Cybersecurity Balanced Scorecard: Leitfaden Mit Beispielen Für KPIs

Ein Beispiel für eine Strategie-Scorecard mit Leistungsindikatoren, die auf die aufkommenden Trends der Cybersicherheit eingeht.

Die Leitprinzipien für die Cybersicherheits-Strategiekarte. Quelle: Datensicherheits-Scorecard.

Wichtige Themen des Artikels:

Ausgangspunkt: Studien zur Datensicherheit

Regelmäßige Studien zur Datensicherheit und zum Datenschutz geben uns eine gute Vorstellung über die Hauptursache von Datenverletzungen und die Möglichkeiten, sie zu verhindern. In diesem Artikel werden wir ein Beispiel dafür diskutieren, wie diese Erkenntnisse in eine umfassende Cybersicherheitsstrategie integriert werden können, die mit KPIs messbar ist.

Hier sind die Berichte, die wir als Referenz verwenden werden:

• Cost of Data Breach Report von IBM¹ mit Studien, die vom Ponemon Institute durchgeführt wurden, ist einer der Maßstäbe in der Welt der IT-Sicherheit.
• Verizons Data Breach Investigations Report² bietet eine andere Perspektive auf die Cybersicherheitsrisiken und die Möglichkeiten, sie anzugehen.
• EY Global Information Security Survey³ teilt die besten Praktiken, die Organisationen zur Bewältigung von Datensicherheitsrisiken umsetzen.
• FireEye M-TRENDS Report⁴ berichtet über die Bedrohungen der Datensicherheit und deren Entwicklung im Laufe der Zeit.

Terminologie: Cybersicherheit, Datensicherheit, Datenschutz, Datenprivatsphäre

Beginnen wir mit der Diskussion über den Unterschied zwischen den Begriffen Datensicherheit/Informationssicherheit und Datenschutz (Datenprivatsphäre).

• Datensicherheit/Informationssicherheit bezieht sich auf die Aufrechterhaltung einer sicheren Architektur zur Verwaltung von Daten. Denken Sie an regelmäßige Backups, aktuelle Sicherheitssoftware, Zugriffsrechte, Implementierung von DLP-Software usw.
• Datenschutz bezieht sich auf die ethische und rechtliche Nutzung von Daten – Einholung von Einwilligungen und Einhaltung gesetzlicher Verpflichtungen.

Dieser Unterschied ist wichtig. Zum Beispiel, im Fall von Facebook–Cambridge Analytica wurden Daten sicher verwaltet (verschlüsselt und auf einem sicheren Server gespeichert), aber sie wurden nicht verantwortungsvoll gemäß den Datenschutzbestimmungen verwaltet.

Der Begriff Datenschutz wird hauptsächlich in Europa und Asien verwendet, während in den USA dasselbe Konzept als Datenprivatsphäre bezeichnet wird. Françoise Gilbert hat in ihrem Blog eine gute Erklärung zu den Unterschieden geteilt.

Schließlich soll der Begriff Cybersicherheit ein breiteres Spektrum an Ideen abdecken, einschließlich nicht nur der Datensicherheit, sondern auch anderer Sicherheitssysteme. In der Praxis wird er oft synonym mit dem Begriff Datensicherheit verwendet.

Warum brauchen wir Cybersecurity-KPIs und -Strategie?

Neben den offensichtlichen Ideen, wie zu wissen, wie es Ihrer Organisation geht und die Richtung zu verstehen, in die Sie sich bewegen müssen, möchte ich diese Gründe erwähnen:

• In der Lage sein, Argumente mit einigen Daten zu untermauern, wenn neue Sicherheitslösungen den Stakeholdern präsentiert werden.
• Ein formulierter Geschäftskontext hilft, Cybersecurity-Initiativen auszurichten auf andere Teile der Strategie, zum Beispiel auf die Talent-Scorecard, IT-Scorecard oder Unternehmensführungs-Scorecard.
• Vage Ideen wie „hochgradig sichere Geschäftsumgebung, die die neuesten IT-Technologien nutzt“ in etwas Greifbareres mit spezifischen Leistungsindikatoren umwandeln.

Wie Man Etwas Misst, Das Noch Nicht Geschehen Ist

Es könnte den Anschein haben, dass Datensicherheit etwas Unfassbares und schwer zu quantifizieren und messen ist, da wir nie im Voraus wissen, mit welcher Art von Datenverletzung eine Organisation konfrontiert sein wird. Die zu Beginn erwähnten empirischen Studien (siehe z. B. den IBM Security Bericht) teilen eine andere Sichtweise.

Die meisten Datenverletzungen werden durch bekannte Faktoren verursacht wie:

• Kompromittierte Anmeldedaten (19%)
• Phishing (14%)
• Fehlkonfiguration der Cloud (19%)

Dies gibt uns eine Vorstellung davon, worauf die Bemühungen im Bereich Cybersicherheit fokussiert werden sollten.

Während wir nicht alle Datenverletzungen verhindern können, zeigen die Daten, dass wir deren Auswirkungen minimieren können, indem wir:

• Sicherheitsautomatisierung implementieren,
• Ein Reaktionsteam und einen Reaktionsplan bereit haben,
• Mitarbeiter schulen, und
• Die Geschäftsumgebung mit Ansätzen wie Red-Team-Tests testen.

Für die kritischsten Geschäftsbereiche und Vermögenswerte werden wir die Wiederherstellungspunkte und Wiederherstellungszeitziele definieren, die in der Scorecard für Katastrophenwiederherstellung formalisiert und mit der Cybersicherheits-Scorecard abgeglichen werden können.

