Maßgeschneidert: Wie man bessere Metriken für die Cybersicherheit entwickelt

Sicherheit ist kein einmaliger Prozess mit einem festen Endpunkt: Es ist ein ständiges Bestreben, den bösen Jungs einen Schritt voraus zu sein.
Und Metriken sind ein wichtiger Teil des Arsenals der Cybersicherheit. Wenn Sie sie richtig einsetzen, können Sie Risiken und Schwachstellen quantifizieren und die Ergebnisse in Ihrem Unternehmen kommunizieren.

Metriken sind lebendig und dynamisch und spezifisch für bestimmte Bereiche in Ihrem Cybersicherheitsrahmen. Unabhängig davon, wie viele Fortschritte Sie in Bezug auf Reife und Effizienz gemacht haben, sollten Sie den Wert jeder einzelnen Kennzahl ständig überprüfen und sie bei Bedarf streichen oder ändern. Wenn Metriken also Verbesserungen über mehrere Dimensionen hinweg messen sollen, wie sollten Sie dann entscheiden, welche Sie verfolgen wollen?

Das Problem mit den Metriken

Die größte Herausforderung bei den Metriken besteht darin, dass sich die Bedrohungen, die sie messen, ständig weiterentwickeln. Fast zwei Drittel der Unternehmen geben an, dass die Angriffe von Jahr zu Jahr raffinierter werden. Da einige Branchen durch die Pandemie stark beeinträchtigt sind und andere vor Änderungen der Vorschriften stehen, tauchen immer wieder neue Probleme auf - und die Wahl der Messgrößen muss mit ihnen Schritt halten.

In diesem Zusammenhang ist eine unternehmensweite Abstimmung unerlässlich, um die Cyber-Resilienz zu verfolgen. Das bedeutet, dass Sie sowohl bei der Analyse von Kennzahlen als auch bei der Weitergabe dieser Daten mit Bedacht vorgehen müssen. CISOs werden nicht immer in der Lage sein, sich direkt an den Vorstand zu wenden (obwohl sich dies zum Glück ändert). Wenn sie dies tun, werden sie am Ende vielleicht Berichte weitergeben, die zwar gut aussehen - wie z. B. die Anzahl der blockierten Bedrohungen -, aber nicht handlungsleitend sind. Andere wiederum geben Metriken weiter, die für ein nicht technikaffines Publikum zu detailliert sind oder nicht den Unternehmenszielen entsprechen.

Es gibt keine Patentlösung, um den richtigen Mix an Kennzahlen zu finden.

Es ist schwer, eine einheitliche Antwort auf die besten Metriken für eine bestimmte Organisation zu geben. Die besten Lösungen sind von Branche zu Branche und von Unternehmen zu Unternehmen unterschiedlich. In der Zwischenzeit haben die verschiedenen Vorstandsmitglieder und Abteilungen unterschiedliche Anforderungen an das Tracking - aber wenn Sie versuchen, die Wunschliste aller zu erfüllen, fühlen Sie sich vielleicht wie der Weihnachtsmann ohne Schlitten.

Auch die Aktualität der Daten ist ausschlaggebend dafür, wie sie aufgenommen werden - wenn eine Bedrohung unmittelbar bevorsteht, sind mehr technische Details gefragt, und wenn sich Ihr Unternehmen auf den Verlust von Marktanteilen konzentriert, stoßen harte Cyber-Kennzahlen möglicherweise nicht auf die größte Resonanz.

Es gibt zwar nicht eine einzige Reihe von Kennzahlen, die für jede Situation geeignet sind, aber es gibt Ansätze, die Ihnen helfen können, die für Sie und Ihre Stakeholder nützlichsten auszuwählen.

Beginnen Sie mit dem Endziel vor Augen

Es gibt viele Modelle für die besten Metriken und Berichte, die gesammelt und weitergegeben werden sollten. Ihre Metriken können beispielsweise auf Risiko- oder Reifegradmodellen beruhen. Sie können Metriken auf der Grundlage des CARE-Rahmens (Consistent - Accurate - Reasonable - Effective) präsentieren oder Berichte der CIA-Trias zuordnen. Die Lückenanalyse kann die tatsächliche mit der gewünschten Leistung vergleichen, wobei ein risikoorientierter Rahmen verwendet wird, um ein detailliertes Bild der Cybersicherheit zu erstellen.

Andere Ansätze konzentrieren sich auf wichtige Betriebskennzahlen wie die mittlere Zeit bis zur Erkennung und Reaktion, die Anzahl der Systeme mit bekannten Schwachstellen, das Verkehrsaufkommen und eine Bewertung der Benutzerzugriffsstufen.

