-Risiken Geschäftsrisiken sind, so ein demnächst erscheinender Mimecast-Bericht über die sich entwickelnde Wahrnehmung von Cyber-Risiken. Es gibt jedoch Kompromisse auf hoher Ebene: Ausgaben für Cybersicherheitsprogramme im Vergleich zu Cyber-Versicherungen zum Beispiel oder die Einführung zusätzlicher Sicherheitsprotokolle im Vergleich zu Geschäftsproduktivität und Kundenerfahrung. CISOs müssen ihre Top-Führungskräfte mit den Metriken und Key Performance Indicators (KPIs) ausstatten, die sie benötigen, um die richtigen Entscheidungen zur Risikominderung zu treffen.
Metriken auf Vorstandsebene sollten drei Ziele erreichen:
- Vereinfachen Sie die Entscheidungsfindung: Leicht verständliche Informationen sind unerlässlich. Der Vorstand und die Geschäftsleitung sind in der Regel technisch nicht versiert und zu beschäftigt, um sich durch die Datenschichten zu kämpfen.
- Konzentrieren Sie sich auf das Geschäftsrisiko: Bei der Präsentation des CISO vor dem Vorstand ist der geschäftliche Kontext entscheidend für die Entscheidungsfindung im Bereich Cybersicherheit.
- Legen Sie eine Kosten-Nutzen-Analyse vor: Wenn Führungskräften das Vertrauen in ein Programm - und in bestimmte Instrumente und Methoden - fehlt, ist es unwahrscheinlicher, dass sie eine angemessene Finanzierung genehmigen.
Obwohl es keine Vorlage für die richtigen Kennzahlen und KPIs gibt - sie hängen stark von der Organisation und ihrer Führung ab - gibt es bewährte Verfahren und Kernkennzahlen, die den meisten Cybersicherheitsrahmen gemeinsam sind.
Metriken untermauern ein effektives Cybersicherheitsprogramm
Ein Ausgangspunkt für jeden Metrikrahmen auf Vorstandsebene ist die Erkenntnis, dass jedes Unternehmen in gewissem Maße ein Technologieunternehmen ist und daher digitale Risiken unvermeidbar sind. Zwar ändern sich die Bedingungen und Ereignisse - von Arbeitsmodellen über technologische Tools bis hin zu Angriffstechniken -, doch der gemeinsame Nenner ist die Notwendigkeit, die tatsächlichen Risiken und finanziellen Auswirkungen zu verstehen.
Daher ist es wichtig, Ereignisse, Bedrohungen und organisatorische Risiken strategisch anzugehen. CISOs müssen der Geschäftsleitung und dem Vorstand die richtigen Informationen in verständlicher Form liefern. In der Regel bedeutet dies, dass nur die wichtigsten Daten und Informationen präsentiert werden, dass die Inhalte kurz und verständlich gehalten werden und dass Fachsprache und Jargon vermieden werden. Wenn ein CEO oder CFO mehr Informationen wünscht, wird er danach fragen. Umgekehrt wollen Unternehmensleiter ihre Zeit nicht damit verschwenden, einen CISO zu bitten, ihre Verwendung von Fachjargon oder unnötigen technischen Details zu erklären.
Strategische Elemente wie Pläne, organisatorische Ziele, Kosten und Ergebnisse treffen genau ins Schwarze. Häufig wünschen sich die Führungskräfte eine Scorecard, aus der hervorgeht, wie das Unternehmen derzeit abschneidet, wie es im Vergleich zu seinen Mitbewerbern abschneidet, welche Fortschritte es gemacht hat (oder gerade macht) und wo es in 12 bis 18 Monaten stehen möchte.
Paul Philips, ISACA's Risk IT Professional Practices Lead, beschreibt den Erfolg als "Wege zu finden, die Geschichte der Cybersicherheit mit der übergreifenden Geschichte zu verbinden, die die Unternehmensführung erzählt". Die entscheidende Frage, die sich die Vorstände stellen, ist, ob "das Management die richtigen Dinge tut, um uns bei der Verfolgung unserer strategischen Ziele voranzubringen."[1]
8 Metriken und KPIs auf Vorstandsebene
Die schlechte Nachricht ist, dass die Cybersicherheitsbranche selbst keinen Konsens über die Metriken hat, was grundlegende Risikomanagementberechnungen wie Branchen-Benchmarking und vergleichende Technologiebewertungen erschweren kann. Die gute Nachricht ist, dass die folgenden acht Faktoren bei der Entwicklung aussagekräftiger und durchaus nützlicher Kennzahlen auf Vorstandsebene eine Rolle spielen können.