Welche Geschäftsrahmenwerke sind für Datensicherheit anwendbar?

Zuvor haben wir verschiedene Geschäftsrahmenwerke besprochen, die Organisationen helfen, ihre Strategien zu formulieren und auszuführen. Welche Rahmenwerke sind für einen Cybersecurity-Bereich anwendbar?

Für die besten Ergebnisse müssen wir verschiedene Rahmenwerke kombinieren:

• Wir werden die PESTEL-Analyse verwenden, um die neuen Faktoren der externen Umgebung zu erkennen und zu analysieren (siehe die Ziele aus der Perspektive von Lernen und Wachstum). Dazu können Änderungen in der Gesetzgebung gehören, wie Datenschutzgesetze, oder disruptive Veränderungen, die wir nach Covid-19 gesehen haben, zum Beispiel der Trend zur Remote-Arbeit.
• Wir werden viel darüber sprechen, wie man sich auf Reaktionsbemühungen konzentriert. In diesem Kontext werden verschiedene Priorisierungsrahmenwerke helfen.
• Bei der Arbeit an einer Datensicherheitsstrategie müssen wir Maßnahmen berücksichtigen, die heute erforderlich sind, in naher Zukunft und einige Initiativen für die ferne Zukunft. In diesem Kontext wird das Drei-Horizonte-Modell helfen, disziplinierte Diskussionen zu führen.
• Um all diese voneinander unabhängigen Ideen in eine kohärente Strategie umzuwandeln, verwenden wir das Balanced Scorecard-Rahmenwerk.

Lassen Sie uns die genannten Geschäftsrahmenwerke und die zu Beginn referenzierten Forschungsberichte verwenden, um ein Beispiel für eine Datensicherheitsstrategie zu erstellen.

Finanzperspektive. Die finanziellen Auswirkungen der Datensicherheit schätzen

Finanzielle KPIs für Datensicherheit sind ein Muss, wenn Sicherheitsinitiativen den Stakeholdern präsentiert werden. Die Präsentation wirkt noch beeindruckender, wenn relevante Branchenbenchmarks bereitgestellt werden können.

Der Bericht von Verizon sowie der Bericht von IBM (durchgeführt vom Ponemon Institute) bieten einige Einblicke in diesem Kontext. Manchmal sind die Daten widersprüchlich. Zum Beispiel werden Sie feststellen, dass die Kosten eines Datenschutzverstoßes pro Datensatz erheblich variieren. Der Bericht von IBM gibt eine Spanne von 150-175 $ an, während laut dem Verizon-Bericht (siehe den Data Breach Investigations Report, 2015) die Kosten bei etwa 0,58 $ liegen. Ken Spinner teilte einige Erklärungen zu diesem Thema in TechBeacon.

Das Ziel, die potenziellen finanziellen Auswirkungen von Datenschutzverletzungen zu reduzieren, wird in spezifische Spätindikatoren aufgeteilt. Quelle: Data Security Scorecard.

Wie können Sie die Kosten eines Datenschutzverstoßes im Fall Ihrer Organisation schätzen?

Dies kann auf den direkten und indirekten Kosten basieren:

• Direkte Kosten umfassen die Kosten der forensischen Analyse, Geldstrafen, Entschädigungen an die Kunden.
• Indirekte Kosten beziehen sich auf den Verlust bestehender und potenzieller Kunden, Mitarbeiter, Partner, der durch einen Datenschutzverstoß entstanden ist.

Auf der Sicherheits-Scorecard können wir einige Benchmarks aus den Studien von Ponemon oder Verizon für die Kosten eines Datenschutzverstoßes pro Datensatz nehmen und sie mit der Anzahl der gefährdeten Datensätze multiplizieren.

Für die Berechnungen benötigen wir einige grundlegende Geschäftsdaten:

• LTV (Kundenlebensdauerwert)
• Schätzung des Kundenverlusts aufgrund eines Datenschutzverstoßes
• Anzahl der Kunden
• Anzahl der gefährdeten Datensätze
• Potenzielle verlorene Kunden

Der Wert für den Indikator 'Kosten einer Datenschutzverletzung' wird unter Verwendung der Werte von zwei anderen Indikatoren berechnet. Quelle: Data Security Scorecard.

Entsprechend kann der direkte Einfluss eines Datenschutzverstoßes wie folgt berechnet werden:

• Kosten eines Datenschutzverstoßes (direkte Kosten) = Kosten eines Datenschutzverstoßes pro Datensatz * Die Anzahl der gefährdeten Datensätze

Was die indirekten Kosten betrifft, so lässt sich eine Möglichkeit, diese zu quantifizieren, über die Kundenverlustrate aufgrund des Datenschutzverstoßes und den LTV nutzen:

• Kosten des Kundenverlusts = [Anzahl der Kunden]*[LTV]*[Kundenverlust aufgrund eines Datenschutzverstoßes]/100

Zusätzlich können Sie die Anzahl der potenziellen Kunden schätzen, die den Vertrag nicht unterzeichnet haben.

• Verlust von Chancen = [Potenzielle verlorene Kunden] * [LTV]

Kundenperspektive. Quantifizierung von Sicherheitsrisiken.

Für die Kundenperspektive wird das Hauptziel wie folgt formuliert:

• Risiken der Datensicherheit und des Datenschutzes mindern

Das übergeordnete Kunden-Ziel wird als 'Risiken der Datensicherheit mindern' formuliert. Die Ergebnisse werden durch den 'gewichteten Risiko'-Index quantifiziert. Quelle: Data Security Scorecard.

