Security-Kpis und -kris: So Messen Sie Cybersicherheit

Security-Kpis und -kris: So Messen Sie Cybersicherheit

Lucas Morel

Wenn Cisos et Ihre Vorgesetzten Reportten, Sollten Daraus Sinnvolle und Umsetzbare Maßnahmen Erwachsen Können.

Eine wichtige säule jedes ausgereiften cyberrisk-programms ist die fähigkeit, die performance der it-security und registrierte bedrohungen zu Messen, zu analyseren und zu melden. Die Cybersecurity Zu Messen, Ist Allerdings Kein Leichtes Unterfangen: Einerseits, Weil Sich Viele Führungskräfte Ohne Entsprechenden Background Schwer Tun, It-Risiken Zu Verstehen. Andererseits Verstricken Sich Sicherheitsprofis auch zu souvent dans Technische Détails, Die Die Stagueuse Verwirren und auf den Falschen Weg Führen.

Das Ideale Szenario: Sécurité-EXPERTEN MESSEN UND RAPPORTEN Die Cybersicherheit auf eine Art und Weise, Die für führungskräfte leicht Verständlich und nützlich ist – était Zu Umsetzbaren Ergebnissen führt. Klingt Gut? Dieser Artikel Vermittelt Ihnen, Wie Sie Das Anstellen.

Messkategorien der it-sicherheit

Die Meisten des parties prenantes Beschäftigen Fragen Zu Risiken, conformité Oder Sicherheit. Diese lassen Sich Jedoch dans Der Regel Nicht Mit Einem Einzigen Datenpunkt Beantworten. DOCH ES GIBT EINE REIHE VON DINGEN, Die Security-Profis Messen Können, Um auf Die Fragen und Bedenken der Gaxedolder Einzugehen. Diese Lassen Sich (GROB) dans Folgende Kategorien Einordnen:

  • Kontrollen: Maßnahmen, die Ergriffen Werden, um bedrohungen abzuwehren und Risiken Zu Reduzieren.

  • Actifs: Jeder Gegenstand, Der Für Die Organisation Einen Wert Besitzt, Beziehungsweise Sich à Ihrem Besitz Befindet.

  • Vulnérabilités: Schwachstellen dans le système Einem, die Ausgeutzt Werden Können.

  • Événements de menace: Von Einer Bedrohung Ausgelöste Ereignisse, Die Assets Potenziell Schaden Zufügen Können.

  • Sicherheitsvorfälle: Ereignisse, mourir «Erfolgreich» Wirkung auf das unternehmen entfaltet Haben, Etwa sous forme von (System-) Ausfällen, Datenschutzverletzungen oder cyberangriffen.

Diese Kategorien Lassen Sich Weiter Nach Verschiedenen Faktoren Aufschlüssel: Zahlen, Zeit Oder Kosten.

Zahlen Könnten Beispsielsweise sous forme des prozentsatzes der Ungepatchten Server Gemessen Werden. Eine Weitere Möglichkeit: Sie Messen Die ZeitDie Benötigt Wurde, Um Einen Sicherheitsvorfall Zu identifizeren. Schließlich Könnten Kosten – Zum Beispiel en forme von Wiederherstelngs- oder Ausfallkosten – Aufschluss über die Finanziellen Auswirkungen von Security-Ereignissen Geben.

Cybersicherheits-metriken, -kpis und -kris

Wenn Security-Profis Oder -ENTSCHEIDER Une équipe commerciale Berichten, Sollten Sie Dazu Möglichst pertinente Messerwerte Wählen. Dabei Konzentrieren Sich die Meisten Sicherheitsteams Auf Metriken, Die Abbilden Abbilden Abbilden. Auf Führungs- und VorstandSebene Sind Hingegen Vor Allem Kpis (indicateurs de performance clés) und Kris (indicateurs de risque clés) Entscheidend, Weil diese dazu Beitragen Können, Spezifische Fragen in Bezug auf it-Risko, -statur und -vorbereing zu beanteten. Beispegiesweise:

  • Sind Wir Sicher?

  • Liefern die Sicherheitsinventitionen dem Unternehmen mehrwert?

  • Erfüllen Wir Aus SicherheitsPerspektive Alle Regulatorischen Anforderungen?

  • Wie intest sind wir auf ransomware-oder propice-chain-angriffe vorbereitet?

Deshalb Sollten Sich Security-Praktiker Auch auf Kpis und Kris Konzentrieren.

https://www.youtube.com/watch?v=w4x1twtichg

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Le bulletin d’insertion de Kostenloser Liefert Ihnen Alles, était Sicherheisentscheider und-experten Wissen Sollten, Direkt dans la boîte de réception.

