Sammlung von Metriken zum Messen von Cybersicherheit publiziert

5. November 2019, 16:34
  • security
image

Die Situation: Der CISO hat viel Geld ausgegeben, um "die Cybersecurity zu erhöhen".

Die Situation: Der CISO hat viel Geld ausgegeben, um "die Cybersecurity zu erhöhen". Nun stellt ihm sein Chef eine Frage: "Wie quantifizieren Sie die Verbesserung?"
Es wäre hilfreich, nun eine Antwort zu wissen, aber diese Antwort ist nicht leicht zu geben. Es scheint, dass Metriken und Cybersecurity aktuell wie Öl und Wasser sind – schwer zu vereinen. Und "Best Practices" sind nicht das Ende der Weisheit. Dies zumindest postulieren diverse Fachleute.
Im Fokus einer neuen Publikation steht der Wunsch, ein Security-Metrik-System zu fördern, das diverse Bedingungen erfüllt: Das Security-Ziel ist objektiv und kann quantifiziert werden, man kann Fakten über verschiedene Bereiche hinweg vergleichen und es ist geeignet, um dem Chef Ressourcen abzuringen. Nicht zuletzt müsste das Messsystem intern auch allgemein akzeptiert sein.
Die Security-Forscherin Kathryn Waldron von der unabhängigen US-Non-Profit-Organisation R Street Institute hat versucht, diese Hilfe in Form einer Bibliographie zu leisten. Unter dem Titel "Resources for Measuring Cybersecurity" listet sie auf mehr als 20 Seiten auf, welche Dokumente man beiziehen kann, um den Nutzen von Security-Investitionen und -Lösungen zu messen. "Frameworks & Scorecards", "Cyber Insurance Metrics", "Return on Security Investments" sind einzelne Kapitel übertitelt, aber es finden sich auch weitere Verweise auf Dokumente von Regierungsorganisationen, unabhängigen Allianzen und einzelnen Security-Anbietern.
Das Dokument ist als PDF kostenlos verfügbar.
Und es auch zu nutzen, könnte sich lohnen für den CISO. Unsere (begrenzte) Lebensweisheit deutet auf drei Dinge hin: Erstens sind Chefs nicht dumm, wenn sie solche Fragen stellen.
Und zweitens: "Stell dich dem Löwen nicht ohne Verteidigung."
Drittens: Man sollte einen scharfen Blick auf Metriken werfen und verstehen, welche sind nützlich, welches sind Stärken und Schwächen und wie erhält man die richtigen Ergebnisse, damit man sie "objektiv" analysieren kann. Dies wiederum sei den CISOs und anderen Fachleuten überlassen. (mag)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werde, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022
image

Ransomware-Report: Vom Helpdesk bis zur PR-Abteilung der Cyberkriminellen

Im 1. Teil unserer Artikelserie zeigen wir, wann der Ransomware-Trend entstand und wie die Banden organisiert sind. Die grossen Gruppen haben auch die kleine Schweiz verstärkt im Visier.

Von publiziert am 18.5.2022
image

Google will "gehärtete" Open-Source-Software vertreiben

Der Cloudriese scheint von der Sorge vieler Unternehmen über die Sicherheit ihrer Software-Lieferkette profitieren zu wollen.

publiziert am 18.5.2022