Dies wird durch diese Indikatoren qualifiziert:

• Frühindikator Früherkennung und schnelle Reaktion auf die Datenrisiken, das ist das Ergebnis der Ziele aus der Internen Perspektive
• Frühindikator Bereitschaft zum Datenschutz
• Spätindikator Gewichteter Risiko-Index

Die Logik dahinter ist, dass die Organisation an den internen Sicherheitssystemen arbeitet (quantifiziert durch Früherkennung und schnelle Reaktion auf die Datenrisiken) und notwendige Datenschutzmaßnahmen einführt (quantifiziert durch Bereitschaft zum Datenschutz), um die Risiken der Datensicherheit besser zu mindern, wie durch den gewichteten Risiko-Index quantifiziert.

• Wenn Sie eine Datensicherheitsstrategie entwickeln, stellen Sie sicher, dass Ihr Team den Unterschied zwischen Metriken für die Erfolgsfaktoren (Frühindikatoren) und den Metriken für die erwarteten Ergebnisse (Spätindikatoren) versteht.

Lassen Sie uns die Indikatoren aus der Kundenperspektive im Detail besprechen.

Gewichteter Risikoindex

Das Ziel dieses Indikators ist es, das aktuelle Risikoniveau, mit dem die Organisation konfrontiert ist, zu quantifizieren. Dazu werden wir die Anzahl der Datenverletzungen nach ihrem Wirkungsgrad quantifizieren:

• Kritische Risikoereignisse, Gewichtung 70%
• Wichtige Risikoereignisse, Gewichtung 20%
• Risikoereignisse auf mittlerem Niveau, Gewichtung 7%
• Risikoereignisse auf niedrigem Niveau, Gewichtung 3%

Wie Sie sehen, wurde eine nicht-lineare Gewichtungsskala angewendet. Mit diesem Modell haben kritische Datenverletzungen den größten Einfluss auf die Indexkennzahl, während Ereignisse auf niedrigem Niveau einen geringen Einfluss haben.

Der gewichtete Risikoindex berücksichtigt die Risikoereignisse unterschiedlichen Niveaus - von den kritischen Risikoereignissen (das höchste Gewicht) bis zu den Risikoereignissen auf niedrigem Niveau (das niedrigste Gewicht). Quelle: Data Security Scorecard.

Dieser Ansatz adressiert das Problem der Manipulation des Messsystems, wenn der Kontrollindikator durch die Lösung weniger signifikanter Probleme in die grüne Zone verschoben wird. Dennoch müssen wir sicherstellen, dass die Risikoereignisse richtig kategorisiert werden.

Wenn Sie mehr über die Berechnung der Indexindikatoren und die Berücksichtigung der Gewichtung der Indikatoren erfahren möchten, werfen Sie einen Blick auf den entsprechenden Artikel auf unserer Website.

Messen von Datenschutz oder Datensicherheit

Wie bereits erklärt, geht es beim Datenschutz um den ethischen und rechtmäßigen Umgang mit personenbezogenen Daten (PII) und ähnlichen Daten.

Die Schutzmaßnahmen sind in diesem Fall durch die geltende Gesetzgebung gut formuliert. In Europa ist es die DSGVO; in den USA gibt es je nach Geschäftsfeld unterschiedliche Gesetze, wie CCPA, HIPPA, PCI DSS, GLBA.

Ein Beispiel für einen binären Indikator (mögliche Zustände sind 'Ja' oder 'Nein' - wenn der Wert 'Ja' ist, beträgt die Leistung dieses Indikators 100%, ansonsten 0%. Quelle: Data Security Scorecard.

Wenn wir die DSGVO als Beispiel nehmen, kann der Datenschutz aus der Sicht der Messung durch einen Indexindikator verfolgt werden, Datenschutzbereitschaft, der unter Verwendung solcher (meist binärer) Metriken berechnet wird wie:

• Datenschutzbeauftragter ernannt
• Verfolgung der ausdrücklichen Einwilligung
• Verfahren zur Meldung von Datenschutzverletzungen
• Recht auf Zugang, Berichtigung, Löschung umgesetzt
• Recht auf Datenübertragbarkeit

Diese Indikatoren können weiter in die spezifischsten Fälle unterteilt werden, die für die Organisation, ihre Produkte und Dienstleistungen anwendbar sind.

Um die regulatorische Konformität sicherzustellen, sollten diese Indikatoren sowie die gesetzlichen Anforderungen regelmäßig überprüft werden. Dies kann durch die Funktion Aktualisierungsintervall für den jeweiligen Indikator automatisiert werden. Siehe den Abschnitt Automatisierung unten für genauere Beispiele.

Interne Perspektive. Wie man Risiken in der Datensicherheit mindert

Um die Ziele und Leistungsindikatoren für die interne Perspektive zu finden, müssen wir die Ursachenanalyse durchführen und die gefundenen Risiko-/Kostenpunkte betrachten.

Die Ergebnisse hängen vom Geschäftsfeld und den Geschäftssystemen einer bestimmten Organisation ab. Dennoch gibt es einige allgemeine Trends, die in den Berichten von IBM Security und Verizon hervorgehoben wurden. Wir werden diese Erkenntnisse nutzen, um die Ziele und KPIs für die interne Perspektive der Scorecard zu formulieren.

Die Treiber der Cybersecurity-Strategie. Das Ziel der 'Früherkennung' wird durch zwei Unterziele unterstützt - 'Entwicklung eines Risikominderungsplans' und 'Reduzierung der IT-Komplexität' - alle mit ihren jeweiligen Leistungsindikatoren und Initiativen. Quelle: Data Security Scorecard.

