CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/so-ueberzeugen-sie-ihre-geschaeftsfuehrer-von-security-investitionen,3673909

Kennzahlen, die weiterhelfen

So überzeugen Sie Ihre Geschäftsführer von Security-Investitionen

Datum:05.05.2022
Autor(en):Pete Lindstrom
Mit diesen Tipps schaffen es CSOs, der Geschäftsführung einfach und verständlich zu erklären, wie es um die Cybersicherheit im Unternehmen bestellt ist.

Damit das nächste Meeting mit der Geschäftsführung gut läuft, sollten sich CSOs entsprechend vorbereiten.
Foto: Jacob Lund - shutterstock.com

CSOs aus allen Branchen kennen das Problem: Sicherheitsmaßnahmen kosten viel Geld, die Ausgaben müssen der Geschäftsleitung erklärt und gegebenenfalls auch verteidigt werden. Wer vor dieser Aufgabe steht, sollte die Metriken kennen, die für die Vorstandsebene wirklich relevant sind.

Dafür müssen CSOs zuerst verstehen, dass Geschäftsführungen als höchste strategische Instanz im Unternehmen wenig Verständnis dafür hat, wenn ihnen detaillierte Zahlen zum Patch-Status, zu gefundener Malware oder zu Phishing-Tests vorgelegt werden. Besser ist es, gleich zum Wichtigen zu kommen, zumal Vorstandsmitglieder in der Regel interessiert sein dürften, werden sie doch für Fahrlässigkeiten in der IT-Sicherheit immer öfter haftbar gemacht. Sie wollen daher das Risiko für ihr Unternehmen, aber auch für sich selbst einschätzen können.

Lesetipp: IAM als Grundlage einer Zero-Trust-Strategie 1

Das will die Geschäftsführung von CSOs wissen

Das hier sind einige Fragen, die Vorstandsmitglieder wahrscheinlich als erstes in einem Meeting stellen werden:

  • Ist unser Unternehmen sicher? Diese Frage nervt CSOs besonders, weil die ehrliche Antwort immer "nein" sein müsste. Eine 100-prozentige Sicherheit wird es niemals geben. CSOs sollten der Frage zuvor kommen und stattdessen erläutern, wie hoch das Exposure Level2 ist - welchen Risiken das Unternehmen also ausgesetzt ist.

  • Sind wir compliant3? Diese Frage lässt sich am ehesten mit Audit-Ergebnissen beantworten. Da diese jedoch immer nur Momentaufnahmen darstellen, wird die Führungsebene möglicherweise nicht zufrieden sein.

  • Hatten wir (bedeutende) Sicherheitsvorfälle? Über größere Vorkommnisse sind die Topentscheider natürlich längst informiert. Was sie hören möchten, sind Details sowie Schätzungen zu Kosten und potenziellen Haftungsfällen.

  • Wie effektiv ist unser Sicherheitsprogramm? Dies Frage stellt die Qualität der ergriffenen Maßnahmen in den Vordergrund.

  • Wie effizient ist unser Sicherheitsprogramm? Hier geht es um die Aufwand- und Kostenrelation.

Wie Wie Security-Kennzahlen für Unternehmensvorstände

Beim Aufbau eines Sicherheitsprogramms sollte darauf geachtet werden, die technischen Details in einen strategischen Rahmen zu übersetzen, den Geschäftsführer verstehen können. Folgende Kennzahlen sollten Sie erheben, um Risiken kalkulieren zu können:

  • Eingesetzte IT-Assets: Anzahl der Benutzer, Geräte, Server, Anwendungen etc.

  • Nutzungsverhalten; Sitzungen, Flows, Messages etc.

  • Auf Prozesse bezogene technische, administrative und physikalische Sicherheitsmaßnahmen, mit denen die Ausnutzung von Schwachstellen verhindert wird. Das gilt etwa für Angriffe auf User-Accounts, auf ungepatchte Systeme oder das Tempo und die Qualität, mit denen auf Vorfälle reagiert werden kann.

  • Reaktionsfähigkeit auf Vorfälle in Echtzeit (Anti-Malware, Firewall, E-Mail-Sicherheit etc. )Zahl und Ausmaß der Incidents.

Lesetipp: 6 Schritte zur richtigen Risikoakzeptanz4

Folgendes Set an Metriken bietet strategische Einblicke in das Sicherheitsprogramm eines Unternehmens:

  • Cyber-Risiko: die Relation von unangemessenen zu gewünschten Nutzungsaktivitäten

  • Wirksamkeit der Cybersicherheit: prozentuale Senkung der Cyberrisiken, nachvollziehbar anhand der Realtime-Cybersicherheits-Controls

  • Cyberexposition: durchschnittliche Anzahl der Nutzungsaktivitäten pro IT-Asset

  • Cyber-Resilienz: durchschnittliche Anzahl von Realtime-Controls, die für jede Nutzungsaktivität angewendet werden

  • Risiko-Aversions-Verhältnis: Verhältnis von echten und vermeintlichen Sicherheitsvorfällen zu akzeptierten Produktivitätseinbußen

Darüber hinaus müssen Finanzinformationen einbezogen werden:

  • Loss-to-value-Verhältnis: Investitionen in Cybersicherheit (einschließlich der Verluste durch Sicherheitsvorfälle) in Relation zum finanziellen Wert, den ein IT-Assets erzeugt

  • Control-Kosten der Sicherheitsmaßnahmen pro IT-Asset

  • Gesenktes Risiko pro Kosteneinheit: finanzieller Wert des geringeren Risikos im Vergleich zu den sonstigen Cybersicherheitsausgaben

Darüber hinaus sollten CSOs den Nutzen von Investitionen in IT-Sicherheit verdeutlichen, indem sie die prognostizierten Kosten eines Sicherheitsvorfalls gegen die Kosten für Cybersicherheitsausgaben aufrechnen.

Wenn Sie sich die Protokolle von Vorstandssitzungen und die Finanzkennzahlen börsennotierter Unternehmen ansehen, werden Sie feststellen, dass die beschriebenen Metriken strategisch wertvoller sind, als ein Zahlen-Mischmasch aus gefundenen Schwachstellen und Malware-Aufkommen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.5

Links im Artikel:

1 https://www.csoonline.com/de/a/iam-als-grundlage-einer-zero-trust-strategie,3673775
2 https://cyberexposureindex.com/what-is-cyber-exposure/
3 https://www.computerwoche.de/a/compliance-management-richtig-umsetzen,3545392
4 https://www.csoonline.com/de/a/6-schritte-zur-richtigen-risikoakzeptanz,3673831
5 https://www.csoonline.com/article/3658118/cybersecurity-metrics-corporate-boards-want-to-see.html

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.