Sammlung von Metriken zum Messen von Cybersicherheit publiziert

5. November 2019, 16:34
  • security
image

Die Situation: Der CISO hat viel Geld ausgegeben, um "die Cybersecurity zu erhöhen".

Die Situation: Der CISO hat viel Geld ausgegeben, um "die Cybersecurity zu erhöhen". Nun stellt ihm sein Chef eine Frage: "Wie quantifizieren Sie die Verbesserung?"
Es wäre hilfreich, nun eine Antwort zu wissen, aber diese Antwort ist nicht leicht zu geben. Es scheint, dass Metriken und Cybersecurity aktuell wie Öl und Wasser sind – schwer zu vereinen. Und "Best Practices" sind nicht das Ende der Weisheit. Dies zumindest postulieren diverse Fachleute.
Im Fokus einer neuen Publikation steht der Wunsch, ein Security-Metrik-System zu fördern, das diverse Bedingungen erfüllt: Das Security-Ziel ist objektiv und kann quantifiziert werden, man kann Fakten über verschiedene Bereiche hinweg vergleichen und es ist geeignet, um dem Chef Ressourcen abzuringen. Nicht zuletzt müsste das Messsystem intern auch allgemein akzeptiert sein.
Die Security-Forscherin Kathryn Waldron von der unabhängigen US-Non-Profit-Organisation R Street Institute hat versucht, diese Hilfe in Form einer Bibliographie zu leisten. Unter dem Titel "Resources for Measuring Cybersecurity" listet sie auf mehr als 20 Seiten auf, welche Dokumente man beiziehen kann, um den Nutzen von Security-Investitionen und -Lösungen zu messen. "Frameworks & Scorecards", "Cyber Insurance Metrics", "Return on Security Investments" sind einzelne Kapitel übertitelt, aber es finden sich auch weitere Verweise auf Dokumente von Regierungsorganisationen, unabhängigen Allianzen und einzelnen Security-Anbietern.
Das Dokument ist als PDF kostenlos verfügbar.
Und es auch zu nutzen, könnte sich lohnen für den CISO. Unsere (begrenzte) Lebensweisheit deutet auf drei Dinge hin: Erstens sind Chefs nicht dumm, wenn sie solche Fragen stellen.
Und zweitens: "Stell dich dem Löwen nicht ohne Verteidigung."
Drittens: Man sollte einen scharfen Blick auf Metriken werfen und verstehen, welche sind nützlich, welches sind Stärken und Schwächen und wie erhält man die richtigen Ergebnisse, damit man sie "objektiv" analysieren kann. Dies wiederum sei den CISOs und anderen Fachleuten überlassen. (mag)

Loading

Mehr zum Thema

image

IT-Problem: Kriminelle bestehlen St. Galler Kantonalbank

Beim Ostschweizer Institut konnte ein Konto stark überzogen werden. Der Grund war laut SGKB eine "sehr spezifische Latenz".

publiziert am 18.11.2022
image

Schweizer Polizei verhaftet berüchtigten Cyberbanden-Chef

"Jabberzeus"-Anführer Vyacheslav "Tank" Penchukov wurde in Genf verhaftet. Schweizer Behörden wollen ihn nun an die USA ausliefern.

publiziert am 17.11.2022 3
image

"123456" ist nicht mehr das beliebteste Passwort

Je stärker ein Login, desto schwieriger ist es für Hacker, dieses zu knacken. Doch noch immer sind einfache Kombinationen, Sportteams, Filme oder Esswaren weit verbreitet.

publiziert am 16.11.2022
image

Datenschutz: 400 Millionen Dollar Busse für Google

Weil der Konzern "vergass", Nutzer darauf hinzuweisen, dass seine Dienste Positionsdaten sammeln, wurde er zu einer saftigen Busse verknurrt.

publiziert am 15.11.2022