Cybersecurity Messen dans 5 schritten

Der Aufbau des Richtigen MM. Im folgenden die fünf wichtigsten schritte, um einen du cycle de mesure de la sécurité aufzubauen.

1. AnforderUngen Definieren

Sprechen Sie Mit Perfentin Staydern, Um Deren Bedürfnisse Zu Defimeren und Zu Verstehen. Diese Haben Zu Diesem Zeitpunkt Möglicherwerweise Noch Kein Umfassendes Verständnis über it-riken – oder ihre eigenen anforderungen. Deshalb ist für Security-Praktiker Ein Bottom-up-Ansatz Empfehlenswert, Bei Dem Sie Selbst Die Initiative Ergreifen und Fragen Zu Stellen, um die anforDorungen Defianceren Zu Können.

2. Indicateurs clés Auswählen

SOBALD Die Anforderungen der Splayder Definiert Sind, Sollten Sicherheitsexperten Diejenigen Indicateurs clés Auswählen, die auf diese einzahlen. Dabei Sollten Die Spotholder Konsultiert und über die BEABSICHTIGTEN, Späteren Messungen Informiert Werden.

Les indicateurs clés de Wenn Die Die Kennen, Können Sie Maßnahmen Ergreifen Oder Entscheidungen Treffen. Die Schlüsselindikatorn Sollten auf Hoher Ebene Angeiedelt Sein – und ihre anzahl überschaubar bleiben. Das Ziel Besteht Schließlich Darin, die Entscheidungsfindung Zu Erleichtern.

3. Metriken Identifizeren

Nachdem Ziele und Indicateurs clés Festgelegt Sind, gilt es für die Sicherheitsteams, die de bas niveau de niveau Zu Fokusseren, die Dabei Unterstützen, Die Indikator Zu Replaten. Das Kann – Je nach Art des Indikators – Bedeuten, Dass Dutzende von Metriken Aus den Verschiedenenen oben belchriebenen messkategorien erforderlich Sind.

4. Metriken Sammeln und Analyseren

Da die androrderungen nun feststehen, die schlüsselindikator ausgewählt und die messgrößen festgelegt Sind, können die praktiker nun damit beginnen, dateten dieser grundlage zu sammeln und zu analyseren. Metriken Dürfen Dabei Nur Aus Daten Abgeleitet Werden, Die Akkurat, Aktuell, und Vertrauenswürdig Sind pertinent. Anderenfalls Kann es zu Entscheidungen Kommen, die schwerwiegende folgen für die Sicherheitslage des unternehmens nach sich ziehen.

EST IST Die aufgabe Der Security-Teams, Wege Zu Finden, Daten Kontinuierlich Zu Sammeln (Die Meisten Messungen Erfordern Einen überblick über Tendances im Zeitverlauf) Und den Prozess Vorzugsweise So Weit Wie Möglich Zu Automatisieren (Ein ManUeller Kanand Ermüden Zeitaufwändig Sein).

5. Indicateurs clés Reportée

Indicateurs clés Müssen Zeitnah Un moulin a rapporté Werden. Dabei Sollten Sich Security-Profis und prenant auf Einen Zeitlichen Rhythmus Einigen – eBenso wie über die art der Berichterstattung: Sind Tashboards Erforderlich oder Reichen Powerpoint-Präsentationn Aus? Die Schlüsselindikatorn Sollten Deutlich Sichtbar und leicht Verständlich Sein, Um Zu Entscheidungen Oder Maßnahmen Zu Führen.

Darüber Hinaus ist es wichtig, Nach Jedem Berichtszyklus Die Indicateurs clés zu überprüfen und sie (unter einbeziehung der Gattideholder) Neu Zu Bewerten. Haben Sich die Geschäftlichen AnfororderUngen Tatsächlich Geändert, Müssen die anforDorungen Erneut définiet und ein anderer satz von indikator und messgrößen erarbeitet werden.

Unternehmen, partie partielle und sicherheitsexperten sollten keine angst vor rückwärts-oder vorwärtsschritten haben: die fähigkeit, nach einem schellen fail direkt weiterzumachen, zu improveren oder sich neu auszzuriche Fähigkeiten, Wenn es Darum Geht, Cybersicherheit Erfolgreich Zu Messen. (FM)

https://www.youtube.com/watch?v=gislp_dtv7m

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d'Archie
Stratégie de poker avec Mark Mazmanian: Dans quelle direction allez-vous? Une main d’Archie
Foxen Family marque le deuxième trophée de l'Open de poker américain 2025
Foxen Family marque le deuxième trophée de l’Open de poker américain 2025
Merger and acquisition
Le moment le plus dangereux pour la sécurité des entreprises? Un mois après une acquisition