10 Kennzahlen, Die Cisos Weiterbringen

10 Kennzahlen, Die Cisos Weiterbringen

Lucas Morel

Die Richtigen Security-Performance-Metriken Können Zu Mehr Effizienz Beitragen, Cisos und Sicherheisentscheider Jedoch auch Ansonsten auf diversewen entscheidend Voranbringen.

Die Security-performance Zu Messen, Gehört Vielleicht Nicht Zu den aufregendsten aufgaben Eines Cisos – Kann Allerdings Sehr Nützlich Sein, um eine ganze reihe von HerausForderungen Zu Bewältigen. Neben der Erkenntnis Darüber, Wie Effektiv ihre Security-Bemühungen Sind, Können Sicherheisentscheider mit den Richtigen Kennzahlen Unter Anderem Auch Strategisches Alignement Mit Dem Business Demonrieren.

Um Jedoch Einen Echten Nutzen Aus den Metriken Ziehen Zu Können, ist Das Oberste Gebot, Sich Auf Diejenigen Zu Konzentrieren, Die Belegen, Dass Die Security Das Business Stützt. Kennzahlen, Denen es an Bedutung Oder Kontext Mangelt, Sind Hingegen Zu Vernachlässigen, Wie Richard Absalom, analyste de recherche principal Beim Forum de la sécurité de l’information, Unterreicht: «Man Kann Unzählige Dange dans Sachen Security Performance Messen Mit Blick Auf Extraktion Und Ressourcen Kostet.

10 Sécurité-Metriken, von Denen Cisos Proficeren

IM Folgenden Haben Wir im Gespräch mit experten und Entscheidern zehn avantages identifiants, die cisos mit den bijouts richtigen metriken de sécurité réalisée können.

1. Incident-réponse-intention

Temps moyen pour détecter (MTTD) le temps moyen plus important pour répondre (MTTR) Liefern Beispielsweise Quantitative DATEN, Die Cisos Dabei Unterstützen, objektive Entscheidungen Zu Treffen. Frank Kim, Fellow Am Sans Institute, Erklärt: «Indem Sie Wichtige Sicherheitsindikatorn Analyseren und Nachverfolgen, Können Cisos prioritäten Setzen, Ressourcen Zuweisen und Sich Auf Die Bereiche Konzenrieren, die drindendsten Optimiert wederden müssen.».

2. Sécurité-investisseur-menace

Beisliersweise Zu Wissen, Wie Hoch der Prozentsatz Wichtiger Business-Initiativen Mit Eingebetten Sicherheitsprozessen IST, Kann Cisos Dabei UnterStützen, Den Return on Investment (ROI) Von Security-Initiativen Nachzusen. Insofern aufgezeigt wird, wie diese bemühungen zur Risikominderung und dazu beitragen, zwischenfälle zu verhindern.

3. Metriken de sensibilisation à la sécurité

Dans Diesen Bereich Fällt Beispelsweise der Prozentsatz der Fachabteilungen, meure un programme de Sind Entsprechenden Beteiligt Sind. Diese Kennzahlen Unterstützen Dabei, Zu Ermitteln, ob im unternehmen Eine Security-Kultur existient – oder Entreht. Ainsi, Lässt Sich Darstellen, Wie Effektiv entsprechende Initiativen auf Die Allgemeine Sicherheitslage des unternehmens einzahlen – était für Sicherheisentscheider traditionnell eine HerausForderung Darstellt.

Fred Rica, Ehemals Chef de Cyber ​​Practice Bei Kpmg und partenaire Beim Wirtschaftsprüfungsunternehmen BPM, Erläutert: «Cisos, Die Dem Vorstand Technische Kennzahlen PräsentiERen, Schießen Oft Am Ziel Vorbei, Weil Der Kontext Fehlt. par pare-feu Blockiert Wurden, Wird ohne entsprechenden kontext nicht fruchten. »

4. Vulnérabilité-Management-Metriken

Metriken Im Bereich SchwachstellenManagement, wie das «Window of Exposition», Können Cisos Dabei Unterstützen, das Risikoprofil ihrer organisationn Besser Zu Verstehen und Bedrohungen Aktiv Zu Begegnen.

