Metriken für die Cybersicherheitsleistung: Eine laufende Arbeit
Leistungskennzahlen für die Cybersicherheit sind entscheidend dafür, wie gut ein Unternehmen auf Bedrohungen reagiert. Aber es gibt keinen wirklichen Konsens darüber, wie diese Metriken aussehen sollten.
Wichtige Punkte
- Das Fehlen standardisierter Leistungskennzahlen stellt für Unternehmen eine große Herausforderung bei der Bekämpfung von Cybersicherheitsrisiken dar.
- Die Sicherheitsbranche versucht, sich auf eine gemeinsame Reihe von Leistungskennzahlen zu einigen, aber es gibt keinen klaren Weg zum Fortschritt.
- In der Zwischenzeit sollten sich die Unternehmen darauf konzentrieren, ihre eigenen konsistenten und zuverlässigen internen Kennzahlen zu entwickeln.
Wie gut ist die heutige Cybersicherheitsabwehr? Das ist eine schwer zu beantwortende Frage - vor allem, weil es in der Sicherheitsbranche keinen Konsens über Leistungskennzahlen gibt.
Es gibt zwar Leistungskennzahlen für die Cybersicherheit, mit denen die Wirksamkeit bestimmter Tools, Systeme und Ansätze gemessen werden kann, aber keine gemeinsame Sprache, um sie zu vergleichen und gegenüberzustellen. Was funktioniert wirklich - und wie gut?
Das Problem ist, dass sich die Branchengruppen in einigen Fällen nicht auf eine grundlegende Taxonomie der Begriffe einigen können. Ein weiterer Faktor ist die Tatsache, dass die verschiedenen Anbieter unterschiedliche Maßnahmen anwenden. Dies alles macht die Interpretation der Daten außerordentlich schwierig, da die verschiedenen Interessengruppen unterschiedliche Schlussfolgerungen ziehen.
Schließen der Lücke bei den Leistungskennzahlen für Cybersicherheit
Organisationen des öffentlichen und privaten Sektors versuchen, einen Teil dieser Herausforderung zu bewältigen. Das National Institute of Standards and Technology (NIST) holte 2020 öffentliche Stellungnahmen zu einer noch zu veröffentlichenden Version 2 seines "Performance Measurement Guide for Information Security" ein,[1] , und NIST bezieht die Messung in die Themen des NIST Cybersecurity Framework 2.0 ein, das derzeit mit Beiträgen aus dem Privatsektor ausgearbeitet wird.[2] Ein weiteres Beispiel sind die Key Performance Indicators (KPIs) der International Standards Organization.[3]
Im privaten Sektor hat das Forschungs- und Beratungsunternehmen Gartner, das bereits einen allgemeinen Rahmen von Leistungskennzahlen (siehe unten) entwickelt hat, diese Initiative erweitert, indem es zu einer breiten Beteiligung an der Entwicklung von so genannten "Cybersecurity Value Delivery Benchmarks" aufgerufen hat.[4] Und OpenVPN, ein Open-Source-Projekt, hat auf einer Branchenkonferenz in diesem Jahr vorgeschlagene Metriken vorgestellt.[5]
Das NIST hat jedoch selbst festgestellt, dass "selbst bei zunehmenden Risiken und Kosten im Zusammenhang mit der Cybersicherheit die Messung der Cybersicherheit ein unterentwickeltes Thema bleibt - ein Thema, für das es nicht einmal eine Standardtaxonomie für Begriffe wie 'Messungen' und 'Metriken' gibt."[6]
Es wird nicht einfach sein, eine Lösung zu finden. In der Zwischenzeit müssen die Unternehmen ihren eigenen Weg finden.
Was für Sicherheitsexperten auf dem Spiel steht
In Ermangelung von Standardmetriken "haben die meisten Unternehmen schreckliche Metriken, von denen sie selbst nicht glauben, dass sie viel Wert haben", so Paul Proctor, Vice President von Gartner.[7] Die Unternehmensberatung Accenture stellte fest: "Es ist wahrscheinlich, dass Systemadministratoren, Produkteigentümer, Anwendungsentwickler und Unternehmensleiter alle ein unterschiedliches Verständnis bestimmter Begriffe haben."[8]
Infolgedessen ist es schwierig, einen Einblick in die tatsächliche Leistung eines Cybersicherheitssystems zu erhalten - von der Summe seiner Teile bis hin zum Gesamtsystem. Dazu gehören technische Routinemessungen und wichtige Leistungsindikatoren (Key Performance Indicators, KPIs), mit denen bewertet wird, wie gut Unternehmen Angriffe auf die Cybersicherheit identifizieren, schützen, erkennen, darauf reagieren und sich davon erholen.
Im Gegensatz dazu sagte Gartner: "Stellen Sie sich eine Zukunft vor, in der Sie Vergleiche für Cybersecurity-Ergebnisse anstellen können, z. B. für die Zeit bis zur Schließung von Vorfällen, die Geschwindigkeit, mit der Systeme gepatcht werden, das Risiko von Drittanbietern, den Endpunktschutz, Phishing-Bewertungen, die Abweichung von der Cloud-Sicherheitskonfiguration und die Implementierung von Zero Trust. Durch die Kombination dieser Daten mit Reifegrad- und Ausgaben-Benchmarks erhalten Sie die absolute Kontrolle über Ihre Cybersicherheitsinvestitionen und die Berichterstattung für alle wichtigen Interessengruppen."