- Eindringversuche im Vergleich zu tatsächlichen Sicherheitsvorfällen: Diese Kennzahl gibt zumindest Aufschluss über die Wirksamkeit des Cybersicherheitsschutzes. Noch nützlicher ist es, wenn die Daten mit den Kosten korreliert sind und in einer Trendlinie dargestellt werden.
- Mittlere Zeit bis zur Erkennung: Dieser Indikator zeigt, wie schnell ein Unternehmen kritische Schwachstellen und Cyberangriffe erkennt. Sie sind besonders wertvoll, wenn sie mit Branchennormen und Spitzenleistungen verglichen werden können.
- Mittlere Zeit bis zur Reaktion: Je länger sich ein Vorfall hinzieht, desto höher sind die Kosten. Diese Daten, insbesondere wenn sie über einen längeren Zeitraum verfolgt werden, zeigen, wie effektiv die Systeme bei der Neutralisierung kritischer Schwachstellen und Angriffe sind.
- Mittlere Zeit bis zur Eindämmung: Die Beurteilung, wie gut ein Unternehmen reagiert, wenn eine kritische Schwachstelle oder ein Angriff auftritt, ist das A und O einer schnellen Eindämmung - und der Minimierung zusätzlicher Risiken und Kosten.
- Zeit bis zur Wiederherstellung: Ein effektiver Angriff kann sich auf Kunden, Mitarbeiter und Geschäftspartner sehr stark auswirken. Ausfallzeiten stellen ein Risiko für das Unternehmen dar. Entscheidend ist, wie schnell ein Unternehmen seine Systeme wieder in Betrieb nehmen kann.
- Menschliche Investitionen: Menschliches Versagen ist ein wichtiger Faktor für die Cybersicherheit. Mit einer effektiven Schulungsstrategie und Übungen können die Erfolgsquoten von Phishing erheblich gesenkt werden. Führende Schulungsprogramme für das Sicherheitsbewusstsein können Klicks auf schädliche Links und andere unerwünschte Verhaltensweisen reduzieren und gleichzeitig Risikobewertungen liefern, die die Verbesserung der Mitarbeiter verfolgen.
- Sicherheit und Einhaltung von Vorschriften: Die Einhaltung einer wachsenden Zahl von Vorschriften, darunter Datenschutzbestimmungen wie die europäische Datenschutz-Grundverordnung und das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern, steht ganz oben auf der Liste der Bedenken von Vorstand und Geschäftsleitung, die sich in der Regel große Sorgen über die Nichteinhaltung von Vorschriften, Strafen und das damit verbundene Reputationsrisiko machen.
- Kosten-Nutzen-Analyse: Wenn Unternehmen ihre Cybersicherheitsprogramme verbessern und weiterentwickeln wollen, ist es wichtig zu wissen, was funktioniert, was nicht funktioniert und wo Lücken bestehen. Es ist ratsam, über einen grün-gelb-roten Ansatz hinauszugehen und stattdessen forensische Untersuchungen nach einem Einbruch und wahrscheinlichkeitsbasierte Daten zu verwenden. Wie stark könnte ein Upgrade beispielsweise die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs verringern, und wie viel Geschäft steht auf dem Spiel?
Diese acht wichtigen Faktoren lassen sich am besten anhand der von den Sicherheitsteams tatsächlich durchgeführten Vorbereitungsmaßnahmen nachvollziehen. Aktivitäten wie Tabletop-Übungen oder Rot/Blau/Violett-Teamübungen können dazu beitragen, Katastrophen und erfolgreiche Cyberangriffe zu simulieren, damit Organisationen ihre derzeitigen Reaktionsmöglichkeiten besser verstehen können. Es kann nicht hoch genug eingeschätzt werden, wie wichtig es ist, dass Unternehmen ihre Verteidigungssysteme regelmäßig testen.
Die Quintessenz
Die Ermittlung der richtigen Kennzahlen, die dem Vorstand und der Geschäftsleitung vorgelegt werden, ist von zentraler Bedeutung für die Entwicklung eines Cybersicherheitsprogramms, das für die heutigen Herausforderungen gerüstet ist. CISOs sollten die von ihnen verwendeten Metriken und KPIs überprüfen, um sicherzustellen, dass sie geschäftsorientiert sind und die sich ständig weiterentwickelnde Geschäfts-, IT- und Cybersicherheitslandschaft widerspiegeln.
[1] "Cyber Risk and Communicating to a Board of Directors," ISACA Podcast.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!