Die 10 wichtigsten Metriken und KPIs für die Cybersicherheit
Mit den richtigen Metriken und Leistungsindikatoren für die Cybersicherheit kann Ihr Unternehmen effizienter und kostengünstiger auf Risiken reagieren.
Wichtige Punkte
- Metriken und wichtige Leistungsindikatoren (Key Performance Indicators, KPIs) sind entscheidend für den Aufbau und die Aufrechterhaltung starker Cybersicherheitsabläufe.
- Verschiedene Gruppen und Abteilungen benötigen unterschiedliche Arten von Metriken und KPIs.
- Um die Leistung zu messen, müssen Unternehmen auch in der Lage sein, Sicherheitsdaten aus allen ihren Netzwerken zu sammeln und zu korrelieren.
Die Identifizierung von Cybersecurity-Risiken und die Einrichtung von widerstandsfähigeren Abwehrmechanismen sind in der Wirtschaft unverzichtbar geworden. Doch der Weg zum Schutz ist oft holprig. Zwar gibt es keinen allgemeingültigen Konsens darüber, welche Techniken ein Unternehmen zur Fortschrittsverfolgung einsetzen sollte, doch ist es weitaus wahrscheinlicher, dass Organisationen, die relevante Messgrößen und KPIs ermitteln, ein besseres Cybersicherheitsprogramm aufbauen.
Experten sagen, dass ein Einblick in die Dinge erforderlich ist, die für bestimmte Gruppen am wichtigsten sind, zusammen mit einer Technologie, die das Metrik- und KPI-Framework unterstützt, wie z. B. Mimecasts X1 Data Analytics. Leider ist dies bei vielen Unternehmen nicht der Fall. Die CyberRisk Alliance berichtet, dass fast vier von fünf Unternehmen nicht den gewünschten Überblick über alle IT- und Sicherheitsprodukte und -dienste haben, geschweige denn in der Lage sind, die Daten aus allen Bereichen zu korrelieren.[1]
Sichtbarkeit ist die Grundlage für ein erfolgreiches Cybersicherheitsprogramm
Ein Ausgangspunkt für die Einrichtung verbesserter Cybersicherheitsmaßnahmen ist die Erkenntnis, dass Einblicke und Daten entscheidend sind. Die Begriffe Cybersicherheitsmetriken und KPIs werden jedoch oft synonym verwendet, obwohl sie eigentlich unterschiedliche Dinge bedeuten. Ersteres steht für die taktische und oft alltägliche Messung der Ergebnisse, während es bei letzterem um strategische und allgemeine Erfolgsmessungen geht.
In der Praxis lassen sich KPIs am besten für die strategische Entscheidungsfindung nutzen, insbesondere im Hinblick auf langfristige Ziele. Diese Kriterien sind besonders wertvoll für CIOs, CSOs, CISOs und andere, die die Budgets und die allgemeine strategische Ausrichtung eines Unternehmens bestimmen. Sie konzentrieren sich darauf, was funktioniert, was nicht funktioniert und wo Verbesserungen möglich sind.
Es ist jedoch unmöglich, wirksame Leistungsindikatoren (KPIs) einzuführen, ohne sie durch Messgrößen zu untermauern - und im Wesentlichen die erforderlichen Daten einzugeben. Metriken liefern die quantitativen Daten, die zeigen, ob ein Werkzeug, ein Programm oder eine Initiative gut funktioniert. Gelegentlich kann es notwendig sein, die Messgrößen zu ändern, und es ist wichtig, für jede Gruppe oder Abteilung geeignete Messgrößen zu verwenden.
Metriken und KPIs fördern die Exzellenz der Cybersicherheitsabläufe
So könnten IT- und Sicherheitsgruppen beispielsweise Kriterien wie nicht identifizierte Geräte in internen Netzwerken, Einbruchsversuche im Vergleich zur tatsächlichen Anzahl von Sicherheitsvorfällen und Daten zur Reaktion auf Vorfälle messen. Die Mitarbeiter des Unternehmens könnten unterdessen dafür zur Rechenschaft gezogen werden, wie oft sie auf falsche Links klicken oder gegen gesetzliche Bestimmungen wie den Datenschutz verstoßen.
Ebenso werden der Vorstand und die leitenden Angestellten wahrscheinlich Kennzahlen zu Cyber-Risiko, Effizienz, Cyber-Resilienz und Cyber-Belastung prüfen. Eine Finanzgruppe hingegen würde sich wahrscheinlich auf Faktoren wie die Risikominderungskosten pro Einheit, das Verhältnis zwischen Verlust und Wert und die Kontrollkosten pro IT-Anlage konzentrieren.
Es ist wichtig zu erkennen, dass nicht alle Risiken gleich sind - genauso wie es wichtig ist zu erkennen, dass kein Tool, keine Technologie, kein Rahmenwerk und kein Verfahren eine 100-prozentige Garantie dafür bieten kann, dass ein Unternehmen sicher bleibt. Die Metriken müssen mit dem akzeptablen Risikoniveau für ein Gerät, ein System oder eine Abteilung übereinstimmen, und ein Unternehmen muss über eine Möglichkeit verfügen, Vorfälle, Risiken und Verbindlichkeiten in diesem Zusammenhang ständig zu bewerten.