Es gibt endlose Kombinationsmöglichkeiten, und man kann sich nur allzu leicht im Unkraut verlieren. Mehr ist nicht immer besser, wenn es um Daten geht (Ketzerei, ich weiß). Ihr Ausgangspunkt sollte immer sein: Was will meine Organisation erreichen? Ihre Geschäftsziele sollten bestimmen, welche Kennzahlen Sie verfolgen. Wollen Sie das Risiko minimieren? Möchten Sie Ihre Versicherungskosten senken? Oder konzentrieren Sie sich auf die Einhaltung der Vorschriften? Wenn Sie diese Art von Klarheit von vornherein haben, werden Sie keine eitlen Metriken verwenden und sicherstellen, dass Sie die Metriken verfolgen, die wichtig sind.

Konsolidierung und Automatisierung der Berichterstattung, wo dies sinnvoll ist

Die Notwendigkeit, Daten zu sammeln, zu formatieren und darzustellen, kann die Berichterstattung über Kennzahlen zu einer zeitraubenden Aufgabe machen, insbesondere wenn Daten aus verschiedenen Quellen gesammelt werden müssen. Aber das muss nicht so sein. Können Daten extrahiert und normalisiert werden, bevor sie in ein zentrales Repository geladen werden? Kann das Repository so eingerichtet werden, dass die Konsolidierung von Metriken, wenn auch nur teilweise, automatisiert werden kann?

Auch wenn die Automatisierung in bestimmten Umgebungen von großem Nutzen ist, sollte sie nicht um ihrer selbst willen angestrebt werden. Es könnte sinnvoller sein, besonders zeitaufwändige Aufgaben zu priorisieren und diese zuerst zu automatisieren und dann die Automatisierung weniger arbeitsintensiver Funktionen zu erwägen.

Lassen Sie sich vom Prozess leiten

Einige Kennzahlen sind schnell und einfach zu erstellen, während andere eine Menge Arbeit und viele Eingaben erfordern, bevor sie in einen Bericht aufgenommen werden können. Wenn eine bestimmte Kennzahl arbeitsintensiv zu produzieren ist, kann das ein Zeichen dafür sein, dass sie sich nicht besonders lohnt. Die besten Lösungen sind oft die einfachsten, und die Untersuchung des Anwendungsfalls für einzelne Messgrößen kann Ihnen oft helfen zu entscheiden, ob sie vereinfacht oder ganz verworfen werden können.

Ebenso kann die Zeit, die für die Dokumentation von Metriken aufgewendet wird, sehr wertvoll sein. Indem Sie die Datenquelle, die für die Erstellung der Kennzahl erforderlichen Schritte, die Häufigkeit der Kennzahl und die Zielgruppe, für die sie bestimmt ist, notieren, können Sie Fehler oder Ineffizienzen in den Daten oder im Produktionsprozess der Kennzahl entdecken.

Optimieren Sie Ihre Berichte und konzentrieren Sie sich auf Ihr Publikum

Wir haben festgestellt, wie Sie Daten konsolidieren können, aber wie können Sie Ihre Berichte konsolidieren? Wenn Sie verschiedene Kennzahlen an verschiedene Zielgruppen zu sich überschneidenden Zeitpunkten melden, können Sie erhebliche Effizienzgewinne erzielen. Können die Zeitpläne aufeinander abgestimmt werden? Erfüllen einige Metriken eine ähnliche Aufgabe?

Das bedeutet aber nicht, dass Sie aufhören sollten, Berichte für verschiedene Bereiche Ihres Unternehmens zu personalisieren. Die Berichte sollten ihren Prioritäten gerecht werden und relevante und selbsterklärende Kennzahlen liefern. Anhand des Feedbacks der Empfänger können Sie herausfinden, ob einzelne Kennzahlen einen Mehrwert bieten, optimiert oder gestrichen werden können.

Ein solcher Prozess kann Ihnen helfen, sich auf eine begrenzte Anzahl (vielleicht nur vier) entscheidender, relevanter Messgrößen zu konzentrieren. Dies ist besonders wichtig für Berichte, die für Ihren Vorstand erstellt werden und die sich an den allgemeinen Unternehmenszielen orientieren sollten, anstatt technische Informationen hervorzuheben. Ein paar gut platzierte Zahlen oder Grafiken mit einer Zusammenfassung wirken auf den Vorstand viel stärker als endlose Spalten und Zeilen von Datenpunkten.

Wie man effizientere Sicherheitsmetriken auswählt

Wie wir gesehen haben, hört die Suche nach Cybersicherheit nie auf, ebenso wenig wie die Suche nach den idealen Metriken. Wenn das der Fall wäre, hätten Cyber-Teams auf der ganzen Welt keine Arbeit mehr!

Stattdessen sollten wir die Art und Weise, wie wir Metriken beschaffen, verwalten und präsentieren, ständig hinterfragen. Können wir unseren metrischen Mix effizienter gestalten? Können Berichte vereinfacht werden? Wie tragen die Metriken zu den Zielen unserer Abteilung und den allgemeinen Unternehmenszielen bei? Wenn wir diese Fragen im Hinterkopf behalten und unsere Teams ermutigen, im Sinne des gesamten Unternehmens zu denken, können wir Metriken entwickeln, die uns helfen, den Bösewichten einen Schritt voraus zu sein.