Früherkennung und schnelle Reaktion auf Datenrisiken

Wenn es zu einer Datenverletzung kommt, würde eine schnelle Reaktion in Bezug auf Erkennung und Antwort die Kosten erheblich senken.

Auf der Scorecard wird dies durch zwei Spätindikatoren quantifiziert:

• Durchschnittliche Zeit zur Erkennung
• Durchschnittliche Zeit zur Reaktion

Spätindikatoren quantifizieren, was bereits geschehen ist. Wie kann eine Organisation diese Indikatoren beeinflussen? Die gleichen Berichte schlagen bestimmte Maßnahmen vor, die typischerweise zu einer besseren Reaktion auf Datensicherheit führen.

Ein Beispiel für den Erfolgsfaktor - 'Gebildetes Incident-Response-Team' ist ein Erfolgsfaktor zur Minimierung der Auswirkungen von Datenverletzungen. Quelle: Data Security Scorecard.

In der Scorecard-Vorlage finden Sie zwei Einträge, die dem Ziel Früherkennung und schnelle Reaktion zugeordnet sind:

• Gebildete Incident-Response-Teams. Dieser Eintrag ist als Erfolgsfaktor markiert. Laut dem IBM-Sicherheitsbericht ist dies eine der Hauptursachen für die Minimierung der Auswirkungen von Datenverletzungen.
• Erkennung von Hochrisiko-Datenzugriff. Mit dieser Initiative kann Ihr Team seine Bemühungen entsprechend der Wirkung bestimmter Arten von Datenzugriff priorisieren. Wenn Sie einen systematischeren Ansatz zur Priorisierung suchen, dann lesen Sie den Artikel über Priorisierungsrahmen.

Im Kontext des Ziels Früherkennung und schnelle Reaktion gibt es zwei weitere Frühindikatoren. Beide basieren auf den oben genannten Erkenntnissen aus Datensicherheitsberichten:

• Entwicklung eines Risikominderungsplans
• Reduzierung der IT-Komplexität

Lassen Sie uns diese im Detail besprechen.

Entwickeln Sie einen Risikominderungsplan

Ein Risikominderungsplan ist ein Erfolgsfaktor für eine schnellere Reaktion auf den Datenverstoß.

Wie können wir sicherstellen, dass der bestehende Plan für Datensicherheit ein guter ist?

Er sollte auf einem aktuellen Risikomodell basieren, das die Art und Weise widerspiegelt, wie Daten in der Organisation verwaltet werden. Auf der Strategie-Scorecard wird dies durch Regelmäßige Datensicherheitsaudits als Frühindikator quantifiziert, der in den Lern- und Wachstumsperspektiven erläutert wird.

Woher wissen wir, dass der vorgeschlagene Reaktionsplan auf Risiken tatsächlich effektiv ist?

Zusammen mit regelmäßigen Aktualisierungen des Risiko-Plans könnten wir die Anwendung des entwickelten Plans in der Praxis testen. Dies wird durch den Spätindikator, Test der Vorfallsreaktion, quantifiziert.

Reduzieren Sie die Komplexität von IT und Daten

Die empirischen Studien nennen mehrere weitere Faktoren, die helfen, die Kosten für Datenschutzverletzungen zu minimieren, wie zum Beispiel:

• Komplexität der IT-Infrastruktur
• Komplexität des Datenschemas
• Automatisierung

Auf der Strategie-Karte haben wir diese Faktoren im Ziel Komplexität von IT und Daten reduzieren formuliert.

Die Unterziele erklären, wie das übergeordnete Ziel erreicht wird. Quelle: Data Security Scorecard.

In diesem Fall:

• Verringern der Komplexität von Daten und IT ist eine Begründung für das Ziel
• Beschränken des Zugangs zu den wertvollsten Daten ist einer der Erfolgsfaktoren bei der Verringerung der Komplexität der erforderlichen IT-Lösungen
• Automatisieren von Schwachstellentests und Compliance ist eine umfassende Initiative zur IT-Automatisierung der Sicherheit

Schließlich, wenn die Minimierung der Komplexität als einer der Faktoren für eine bessere Reaktion auf Datenschutzverletzungen genannt wird, wie können wir sie quantifizieren?

Die Antwort ist individuell und hängt von der IT-Landschaft Ihrer Organisation ab. Für diese Scorecard gibt es ein Beispiel für einen Komplexitätsindex der Datensicherheit, der aus solchen Indikatoren besteht wie:

• Anzahl der Benutzer mit dem höchsten Zugriffslevel. Die Optimierungsfunktion für diesen Indikator ist auf „linear minimieren“ eingestellt, da die Reduzierung der Anzahl der Benutzer mit Zugriff auf sensible Daten die Gesamtleistung des Index verbessern wird.
• Zeit zur Deaktivierung von Anmeldeinformationen. 7% der Datenschutzverletzungen sind auf einen böswilligen Insider zurückzuführen. Das schnelle Deaktivieren von Anmeldeinformationen ist eine der IT-Sicherheitsmaßnahmen, die diesen Prozentsatz reduzieren können. Das akzeptable Zeitintervall ist in diesem Fall sehr kurz. Um diese Idee auf der Scorecard widerzuspiegeln, ist die Optimierungsfunktion für diesen Indikator exponentieller Zerfall.

Die Leistungsfunktion für diesen Indikator ist auf 'Exponential decay' eingestellt. Wie im Messgerät-Diagramm zu sehen ist, ist die grüne Zone für diese Kennzahl relativ klein, was bedeutet, dass die akzeptable Zeit zur Deaktivierung von Anmeldeinformationen wenige Stunden, nicht Tage beträgt. Quelle: Data Security Scorecard.

• % der von DLP-Software kontrollierten sensiblen Daten. Lösungen zur Verhinderung von Datenverlusten sind eine Möglichkeit, die IT-Sicherheit zu automatisieren. Solange Organisationen mit neuen Daten umgehen, ist es wichtig, Datenmodelle regelmäßig zu überarbeiten, um sicherzustellen, dass die sensiblen Daten durch die DLP (Data Loss Prevention)-Tools zugänglich sind.
• Datenverschlüsselung und Backup automatisiert. Ähnlich wie beim vorherigen Indikator sind wir daran interessiert, ein aktuelles Datenmodell zu haben und sicherzustellen, dass sensible Daten ordnungsgemäß verwaltet werden.
• % der aktuellen Sicherheitssoftware. Diese Kennzahl sieht einfach aus, aber Studien erzählen eine andere Geschichte. Die Hauptursache für 16% der Datenschutzverletzungen ist eine Schwachstelle in Drittanbieter-Software. Softwareanbieter veröffentlichen regelmäßig Updates, die Schwachstellen beheben. Das Installieren der neuesten Updates ist einer der Erfolgsfaktoren zur Minimierung von Sicherheitsrisiken.
• Automatisierungsabdeckung, % Der Indikator vergleicht das mögliche Automatisierungsniveau mit dem aktuellen Automatisierungsniveau. Höhere Automatisierung reduziert den Einfluss menschlicher Faktoren und verringert die Komplexität für die Stakeholder.

Ein Beispiel dafür, wie man Komplexität mit einem indexbasierten Indikator quantifizieren kann, bei dem Unterindikatoren mit unterschiedlicher Gewichtung zum Index beitragen. Quelle: Data Security Scorecard.

Dies sind nur Beispiele für einige Kennzahlen, die die Komplexität im Bereich der Datensicherheit quantifizieren können. Ein robusterer Ansatz zur Komplexität sollte eine tiefere Analyse der Stakeholder umfassen, um Punkte schlechter Komplexitäten zu finden und eine Strategie zur Reduzierung der Komplexität zu entwickeln. Im vorherigen Artikel haben wir über Komplexitätskennzahlen und die Möglichkeiten ihrer praktischen Anwendung diskutiert.

Lern- und Wachstumsperspektive

In dieser Perspektive haben wir zwei große Ziele:

• Regelmäßige Datensicherheitsaudits Ziel, das hilft, sich auf die richtige Infrastruktur für die Datensicherheit zu konzentrieren.
• Mitarbeiter im Bereich Datensicherheit schulen Ziel, das darauf abzielt, Ihrem Team das aktuelle Wissen und die Fähigkeiten zu vermitteln, die notwendig sind, um Datenverletzungen zu verhindern oder ihre Auswirkungen zu minimieren.

Die Lern- und Infrastrukturtreiber der Cybersicherheitsstrategie - 'Regelmäßige Datensicherheitsaudits' und 'Mitarbeiter im Bereich Datensicherheit schulen'. Zwei wichtige Ziele, begleitet von Initiativen, Frühindikatoren und Spätindikatoren. Quelle: Data Security Scorecard.

Schauen wir uns an, wie diese Ziele auf der Strategie-Karte formuliert sind.

Regelmäßige Audits der Datensicherheit

Wir haben eine Begründung Analyse von Cybersicherheitsrisiken, die mit dem Ziel ausgerichtet ist. Was sind typische Cybersicherheitsrisiken? In der Begründungsbeschreibung haben wir einige Beispiele:

• Cyberangriffe
• Ransomware
• Malware
• Bedrohungen von innen
• Verlorene/gestohlene Zugangsdaten
• Unbefugter Zugriff
• Datenverlust
• Datenbeschädigung

Der Bedarf an regelmäßiger Analyse von Cybersicherheitsrisiken wird als Initiative formuliert. Der ausgerichtete Indikator 'regelmäßige Risikoanalyse' zeigt den tatsächlichen Fortschritt für diese Initiative. Quelle: Data Security Scorecard.

Es gibt eine Hypothese, Remote-Arbeit beeinflusst die Datensicherheit, die mit dem Ziel ausgerichtet ist. Für viele Organisationen war Remote-Arbeit Teil ihrer Antikrisenstrategie als Reaktion auf Covid-19.

Es gibt zwei Frühindikatoren:

• Regelmäßige Risikoanalyse – eine allgemeine Analyse der neuen Risiken
• Regelmäßige Bewertung des Risikos von sensiblen Daten – eine spezifischere Analyse im Kontext von sensiblen Daten

Beide Indikatoren sind so konfiguriert, dass sie auf vierteljährlicher Basis aktualisiert werden.

Das Aktualisierungsintervall für die 'Regelmäßige Bewertung des Risikos von sensiblen Daten' ist auf Viertel konfiguriert. Die Software wird kontrollieren, dass der Indikator regelmäßig aktualisiert wird und die neuen Daten zu den durch das Aktualisierungsintervall erlaubten Terminen (erster Tag des Quartals in dieser Konfiguration) aufgezeichnet werden. Quelle: Data Security Scorecard.

Es gibt mehrere Metriken, die helfen, die Anstrengungen des Sicherheitsteams bei der Analyse der aktuellen Risikosituation zu quantifizieren und daraus zu lernen:

• Schwachstellenscanning – typischerweise automatisiertes Scanning, durchgeführt vom IT-Team
• Penetrationstests (Pen-Test) – eine Simulation eines Cyberangriffs
• Red-Team-Tests – Sicherheitstests in größerem Umfang, die mehr Teilnehmer einbeziehen

Die jeweiligen KPIs sind für verschiedene Aktualisierungsintervalle konfiguriert:

• Automatisiertes Schwachstellenscanning kann wöchentlich oder monatlich durchgeführt werden.
• Abhängig vom Risikomodell kann ein Pen-Test vierteljährlich durchgeführt werden.
• Schließlich ist der Indikator für die ressourcenintensivsten Red-Team-Tests auf ein halbjährliches oder jährliches Aktualisierungsintervall konfiguriert.

Die Risikoanalyse- und Testverfahren sind darauf ausgelegt, Schwachstellen im Sicherheitssystem zu finden. Wie wissen wir, dass die Erkenntnisse aus diesen Simulationen und Tests effektiv umgesetzt werden? Um die Antwort auf diese Frage zu finden, können wir verfolgen:

• Die Anzahl der wiederkehrenden Datenpannen-Indikator.

Wenn eine Datenpanne desselben Typs wiederholt auftritt, ist dies ein Zeichen dafür, dass der von dem Sicherheitsteam vorgeschlagene Risikominderungsplan nicht so effektiv ist wie erwartet.

Mitarbeiter in Datensicherheit Schulen

Der menschliche Faktor bleibt eines der höchsten Risiken jedes Datensicherheitssystems. Laut dem IBM Security-Bericht sind etwa 36 % der böswilligen Datenschutzverletzungen mit menschlichem Verhalten verbunden (Phishing, Social Engineering, kompromittierte Zugangsdaten).

Wie kann die Datensicherheitsstrategie so gestaltet werden, dass diese Risiken effektiv gemindert werden?

Eine der Lösungen besteht darin, bestimmte Operationen zu automatisieren und die Rolle des menschlichen Bedieners zu reduzieren. Dies stimmt stark mit dem Komplexitätsreduktionsziel überein, das wir in der internen Perspektive diskutiert haben.

Die Liste der Initiativen und deren Status. Quelle: Data Security Scorecard.

In den restlichen Fällen, in denen Automatisierung nicht möglich oder nicht rentabel ist, ist Bildung die Antwort. Wie kann man Bildungsanstrengungen im Kontext der Datensicherheit fokussieren? Wir können ein Paar von Früh- und Spätindikatoren verwenden!

• Frühindikator: Durchdringungsrate der Datensicherheitsschulung kann verwendet werden, um die Abdeckung der Schulung zur Sensibilisierung für Datensicherheit zu verfolgen, bei der die Teilnehmer beispielsweise über Phishing-Praktiken und Möglichkeiten, diese zu vermeiden, lernen können.
• Der beste Spätindikator sollte sich in diesem Fall auf die greifbare Wirkung der Sensibilisierungsschulung konzentrieren. Wenn das Verständnis von Phishing-Praktiken eines der Themen der Schulung war, führen Sie einen Phishing-Test durch und prüfen Sie, ob die Mitarbeiter die Erkenntnisse der Schulung tatsächlich anwenden. Dies kann auf der Scorecard mit dem Indikator Erfolgsquote des Phishing-Tests quantifiziert werden.

Wenn die Schulung von Mitarbeitern in Datensicherheit jetzt Ihre Priorität ist, kann Ihr Sicherheitsteam eine Schulungsbewertungs-Scorecard entwerfen, die das Modell der Kirkpatrick-Stufen verwendet, wie in diesem Artikel besprochen.

Automatisierung für die Data Security Scorecard

Wir haben ein Beispiel einer Strategie-Scorecard besprochen, die dabei hilft, die Daten­sicherheits­strategie in Ihrer Organisation zu beschreiben, zu implementieren und auszuführen.

Diese Scorecard ist als eine der kostenlosen Vorlagen in BSC Designer Online verfügbar, sodass Sie sich mit einem kostenlosen Plan-Konto anmelden und sie nach Ihren Bedürfnissen anpassen können.

Kennen Sie die Gesamtkosten der Strategie

Wir erwähnten, dass einer der Gründe für eine Strategie-Scorecard zur Datensicherheit darin besteht, dass es einfacher wird, den Stakeholdern neue Initiativen zu präsentieren.

Die Kosten der vorgeschlagenen Strategie sind eine der ersten Fragen, die auf den Tisch kommen werden. Die Kosten für die Umsetzung der Strategie können als Summe der Kosten aller Geschäftsziele und ihrer jeweiligen Initiativen geschätzt werden.

Der 'Kosten der Strategie'-Bericht für die Cybersicherheits-Scorecard fasst die Budgets (zugewiesen und tatsächlich genutzt) aller Initiativen zusammen. Quelle: Data Security Scorecard.

Wenn Sie BSC Designer als Automatisierungswerkzeug verwenden, können Sie Budgets den Initiativen zuweisen und deren Nutzung kontrollieren. Die Software wird in der Lage sein, einen Kosten der Strategie-Bericht zu erstellen, um die insgesamt erwarteten Kosten für die Umsetzung der Strategie zu präsentieren.