Mit den vorhandenen Kennzahlen können Unternehmensleiter und Sicherheitsteams jedoch fundiertere Entscheidungen treffen - insbesondere im Hinblick auf die Gesamteffektivität eines Programms und dessen Kosten. Sie sind auch besser in der Lage, spezifische Werkzeuge und Technologien zu verstehen und zu erkennen, welche Lösungen den größten Nutzen bringen. Neben einem Dashboard, das wichtige Sicherheitsdaten liefert, gibt es einen Mechanismus zur Umwandlung dieser technischen Daten in strategische Informationen, die von Geschäftsanalysten und der Unternehmensleitung genutzt werden können.
Identifizieren Sie die wirklich wichtigen Metriken
Zur Verbesserung der Cybersicherheitsabläufe werden in der Regel mehrere übergeordnete Metriken und KPIs verwendet. Zu denen, die am meisten zählen:
- Eindringversuche vs. tatsächliche Sicherheitsvorfälle. Diese Kennzahl bietet einen allgemeinen Einblick in bestehende Schwachstellen, den Stand der Vorbereitung und die Reaktion der Organisation auf Angriffe.
- Mittlere Zeit bis zum Nachweis (MTTD). Dies ist ein entscheidendes Element, denn je schneller ein Unternehmen einen Angriff erkennt, desto größer ist die Chance, ihn mit minimalem Schaden einzudämmen.
- Mittlere Zeit bis zur Antwort (MTTR). Die Fähigkeit, eine Bedrohung zu neutralisieren und die Systeme wieder in Betrieb zu nehmen, ist von entscheidender Bedeutung, denn je länger sich Ereignisse hinziehen, desto größer sind die Risiken und Kosten.
- Mittlere Zeit bis zur Eindämmung (MTTC). Diese Metrik bezieht sich auf die durchschnittliche Zeit, die benötigt wird, um alle Angriffsvektoren über alle Endpunkte hinweg auszuschalten und die Wahrscheinlichkeit eines weiteren Schadens zu minimieren.
- Nicht identifizierte Geräte im Netzwerk. Die Möglichkeit, nicht identifizierte Geräte zu erkennen und zu kennzeichnen, verringert die Wahrscheinlichkeit, dass jemand unbefugten Zugriff auf das Netzwerk hat, erheblich.
- Kadenz und Effektivität der Patches. Es muss unbedingt sichergestellt werden, dass Software-Patches schnell und effektiv angewendet werden. Es ist jedoch auch wichtig zu wissen, welche Patches Vorrang haben sollten.
- Wirksamkeit der Ausbildung. Es ist wichtig, dass die Mitarbeiter wissen, wie sie auf Angriffe reagieren sollen. Menschliches Versagen ist eine der Hauptursachen für Einbrüche und Ausfälle. So bieten beispielsweise die Erfolgsquoten von Phishing-Tests und die dynamische Risikobewertung - Teil von Mimecasts Security Awareness Training - Einblicke in die Leistung eines Schulungsprogramms.
- Vergleichsdaten aus anderen Unternehmen und der Branche. Anhand unabhängiger Daten lässt sich feststellen, wie ein Unternehmen im Vergleich zu anderen Unternehmen der Branche abschneidet. Es ist jedoch auch wichtig zu wissen, ob Branchen-Benchmarks angemessen sind, damit ein Unternehmen nicht zum Mittelwert zurückfällt.
- Einhaltung der Sicherheitsaudits. Diese Kennzahl liefert verwertbare Informationen darüber, ob die Werkzeuge, Technologien und Verfahren funktionieren - und wo sie versagen.
- Risiko und Einhaltung von Vorschriften durch Dritte. Erweiterte Lieferketten, Anwendungen von Drittanbietern und APIs stellen ein Risiko dar. Daher ist es wichtig, die Risiken im Zusammenhang mit den Rechten und Beziehungen Dritter zu verstehen.
Die Quintessenz
Die Verbesserung der Cybersicherheitsabläufe erfordert Konzentration, Wachsamkeit, die richtige Technologie und bewährte Schulungsmethoden. Die Ermittlung nützlicher Metriken und die Erzielung einer angemessenen Transparenz, um sie auf alle IT- und Sicherheitsressourcen eines Unternehmens anzuwenden, kann eine Herausforderung darstellen. Doch Unternehmen, die wissen, welche Kennzahlen für bestimmte Gruppen wirklich wichtig sind - und auch die KPIs, die die Leistung insgesamt bestimmen -, sind in der Lage, Risiken zu verringern und potenziell lähmende Angriffe zu vermeiden. Lesen Sie, wie Mimecast Data Analytics Ihre Leistungsmessung unterstützen kann.
[1] "Erweiterte Erkennung und Reaktion (XDR): Zu berücksichtigende Metriken," SC Media
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!