«Letztlich geht es darum, die zerbrochenen fenster und unverschlossenen türen eines unternehmens anzugehen», Verbildlicht Sans-Experte Kim. «La vulnérabilité-gestionnaire-menteur Geben aufschluss Darüber, wie lange die türen potenziell offenstehen und unterstützen dabei, tägliche arbeitsabläufe zu Etableren, zum beispiel im bereich scanning oder patching.»

5. Sécurité-Improvement-Metriken

Metriken Zur Verbesserung von Sicherheitsprozessen erfassen den fortschritt im zeitverlauf und ermöglichen cisos, Spezifische ziele zu setzen beziehungsweise zu verfolgen. Ein Beispiel Für Eine Kennzahl dans Diesem Bereich Wäre der Prozentsatz von Vorfällen Mit Derselben Wiederkehrenden Grundursache.

«Dieser Dateengesteuerte Ansatz Trägt Zur Kontiniierlichen Verbesserung der Sicherheitspraktiken Bei und Fördert Eine Kultur der Verantwortlichkeit», Hält Kim Fest. Anschließend Könnten Risikobasierte Metriken à Jahresberichte oder Corporate-Governance-Dokument Einfließen.

6. Multirité de sécurité

Metriken Zum Security-Reifegrad – Beispsielsweise Capability Maturity Scores – Lassen Sich MIT Branchen-Benchmarks (Beispsielsweise Denen des Center for Internet Security) Oder Auch Früheren Ergebnissen Abglechen. Das Ermöglicht Sicherheisentscheidern, Den Security-Refegrad Ihrer Organization Zu Verstehen, Um ImSchluss Realisttische Sicherheitsziele und -strategien Zu Entwickeln.

Laut ISF-Chefanalyst Absalom Sollten Sicherheitsverantwortliche Nach Indikator und Metriken Ausschau Halten, Die Aufschluss Darüber Geben, Wie Gut Die Organisation:

  • Befrohungen und Gefährdete Assets identifiants;

  • Die Identifizierten Assets Schützt;

  • Bedrohungsereignisse Erkennt;

  • Auf Erkannte Ereignisse Reagiert;

  • Sich Nach Vorfällen Erholt und Deren Auswirkungen Begrenzen Kann.

7. Compliance-Metriken

Da Viele Vorschriften Und Standards Auch ein Reporting Zu Besttimmten Security-Metriken Erfordern, ist es Sinnvoll, über Compliance-Metriken Zu Verfügen – Beisisciersweise Den ProzentsAtSAt Der Systeme, Die Mit Best-Immten AnForderungen Im einklang Stehen.

Kim Bringt es auf den Punkt: «Das Erleichtert es, conformité-anforquengen zu erfüllen und potenzieleller Strafzahlungen Zu Vermeiden.»

8. Mention de détection

Kennzahlen im Bereich Bedrohungserkennung – wie die anzahl der erkannten vorfälle oder false-positive / négatif-raten – können als frühwarnzeichen für potenzielle Sicherheitsvorfälle oder schwachstellen in Der infrastruktur dinen.

Das Ertöglicht Cisos, Probleme Aktiv anzugehen und Größeren Sicherheitsverletzungen Vorzubeugen.

9. Ressource-Utilization-Metriken

Metriken Zur RessourCennunugung Wie der ProzentualE anteil Der Zeit, der Für Aktive Gegenüber Raktiven Sicherheitsaufgaben aufgewendet Wird, Können Cisos in Die Lage Versetzen, Ineffiente Berecheren Redundante Sicherhehehetskontrollen zui.

Das Kann dans Der Konsequenz Zu Einer Besseren Ressourcenzuweisung und Damit Zu Kostenoptimierungen Führen. Dans Zeiten des Immer Noch Ausgeprägten Security-Fachkräftemangels Könte das eine EnentsCheidende Unterstützung für Sicherheitsverantwortliche Darstellen.

10. Metriken de la sécurité de la sécurité

Kennzahlen Zur Security-Transparenz – Etwa die anzahl der Dem Unternehmen Mitgeteilten Sicherheitsvorfälle oder die Bewertungen der Internen partielleuse Zur Security-Kommmunikation – Können Das Vertrauen Zwischen Security-Team un Underen Geschäftseinheheiten Stärken.

«Wenn Die Wirksamkeit von Sicherheitsmaßnahmen Quantifiziert und Kommuniziert Transparent Wird, Stärkt Das Das Vertrauen dans Das SicherheitsProgramm», Konstatiert Sans-Experte Kim.

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission