Anzahl der Eindringversuche, durchschnittlicher Schweregrad von Sicherheitsvorfällen, Überwachung von Viren und Malware, Mittlere Zeitmetriken, Datenvolumen des Unternehmensnetzwerks…. Sicherheitsverantwortliche werden mit einer Vielzahl von Metriken überflutet.

Im besten Fall sind zu viele Metriken eine Ablenkung, die Ihre Aufmerksamkeit verwässert. Im schlimmsten Fall können sie ein irreführendes Bild der Leistung Ihres Cybersicherheitsprogramms zeichnen und Ihre Fähigkeit beeinträchtigen, fundierte Geschäftsentscheidungen zu treffen. Zu viele Metriken können auch Ihre Führungskräfte und den Vorstand verwirren und überwältigen.

Die effektivsten CISOs, CIOs und IT-Sicherheitsleiter sind in der Lage, Signal von Rauschen zu trennen, indem sie sich auf die richtigen Schlüsselkennzahlen konzentrieren und diese obsessiv überwachen. Zu diesem Zweck haben wir eine Liste von 10 Kennzahlen und KPIs erstellt, die CISOs und Sicherheitsteams umsetzbare Einblicke in ihre Cybersicherheitsinitiativen geben. Sie sollten nur die relevantesten dieser Kennzahlen für Ihre Situation auswählen.

Cybersicherheitsmetriken vs. KPIs

Ein kurzer Exkurs, bevor wir in die Liste der Metriken und KPIs eintauchen — was ist der Unterschied zwischen Cybersicherheitsmetriken und KPIs?

KPIs messen die Leistung in Bezug auf strategische Geschäftsziele. Sie helfen CISOs und anderen Cybersicherheitsverantwortlichen zu verstehen, welche Aspekte des Sicherheitsprogramms erfolgreich umgesetzt wurden und welche Bereiche weitere Aufmerksamkeit benötigen, damit sie fundierte Entscheidungen zur Cybersicherheitsstrategie treffen können.

Cybersicherheitsmetriken bieten quantitative Einblicke in die Leistung der Sicherheitskontrollen und -programme einer Organisation.

KPIs sollten umsetzbar und zielorientiert sein. Hier ist ein Beispiel für einen Cybersicherheits-KPI vs. Metrik:

• Cybersicherheits-KPI: Messung der Effektivität des Sicherheitstrainings durch eine durchschnittliche Sicherheitsgesundheitsbewertung der Mitarbeiter
• Cybersicherheitsmetriken: Abschlussquoten des Sicherheitsbewusstseinstrainings, durchschnittliche Testergebnisse, Erfolgsquoten bei Phishing-Tests, Anerkennungsraten der Richtlinien

Die richtigen Cybersicherheitsmetriken und KPIs sind entscheidend für die Messung der Leistung und das effektivere und effizientere Reagieren auf Risiken. Sie bieten eine bessere Sichtbarkeit, wie Cybersicherheitsinitiativen im gesamten Unternehmen Mehrwert schaffen. Und sie helfen CISOs und CIOs, der Unternehmensleitung und dem Vorstand zu zeigen, was sie getan haben, um die Integrität und Sicherheit der Daten im gesamten Unternehmen zu schützen.

10 wichtige Kennzahlen zur Cybersicherheit, die 2023 verfolgt werden sollten

Diese zehn Metriken und KPIs helfen Ihnen, die Wirksamkeit Ihrer Informationssicherheitskontrollen und -initiativen zu messen. Mit diesen Metriken sind Sie gut gerüstet, um Risiken zu identifizieren und zu mindern und Ihre Informationswerte zu schützen.

KPIs zur Bedrohungserkennung und Reaktion auf Vorfälle

1. Mittlere Erkennungszeit (MTTD): Je schneller Ihr Team einen Sicherheitsvorfall erkennt, desto schneller kann es reagieren. Diese Metrik misst die durchschnittliche Zeitspanne zwischen dem Auftreten eines Vorfalls und dessen Erkennung.

2. Durchschnittliche Reaktionszeit (MTTR): Je schneller Ihr Team auf einen Vorfall reagieren kann, desto besser kann es diesen eindämmen und seine Auswirkungen begrenzen. Die Messung der durchschnittlichen Zeit, die Ihr Team benötigt, um eine Bedrohung zu neutralisieren und die Kontrolle über kompromittierte Systeme zurückzugewinnen, kann Ihnen helfen, potenzielle Schäden zu minimieren und Ihre Bemühungen zu optimieren.

3. Durchschnittliche Eindämmungszeit (MTTC): Wie lange dauert es, bis Ihr Team alle kompromittierten Endpunkte und Angriffspunkte sichert? Die Verfolgung dieser Kennzahl kann die Effizienz und Wirksamkeit Ihres Teams bei der Reduzierung der Auswirkungen eines Sicherheitsvorfalls oder Cyberangriffs demonstrieren.

Konzentrieren Sie sich auf MTTR und wenn es später sinnvoll erscheint, fügen Sie MTTD hinzu.

Leistungskennzahlen

4. Durchschnittliche Verzögerung und Ausfallzeit: Diese Kennzahl verfolgt die durchschnittliche Zeit, in der Systeme nicht betriebsbereit sind, sei es für Reparaturen, korrektive und präventive Wartung oder Systemausfälle. Laut Gartner kostet eine einzige Minute Ausfallzeit Unternehmen durchschnittlich 5.600 US-Dollar. Die beste Möglichkeit, Ausfallrisiken zu mindern und Kosten zu minimieren, besteht darin, Trends zu verfolgen und zu identifizieren.

5. Durchschnittliche Kosten pro Sicherheitsvorfall: Wie viel kostet es, auf einen Angriff zu reagieren und ihn zu bewältigen? Berücksichtigen Sie Faktoren wie Untersuchungs- und Behebungskosten sowie Produktivitätsverlust und Überstunden der Mitarbeiter. Achten Sie darauf, dass Ihre KPI hier gut informiert und durch gute Daten gestützt ist. Wenn Sie sich etwas ausdenken und es nicht erklären können, verlieren Sie an Glaubwürdigkeit.

6. Anzahl der Systeme mit bekannten Schwachstellen oder einer hohen Anzahl von Fehlkonfigurationen: Ein gutes Verständnis der Schwachstellen in Ihrer Umgebung ist entscheidend für die Identifizierung und Eindämmung von Bedrohungen. Wie viele Schwachstellen sind in Ihrem System vorhanden und welche davon sind kritisch? Berichte aus regelmäßigen Schwachstellenscans, Penetrationstests und Patch-Releases können Trends in der Anzahl exponierter Assets aufzeigen und die Effektivität Ihres Schwachstellenmanagements nachweisen.

Vorbereitungskennzahlen

7. Effektivität des Sicherheitstrainings: Mitarbeiter, die wissen, wie man potenzielle Cyber-Bedrohungen erkennt und darauf reagiert, sind entscheidend, um eine Sicherheitsverletzung zu verhindern. Wie effektiv ist Ihr Sicherheitsbewusstseinstraining bei der Reduzierung menschlicher Risiken? Diese Kennzahlen helfen Ihnen zu verstehen, was funktioniert und Chancen zur Verbesserung zu identifizieren.

• Prozentsatz der Mitarbeiter, die in den letzten 12 Monaten ein Sicherheitsbewusstseinstraining abgeschlossen haben und Quiz-Ergebnisse
• Erfolgsquote von Phishing-Tests

8. Berichte zur Sicherheitsrisiko- und Compliance-Berichte von Anbietern; Sicherheitsratings: Fast 60 % der Unternehmen glauben, dass sie aufgrund des Zugriffs von Anbietern eine Datenpanne erlitten haben. Sicherheitsbewertungen von Anbietern bieten einen Überblick über die Stärke der Sicherheitslage einer Organisation. Die Verfolgung der Sicherheitsbewertungen für die Anbieter, mit denen Sie zusammenarbeiten, kann eine effektive Möglichkeit sein, Ihr Risiko zu überwachen und zu begrenzen.   Lieferketten und Anbieter sind entscheidend, viele haben weniger als ideale Datensicherheitspraktiken, was einen direkten und wichtigen Einfluss auf jedes Sicherheitsprogramm hat.

9. Patch-Intervall (und Patch-Intervall der Anbieter): Wie oft überprüft Ihre Organisation Systeme, Netzwerke, Geräte und Anwendungen auf Updates, die Sicherheitslücken schließen? Ein gut etablierter Patch-Prozess kann Ihnen helfen, Schwachstellen zu verfolgen, zu überwachen, zu priorisieren und zu begrenzen. Wenn Sie nicht patchen, sind Sie anfällig für Sicherheitsverletzungen.

10. Zugriffsmanagement: Eine starke IAM-Strategie (Identitäts- und Zugriffsmanagement) beeinflusst mehrere Aspekte einer Organisation, von der Stärkung der Datensicherheit und Vertraulichkeit bis hin zur Reduzierung der Arbeitslast für IT- und Informationssicherheitsteams. Indem Sie Zugriffssteuerungen überwachen und den Zugang auf das notwendigste Minimum beschränken, können Sie den Stakeholdern zeigen, dass Sie das Risiko von unbefugtem Zugriff erheblich reduziert haben.

