Sammlung von Metriken zum Messen von Cybersicherheit publiziert

Die Situation: Der CISO hat viel Geld ausgegeben, um "die Cybersecurity zu erhöhen". Nun stellt ihm sein Chef eine Frage: "Wie quantifizieren Sie die Verbesserung?"
 
Es wäre hilfreich, nun eine Antwort zu wissen, aber diese Antwort ist nicht leicht zu geben. Es scheint, dass Metriken und Cybersecurity aktuell wie Öl und Wasser sind – schwer zu vereinen. Und "Best Practices" sind nicht das Ende der Weisheit. Dies zumindest postulieren diverse Fachleute.
 
Im Fokus einer neuen Publikation steht der Wunsch, ein Security-Metrik-System zu fördern, das diverse Bedingungen erfüllt: Das Security-Ziel ist objektiv und kann quantifiziert werden, man kann Fakten über verschiedene Bereiche hinweg vergleichen und es ist geeignet, um dem Chef Ressourcen abzuringen. Nicht zuletzt müsste das Messsystem intern auch allgemein akzeptiert sein.
 
Die Security-Forscherin Kathryn Waldron von der unabhängigen US-Non-Profit-Organisation R Street Institute hat versucht, diese Hilfe in Form einer Bibliographie zu leisten. Unter dem Titel "Resources for Measuring Cybersecurity" listet sie auf mehr als 20 Seiten auf, welche Dokumente man beiziehen kann, um den Nutzen von Security-Investitionen und -Lösungen zu messen. "Frameworks & Scorecards", "Cyber Insurance Metrics", "Return on Security Investments" sind einzelne Kapitel übertitelt, aber es finden sich auch weitere Verweise auf Dokumente von Regierungsorganisationen, unabhängigen Allianzen und einzelnen Security-Anbietern.
 
Das Dokument ist als PDF kostenlos verfügbar.
 
Und es auch zu nutzen, könnte sich lohnen für den CISO. Unsere (begrenzte) Lebensweisheit deutet auf drei Dinge hin: Erstens sind Chefs nicht dumm, wenn sie solche Fragen stellen.
 
Und zweitens: "Stell dich dem Löwen nicht ohne Verteidigung."
 
Drittens: Man sollte einen scharfen Blick auf Metriken werfen und verstehen, welche sind nützlich, welches sind Stärken und Schwächen und wie erhält man die richtigen Ergebnisse, damit man sie "objektiv" analysieren kann. Dies wiederum sei den CISOs und anderen Fachleuten überlassen. (mag)