Cybersicherheits-Scorecard mit KPIs für Datensicherheit und Datenschutz

Ein Beispiel für eine Strategie-Scorecard mit Leistungsindikatoren, die die aufkommenden Trends der Cybersicherheit berücksichtigt.

Quelle: Datensicherheits-Scorecard.

Hauptthemen des Artikels:

Ausgangspunkt: Studien zur Datensicherheit

Regelmäßige Studien zu Datensicherheit und Datenschutz geben uns eine gute Vorstellung über die Ursache von Datenschutzverletzungen und die Möglichkeiten, diese zu verhindern. In diesem Artikel besprechen wir ein Beispiel dafür, wie diese Erkenntnisse zu einer umfassenden Cybersicherheitsstrategie kombiniert werden können, die anhand von KPIs messbar ist.

Hier sind die Berichte, auf die wir uns beziehen werden:

• Kosten von Datenschutzverletzungen, Report von IBM ¹ mit Studien des Ponemon Institute ist eines der Richtwerke in der Welt der IT-Sicherheit.
• Datenschutzverletzungs-Untersuchungsbericht von Verizon ² fügt eine andere Perspektive über die Cybersicherheits-Risiken und die Möglichkeiten, diese zu behandeln, hinzu.
• EY Global Information Security Survey ³ zeigt die besten Praktiken, die Unternehmen einsetzen, um Datensicherheitsrisiken zu begegnen.
• FireEye M-TRENDS Bericht ⁴ berichtet über die Bedrohungen der Datensicherheit und deren Entwicklung im Laufe der Zeit.

Begrifflichkeiten: Cybersicherheit, Datensicherheit, Datensicherung

Beginnen wir mit der Diskussion des Unterschieds zwischen den Begriffen Daten-/Informationssicherheit und Datenschutz.

• Daten-/Informationssicherheit ist die Aufrechterhaltung eines sicheren Systems zur Verwaltung von Daten. Denken Sie an regelmäßige Backups, aktuelle Sicherheitssoftware, Zugriffsrechte, Implementierung von DLP-Software usw.
• Datenschutz bezieht sich auf die ethische und legale Nutzung von Daten – die Einholung der Zustimmung und die Einhaltung gesetzlicher Verpflichtungen.

Dieser Unterschied ist wichtig. Im Fall Facebook-Cambridge Analytica zum Beispiel wurden die Daten zwar sicher verwaltet (sie wurden verschlüsselt und auf einem sicheren Server gespeichert), aber nicht verantwortlich im Sinne der Datenschutzbestimmungen verwaltet.

Schließlich soll der Begriff Cybersicherheit ein breiteres Spektrum an Ansätzen abdecken, die nicht nur Datensicherheit, sondern auch andere Sicherheitssysteme umfassen. In der Praxis wird er oft austauschbar mit dem Begriff Datensicherheit verwendet.

Warum brauchen wir Cybersicherheits-KPIs und Strategien?

Abgesehen von den offensichtlichen Ansätzen, wie z. B. zu wissen, wie es um Ihr Unternehmen steht und die Richtung zu verstehen, in die es gehen soll, würde ich diese Gründe auflisten:

• Fähig sein,Argumente mit Daten zu untermauern, wenn Sie den Beteiligten neue Sicherheitslösungen präsentieren.
• Ein formulierter Geschäftskontext hilft bei der Ausrichtung von Cybersicherheits-Initiativen auf andere Teile der Strategie, z. B. auf die Talent-Scorecard, IT-Scorecard oder Corporate Governance-Scorecard.
• Vage Ideen wie „hochsichere Geschäftsumgebung, die die neuesten IT-Technologien nutzt“ in etwas Greifbareres mit spezifischen Leistungsindikatoren umwandeln.

Wie man etwas misst, das noch nicht geschehen ist

Es mag den Anschein haben, dass Datensicherheit etwas Ungreifbares und schwer zuquantifizierendes und messendes ist, da wir nie im Voraus wissen, welche Art von Datenschutzverletzung ein Unternehmen erleiden wird. Die anfangs erwähnten empirischen Studien (siehe z. B. IBM Security Report) teilen eine andere Sichtweise.

Die meisten Datenschutzverletzungen werden durch bekannte Faktoren verursacht, wie z. B.:

• Kompromittierte Zugangsdaten (19 %)
• Phishing (14 %)
• Fehlkonfiguration der Cloud (19 %)

Das gibt uns eine Vorstellung davon, worauf die Bemühungen im Bereich der Cybersicherheit fokussiert werden sollten.