• Anzahl der Benutzer mit Superuser-Zugriffsebene
• Durchschnittliche Zeit zur Deaktivierung von Mitarbeiteranmeldeinformationen
• Überprüfungsintervall des Drittzugriffs

Interne Sicherheitsprüfungen und Compliance-Berichte sollten regelmäßig überprüft werden, um die Kernelemente Ihrer Informationssicherheitsposition zu aktualisieren, wie z. B. Ihr aktuelles Bedrohungsbild, Ihre Risikomanagementstrategie, die Risikobeleuchtung durch Dritte, den Sanierungsplan und alle internen Leistungsbenchmarks.

Berichterstattung für Führungskräfte: Wie man Cybersicherheitsmetriken sinnvoll gestaltet

Das Verfolgen relevanter Metriken ist nur ein Teil des Puzzles – es ist entscheidend, diese Metriken für andere wichtige Stakeholder relevant zu machen.

Sie könnten 10 oder 15 (oder mehr) Metriken für Ihren eigenen Nutzen verfolgen, aber als CISO ist es Ihre Aufgabe, diese Metriken zu nehmen und eine Geschichte zu erzählen, die auf Ihr spezifisches Publikum zugeschnitten ist und erklärt, warum sie sich dafür interessieren sollten. Wenn Sie dem Führungsteam berichten, könnten Sie die sechs oder sieben wichtigsten Metriken teilen, aber wenn Sie dem Vorstand berichten, könnten Sie nur zwei oder drei hervorheben.

Was interessiert Ihr Publikum und wie können Sie die Auswirkungen Ihrer Sicherheits- und Compliance-Aktivitäten auf diese wichtigen Unternehmensziele zeigen?

Der Vorstand interessiert sich für Einnahmen und Gewinne, also verwenden Sie Ihre Berichterstattungsmetriken, um zu demonstrieren und zu quantifizieren, wie Ihre Bemühungen diesen Bereich positiv beeinflusst haben. Vielleicht haben Sie neue Sicherheitszertifizierungen erworben oder einen schnelleren RFP- und Sicherheitsfragenprozess implementiert, was sich positiv auf die Anzahl der gewonnenen Kunden oder die durchschnittliche Dealgröße auswirkte.

Wenn Sie die Quartalsergebnisse mit dem Führungsteam teilen, könnten Sie eine Reihe von KPIs präsentieren, die aggregierte Werte verschiedener Sicherheits- und Compliance-Metriken sind: eine Risikobewertung für Schwachstellen, eine Risikobewertung für Dritte, einen Sicherheits-Compliance-Score, einen Sicherheitsbewusstseins-Score – und dann demonstrieren Sie, wie sich diese aggregierten Werte im Laufe der Zeit entwickelt haben und wie sie die Gesamtgesundheit der Organisation beeinflussen.

Was auch immer Sie präsentieren möchten, es muss auf Ihre Organisation und Ihr Publikum zugeschnitten sein. Als CISO ist es entscheidend, dass Sie in der Lage sind, Ihre Metriken in eine sinnvolle Erzählung zu übersetzen, die erklärt, wie Sicherheits-, Datenschutz- und Compliance-Programme im gesamten Unternehmen Mehrwert schaffen.

Die richtigen Cybersicherheitsmetriken für Ihr Unternehmen auswählen

Wie bei fast allem in der Welt der Informationssicherheit gibt es keine Einheitslösung. Während die oben aufgeführten Metriken Ihnen wesentliche Einblicke in die Leistungsfähigkeit Ihres Cybersicherheitsprogramms im Laufe der Zeit geben, hängen die genauen Metriken, die Sie verfolgen, von Ihrer spezifischen Branche, den Vorschriften, den Kundenanforderungen und dem Cybersicherheitsrisikoprofil ab.

Eine All-in-One-Plattform für Sicherheits- und Datenschutzautomatisierung wie Secureframe macht es einfach, aussagekräftige Einblicke in die Leistungsmetriken zu erhalten, die Ihnen am wichtigsten sind. Ein kontinuierliches Monitoring über Ihren gesamten Technologie-Stack hinweg bietet vollständige Transparenz und umsetzbare Einblicke in Ihre Datensicherheits- und Datenschutzstellung. Echtzeit-Dashboards geben Ihnen einen klaren Überblick über Ihren Compliance-Status auf einen Blick.

Erfahren Sie mehr über die leistungsstarken Berichtsfunktionen von Secureframe oder sehen Sie die Plattform in Aktion, indem Sie eine Demo anfordern.