Wichtige Daten auf den Dashboards visualisieren

Ein weiterer typischer Wunsch von Stakeholdern ist es, die Daten zu haben, um die richtigen Entscheidungen zu treffen (zuvor sprachen wir über datengetriebene Entscheidungen). Die Strategie-Karte enthält an sich schon viele Daten. Ein anderer Ansatz ist, ein BI-Dashboard zu erstellen, das so konfiguriert werden kann, dass es die wichtigsten Indikatoren und deren Daten anzeigt.

In der Strategie-Vorlage für diesen Artikel haben wir zwei Dashboards (man kann zwischen ihnen wechseln).

 

Ein Beispiel für das BI-Dashboard für Cybersicherheit: das Zeitdiagramm für kritische Risikoevents, die Entwicklung des gewichteten Risikoindex, Diagramme für einige spezifische Indikatoren, das Gantt-Diagramm für die Reaktionsinitiativen, die Liste der Risiken und deren Status. Quelle: Data Security Scorecard.

Das Risikoindex-Dashboard konzentriert sich ausschließlich auf die Risikoindex-Indikatoren, die wir zur Quantifizierung der aktuellen Risikosituation verwendet haben. Mit den Diagrammen des Dashboards können wir sehen:

• Aktuelle Risiken visualisiert auf den Anzeigediagrammen
• Wie sich der Risikoindex im Laufe der Zeit verändert hat
• Den Beitrag jedes Indikators zum Risikoindex auf dem Gewichtungsdiagramm

Das zweite Dashboard in der Cybersicherheits-Scorecard konzentriert sich ausschließlich auf den Komplexitätsindex, seine Entwicklung im Laufe der Zeit und den Zustand seines Indikators. Quelle: Data Security Scorecard.

Ein weiteres Dashboard ist der Datensicherheitskomplexitätsindex. Wie besprochen, sind schlechte Komplexitäten der Sicherheitssysteme ein Faktor für höhere Risiken von Datenverletzungen. Dieses Dashboard visualisiert den aktuellen Stand der Komplexität, wie er durch die ausgewählten Indikatoren quantifiziert wird.

Leistungsdaten Analysieren

Das Sammeln von Leistungsdaten in Form von KPIs ist etwas, das die meisten Organisationen regelmäßig tun. Es spielt keine Rolle, welches Automatisierungstool verwendet wird, es gibt viele Daten.

Die Frage ist immer, wie man diese Daten nutzt und in umsetzbare Informationen umwandelt. Einige Erkenntnisse entstehen, wenn das Team eine Strategie-Karte oder ein Dashboard diskutiert; andere Erkenntnisse können automatisiert gefunden werden.

In diesem Sinne hilft die Analyse-Funktion in BSC Designer viel. Hier sind einige Beispiele:

• Die meisten der diskutierten Indikatoren müssen regelmäßig aktualisiert werden. Mit der Aktualisierungszeit-Analyse können Sie die Indikatoren finden, die bald aktualisiert werden müssen oder die nicht rechtzeitig aktualisiert wurden. Dies kann auch mit der Alerts-Funktion automatisiert werden.
• Jeder Indikator auf der Scorecard hat sein Gewicht, das die Wichtigkeit des Indikators widerspiegelt. Mit der Absoluten Gewichtung-Analyse können Sie die Indikatoren mit dem höchsten Gewicht finden. Zum Beispiel hat in unserem Beispiel der Indikator Mittlere Zeit bis zur Erkennung eines der höchsten Gewichte. Wenn Ihr Team erwägt, an mehreren Initiativen zu arbeiten, und eine davon verspricht, Datenverstöße schneller zu erkennen, dann geben Sie dieser den Vorrang.
• Manchmal können interessante Erkenntnisse einfach dadurch gewonnen werden, dass man sich ansieht, wie sich die Leistungsdaten verändert haben. Schnelle Gewinne oder Verluste sind ein Zeichen für einige neue Faktoren, die analysiert werden sollten. Warum hatte der Indikator Mittelstufige Risikoereignisse einen Verlust von 30% – war dies das Ergebnis eines internen Systemupdates oder ist es ein Problem der Berichterstattung?

Die 'Absoluten Gewichtung'-Analyse hilft, die Indikatoren zu finden, die den größten Einfluss (höchste absolute Gewichtung) auf der Scorecard haben. In diesem Fall haben 'Kritische Risikoereignisse' und 'Mittlere Zeit bis zur Erkennung' den größten Einfluss. Quelle: Data Security Scorecard.

Karten Sie Begründungen, Erfolgsfaktoren und Erwartete Ergebnisse

Im kostenlosen Kurs zur strategischen Planung haben wir die Bedeutung des Verständnisses des Geschäftskontextes eines Ziels diskutiert. Es reicht nicht aus, ein gut beschriebenes Ziel zu haben, es ist wichtig, die dahinterstehende Begründung, die Erfolgsfaktoren und die erwarteten Ergebnisse, die für die Organisation wertvoll sind, zu verstehen.

Die Liste der Initiativen, deren Status und der Fortschritt der damit verbundenen Indikatoren. Quelle: Data Security Scorecard.

Schauen Sie sich das Ziel Komplexität von IT und Daten reduzieren aus der Scorecard-Vorlage an:

• Es gibt einen Begründungseintrag Komplexitäten von Daten und IT verringern, der erklärt, warum dieses Ziel wichtig ist: „Hohe Komplexität von Softwaresystemen und Dateninfrastruktur ist ein Risikofaktor für Datenverstöße.“
• Es gibt auch einen Erfolgsfaktor für die Verringerung der Komplexitäten – Zugang zu den wertvollsten Daten begrenzen. Dies ergibt im Kontext des Ziels vollkommen Sinn – weniger Zugang zu sensiblen Daten reduziert die Komplexität des Datenschemas und verringert das Risiko von Datenverstößen als Ergebnis.