Rahmen für Leistungsmetriken der Cybersicherheit
Gartner hat einen vierteiligen Rahmen zur Messung der Cybersicherheitsleistung vorgeschlagen, der auf dem Akronym CARE basiert.[9]
- Konsistenzmetriken: Ziel dieser Metriken ist es, festzustellen, ob die Sicherheitskontrollen im Laufe der Zeit im gesamten Unternehmen konsistent funktionieren. Dazu gehören Risikobewertungen durch Dritte und Sicherheitsbewusstsein, wie z. B. Schulungen zum Erkennen von Phishing-Nachrichten.
- Metriken zur Angemessenheit: Mit diesen Kennzahlen wird bewertet, ob die Kontrollen den Geschäftsanforderungen und den Erwartungen der Beteiligten entsprechen. Sie drehen sich um Prozentsätze für Faktoren wie z. B. wie gut ein Unternehmen Patches einsetzt und wie konsequent es Anti-Malware-Schutz auf Endgeräten anwendet.
- Metriken zur Angemessenheit: Mit diesen Metriken soll überprüft werden, ob die Sicherheitskontrollen angemessen, fair und moderat sind, gemessen an ihren Auswirkungen auf das Geschäft. Dazu gehören Auswirkungen wie Verzögerungen, Ausfallzeiten und Nutzerbeschwerden.
- Metriken zur Wirksamkeit: Diese Metriken sollen beurteilen, ob die Sicherheitskontrollen zu den gewünschten Ergebnissen führen. Dazu gehören die Behebung von Schwachstellen und die Häufigkeit von Sicherheitsvorfällen in der Cloud.
Gartners Rahmenwerk bietet eine allgemeine Vorlage, und seine Benchmarking-Initiative soll dazu beitragen, das Rahmenwerk zu vervollständigen.
Ein Element der Leistungsbewertung ist auch in den Rahmenwerken für das Risikomanagement enthalten, wie z. B. in der Cybermaturity Platform von ISACA, einer IT-Fachorganisation.[10]
Ganz allgemein befürwortet Accenture Strukturen für die Leistungsberichterstattung, die sowohl auf einem Top-down- als auch auf einem Bottom-up-Ansatz basieren. Ersteres dreht sich um die Gesamtstrategie eines Unternehmens, während letzteres eine gemeinsame Reise von Geschäfts- und Sicherheitsexperten mit Schwerpunkt auf der Betriebs- und Risikoperspektive beinhaltet. Der Schlüssel, so Accenture, ist die Schaffung einer konsistenten Kommunikation innerhalb eines Unternehmens.
Überbrückungsmaßnahmen für Sicherheitsteams
In Ermangelung allgemein akzeptierter und standardisierter Metriken und KPIs für die Cybersicherheit, die wahrscheinlich nicht so bald auftauchen werden, sollten Unternehmen versuchen, ihr eigenes konsistentes Rahmenwerk zu entwickeln. Zu den Zielen sollte auch die Verringerung der Subjektivität gehören - angefangen bei der Ermittlung von Leistungskennzahlen für die Cybersicherheit, die einfach und kostengünstig zu erfassen sind, die in einer einzigen Maßeinheit ausgedrückt werden können, z. B. in Form eines Prozentsatzes oder einer anderen numerischen Zahl, und die kontextbezogen aussagekräftig sind, d. h. sie können direkt auf die zu diesem Zeitpunkt erforderliche Entscheidung oder Maßnahme angewendet werden.
Die Integration der verschiedenen punktuellen Sicherheitslösungen und Endpunkte eines Unternehmens in eine einzige Plattform, die mit Datenanalysen ausgestattet ist, ist der Schlüssel zur Gewinnung von Erkenntnissen und zur Analyse der Leistung. Zu diesem Zweck implementieren Sicherheitsanbieter wie Mimecast schnell integrierte Plattformen , die auch Extended Detection and Response (XDR) unterstützen, das kritische Daten über E-Mail, Endpunkte, Sicherheitstools, das Netzwerk und die Cloud sammelt und organisiert.
Die Quintessenz
Standardleistungskennzahlen für die Cybersicherheit sind noch in Arbeit - eine wichtige Arbeit, um die Entscheidungsfindung und Verbesserungen bei der Bekämpfung der anhaltenden Welle von Cyberangriffen zu unterstützen. Während führende Organisationen versuchen, einen Konsens zu erzielen, sollten Unternehmen ihre eigenen internen Unstimmigkeiten angehen, um bessere Ergebnisse im Bereich der Cybersicherheit und eine effektivere Kommunikation innerhalb ihrer Organisation zu erreichen. Sehen Sie, wie die integrierte Datenanalyse von Mimecast den Messprozess unterstützen kann.
[1] "Pre-Draft Call for Comments: Leitfaden zur Leistungsmessung für Informationssicherheit," NIST
[2] "Die Reise zum NIST Cybersecurity Framework 2.0," NIST
[3] "Messung von ISO 27001 ISMS-Prozessen: Ein 5-Schritte-Leitfaden," ISO27001-Leitfaden
[4] "Benchmarking Cybersecurity Value Delivery," Gartner
[5] "Why Metrics Are Crucial to Proving Cybersecurity Programs' Value," CSO Online
[6] "Cybersecurity Measurement," NIST
[7] "Benchmarking Cybersecurity Value Delivery," Gartner
[8] "How to Effective Use Metrics for Security Optimization," Accenture
[9] "4 Metriken, die beweisen, dass Ihr Cybersecurity-Programm funktioniert," Gartner
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!