Kennzahlen, die weiterhelfen: So überzeugen Sie Ihre Geschäftsführer von Security-Investitionen

Foto: Jacob Lund – shutterstock.com

CSOs aus allen Branchen kennen das Problem: Sicherheitsmaßnahmen kosten viel Geld, die Ausgaben müssen der Geschäftsleitung erklärt und gegebenenfalls auch verteidigt werden. Wer vor dieser Aufgabe steht, sollte die Metriken kennen, die für die Vorstandsebene wirklich relevant sind.

Dafür müssen CSOs zuerst verstehen, dass Geschäftsführungen als höchste strategische Instanz im Unternehmen wenig Verständnis dafür hat, wenn ihnen detaillierte Zahlen zum Patch-Status, zu gefundener Malware oder zu Phishing-Tests vorgelegt werden. Besser ist es, gleich zum Wichtigen zu kommen, zumal Vorstandsmitglieder in der Regel interessiert sein dürften, werden sie doch für Fahrlässigkeiten in der IT-Sicherheit immer öfter haftbar gemacht. Sie wollen daher das Risiko für ihr Unternehmen, aber auch für sich selbst einschätzen können.

Lesetipp: IAM als Grundlage einer Zero-Trust-Strategie

Das will die Geschäftsführung von CSOs wissen

Das hier sind einige Fragen, die Vorstandsmitglieder wahrscheinlich als erstes in einem Meeting stellen werden:

• Ist unser Unternehmen sicher? Diese Frage nervt CSOs besonders, weil die ehrliche Antwort immer “nein” sein müsste. Eine 100-prozentige Sicherheit wird es niemals geben. CSOs sollten der Frage zuvor kommen und stattdessen erläutern, wie hoch das Exposure Level ist – welchen Risiken das Unternehmen also ausgesetzt ist.

• Sind wir compliant? Diese Frage lässt sich am ehesten mit Audit-Ergebnissen beantworten. Da diese jedoch immer nur Momentaufnahmen darstellen, wird die Führungsebene möglicherweise nicht zufrieden sein.

• Hatten wir (bedeutende) Sicherheitsvorfälle? Über größere Vorkommnisse sind die Topentscheider natürlich längst informiert. Was sie hören möchten, sind Details sowie Schätzungen zu Kosten und potenziellen Haftungsfällen.

• Wie effektiv ist unser Sicherheitsprogramm? Dies Frage stellt die Qualität der ergriffenen Maßnahmen in den Vordergrund.

• Wie effizient ist unser Sicherheitsprogramm? Hier geht es um die Aufwand- und Kostenrelation.

Wie Wie Security-Kennzahlen für Unternehmensvorstände

Beim Aufbau eines Sicherheitsprogramms sollte darauf geachtet werden, die technischen Details in einen strategischen Rahmen zu übersetzen, den Geschäftsführer verstehen können. Folgende Kennzahlen sollten Sie erheben, um Risiken kalkulieren zu können:

• Eingesetzte IT-Assets: Anzahl der Benutzer, Geräte, Server, Anwendungen etc.

• Nutzungsverhalten; Sitzungen, Flows, Messages etc.

• Auf Prozesse bezogene technische, administrative und physikalische Sicherheitsmaßnahmen, mit denen die Ausnutzung von Schwachstellen verhindert wird. Das gilt etwa für Angriffe auf User-Accounts, auf ungepatchte Systeme oder das Tempo und die Qualität, mit denen auf Vorfälle reagiert werden kann.

• Reaktionsfähigkeit auf Vorfälle in Echtzeit (Anti-Malware, Firewall, E-Mail-Sicherheit etc. )Zahl und Ausmaß der Incidents.

Lesetipp: 6 Schritte zur richtigen Risikoakzeptanz

Folgendes Set an Metriken bietet strategische Einblicke in das Sicherheitsprogramm eines Unternehmens:

• Cyber-Risiko: die Relation von unangemessenen zu gewünschten Nutzungsaktivitäten

• Wirksamkeit der Cybersicherheit: prozentuale Senkung der Cyberrisiken, nachvollziehbar anhand der Realtime-Cybersicherheits-Controls

• Cyberexposition: durchschnittliche Anzahl der Nutzungsaktivitäten pro IT-Asset

• Cyber-Resilienz: durchschnittliche Anzahl von Realtime-Controls, die für jede Nutzungsaktivität angewendet werden

• Risiko-Aversions-Verhältnis: Verhältnis von echten und vermeintlichen Sicherheitsvorfällen zu akzeptierten Produktivitätseinbußen

Darüber hinaus müssen Finanzinformationen einbezogen werden:

• Loss-to-value-Verhältnis: Investitionen in Cybersicherheit (einschließlich der Verluste durch Sicherheitsvorfälle) in Relation zum finanziellen Wert, den ein IT-Assets erzeugt

• Control-Kosten der Sicherheitsmaßnahmen pro IT-Asset

• Gesenktes Risiko pro Kosteneinheit: finanzieller Wert des geringeren Risikos im Vergleich zu den sonstigen Cybersicherheitsausgaben

Darüber hinaus sollten CSOs den Nutzen von Investitionen in IT-Sicherheit verdeutlichen, indem sie die prognostizierten Kosten eines Sicherheitsvorfalls gegen die Kosten für Cybersicherheitsausgaben aufrechnen.

Wenn Sie sich die Protokolle von Vorstandssitzungen und die Finanzkennzahlen börsennotierter Unternehmen ansehen, werden Sie feststellen, dass die beschriebenen Metriken strategisch wertvoller sind, als ein Zahlen-Mischmasch aus gefundenen Schwachstellen und Malware-Aufkommen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.