In einigen Fällen haben wir keinen festen Plan, um etwas zu erreichen, stattdessen arbeiten wir mit einer fundierten Hypothese. Die Benutzer von BSC Designer können eine Hypothese zu ihren Zielen hinzufügen. In unserem Beispiel gab es eine Hypothese, Remote-Arbeit beeinflusst die Datensicherheit, die mit Regelmäßigen Datensicherheitsaudits verbunden war.

Das Wissen über die erwarteten Ergebnisse ist ebenfalls entscheidend. Zum Beispiel haben wir für das Schulen von Mitarbeitern in Datensicherheit ein erwartetes Ergebnis namens Verantwortungsvolles Datenmanagement. Was bedeutet das in der Praxis? Wie können wir das quantifizieren? Diese Fragen eröffnen die Tür zu einigen interessanten Diskussionen.

Initiativen mit Budgets, Verantwortlichen und Status Erstellen

Um die Lücke zwischen Strategieplanung und -ausführung zu schließen, nutzen Sie die Initiativen für die Ziele. Nehmen wir die Initiative Automatisierung von Schwachstellentests und Compliance, die mit Reduzierung der Komplexität von IT und Daten abgestimmt ist.

Ein Beispiel für die strategische Initiative mit zugewiesenem Budget und Zeitrahmen. Der Einfluss der Initiative wird durch den Indikator 'Automatisierungsabdeckung' quantifiziert (siehe Feld 'Ausgerichteter KPI'). Quelle: Data Security Scorecard.

• Wie genau wird Ihr Team an dieser Initiative arbeiten? Verwenden Sie das Beschreibungsfeld, um einen detaillierten Aktionsplan hinzuzufügen.
• Wie ist sie mit anderen Risikominderungsplänen abgestimmt? Nutzen Sie den Dokumentenbereich, um auf die relevanten Ressourcen zu verlinken. In unserem Beispiel haben wir auf das Beispiel der IT-Scorecard verlinkt.
• Wer ist für diese Initiative verantwortlich? Weisen Sie Verantwortliche zu, damit diese eine Benachrichtigung erhalten, wenn etwas Relevantes passiert.
• Was ist der aktuelle Status der Initiative? Aktualisieren Sie den Status zusammen mit dem Fortschritt Ihres Teams, das an der Initiative arbeitet.
• Wie können Sie den Fortschritt im Kontext dieser Initiative nachverfolgen? In unserem Beispiel haben wir sie mit dem Indikator Automatisierungsabdeckung, % verknüpft, der einen Index der Datensicherheitskomplexität bildet.

Sitzung: 'Einführung in die Balanced Scorecard durch BSC Designer' ist Teil des laufenden Lernprogramms von BSC Designer, das sowohl als Online- als auch als Vor-Ort-Workshop angeboten wird. Erfahren Sie mehr....

Schlussfolgerungen

In diesem Artikel besprechen wir ein Beispiel für eine Datensicherheitsstrategie. Hier sind die wichtigsten Ideen, die wir besprochen haben:

• Es gibt bekannte Risikofaktoren für Datenverletzungen sowie bewährte Methoden, um die Auswirkungen von Sicherheitsvorfällen zu minimieren.
• Helfen Sie Ihren Stakeholdern, die direkten und indirekten Kosten von Datenverletzungen zu verstehen.
• Fokussieren Sie Ihre Strategie auf das frühe Erkennen von Problemen und das schnelle Reagieren.
• Haben Sie einen Risikominderungsplan und ein Reaktionsteam, um die Auswirkungen von Datenverletzungen zu verringern.
• Reduzieren Sie schädliche Komplexitäten von IT-Systemen und Datenschemata.
• Aktualisieren Sie regelmäßig Risikomodelle, testen Sie Ihre Sicherheitsumgebung.
• Der menschliche Faktor ist einer der Risikopunkte – bilden Sie Ihr Team aus, beobachten Sie Veränderungen im Verhalten, nicht nur die formalen Prüfungsergebnisse.

Was kommt als Nächstes? Eine gute Cyberstrategie ist maßgeschneidert nach den Bedürfnissen Ihrer Organisation. Verwenden Sie die in diesem Artikel besprochene Sicherheitsstrategie-Vorlage als Ausgangspunkt, um Ihre eigene Datensicherheitsstrategie zu entwickeln. Teilen Sie gerne Ihre Herausforderungen und Erkenntnisse in den Kommentaren.

Anwendungsbeispiele im Bereich Cybersicherheit

Erfahren Sie, wie Geschäftsleute die BSC Designer Plattform nutzen, um Herausforderungen im Zusammenhang mit der Cybersicherheitsstrategie anzugehen und zu automatisieren.

Nutzen Sie Daten­sicherheits- und Schutz-Scorecard Vorlage

BSC Designer hilft Organisationen bei der Implementierung ihrer komplexen Strategien:

1. Melden Sie sich für einen kostenlosen Plan auf der Plattform an.
2. Verwenden Sie die Daten­sicherheits- und Schutz-Scorecard Vorlage als Ausgangspunkt. Sie finden sie unter Neu > Neue Scorecard > Weitere Vorlagen.
3. Folgen Sie unserem Strategie-Implementierungssystem, um Stakeholder und strategische Ambitionen in eine umfassende Strategie zu integrieren.

Fangen Sie noch heute an und sehen Sie, wie BSC Designer Ihre Strategieimplementierung vereinfachen kann!