Wir können zwar nicht alle Datenschutzverletzungen verhindern, aber die Daten zeigen, dass wir ihre Auswirkungen auf das Unternehmen minimieren können, indem wir:

• Sicherheits-Automatisierung implementieren,
• Ein Reaktionsteam und einen Reaktionsplan bereithalten,
• Mitarbeiter-Schulungen durchführen, und
• Die Geschäftsumgebung mit Ansätzen wie Red Team Testing testen.

Welche Geschäftsrahmenwerke sind für die Datensicherheit anwendbar?

Wir haben bereits verschiedene Geschäftsrahmenwerke besprochen, die Organisationen dabei helfen, ihre Strategien zu formulieren und auszuführen. Welche Rahmenwerke sind für einen Cybersicherheits-Bereich anwendbar?

Für die besten Ergebnisse müssen wir verschiedene Frameworks kombinieren:

• Wir werden die PESTEL-Analyse verwenden, um die neuen Faktoren der externen Umgebung zu erkennen und zu analysieren (siehe die Ziele aus der Lern- und Wachstumsperspektive). Das können Änderungen in der Gesetzgebung sein, wie z. B. Datenschutzgesetze, oder disruptive Veränderungen, die wir nach COVID-19 gesehen haben, z. B. der Trend zur Telearbeit.
• Wir werden viel über die Fokussierung auf Reaktionsmaßnahmen sprechen. In diesem Zusammenhang helfen verschiedene Priorisierungs-Frameworks.
• Bei der Arbeit an einer Datensicherheitsstrategie müssen wir Maßnahmen berücksichtigen, die heute und in naher Zukunft erforderlich sind, sowie einige Initiativen für die ferne Zukunft. In diesem Zusammenhang wird das Three Horizons-Rahmenwerk helfen, disziplinierte Diskussionen zu führen.
• Um all diese unzusammenhängenden Ideen in eine kohärente Strategie umzuwandeln, verwenden wir das Balanced Scorecard-Rahmenwerk.

Lassen Sie uns die Geschäftsrahmenwerke und anfangs erwähnten Forschungsberichte verwenden, um ein Beispiel für eine Datensicherheitsstrategie zu erstellen.

Finanzperspektive. Abschätzung der finanziellen Auswirkungen von Datensicherheit

Finanzielle KPIs für Datensicherheit sind ein Muss, wenn Sie den Stakeholdern Sicherheitsinitiativen präsentieren. Noch eindrucksvoller wirkt die Präsentation, wenn relevante Branchen-Richtwerte vorgelegt werden können.

Sowohl der Bericht von Verizon als auch der Bericht von IBM (durchgeführt vom Ponemon Institute) bieten einige Einblicke in diesen Zusammenhang. Manchmal sind die Daten widersprüchlich. Sie werden zum Beispiel feststellen, dass die Kosten einer Datenschutzverletzung pro Datensatz erheblich variieren. Der Bericht von IBM gibt eine Spanne von $150-175 an, während sie laut dem Bericht von Verizon (siehe Data Breach Investigations Report, 2015) bei etwa $0,58 liegt. Ken Spinner hat einige Erklärungen zu diesem Thema in TechBeacon geteilt.

Quelle: Datensicherheits-Scorecard.

Wie können Sie die Kosten für eine Datenschutzverletzung im Fall Ihrer Organisation abschätzen?

Sie können auf den direkten und indirekten Kosten basieren:

• Direkte Kosten beinhalten die Kosten für forensische Analysen, Geldstrafen, Entschädigungen an die Kunden.
• Indirekte Kostenbeziehen sich auf den Verlust bestehender und potenzieller Kunden, Mitarbeiter, Partner, die durch eine Datenschutzverletzung entstanden sind.

Auf der Datensicherheits-Scorecard können wir einige Richtwerte aus den Studien von Ponemon oder Verizon für die Kosten pro Datensatz bei Datenschutzverletzungen nehmen und diese mit der Anzahl der gefährdeten Datensätze multiplizieren.

Um die Berechnungen durchzuführen, benötigen wir einige grundlegende Geschäftsdaten:

• LTV (Customer Lifetime Value)
• Schätzung der Kundenabwanderung aufgrund einer Datenschutzverletzung
• Anzahl der Kunden
• Anzahl der gefährdeten Datensätze
• Potenziell verlorene Kunden

Quelle: Datensicherheits-Scorecard.

Die direkten Auswirkungen einer Datenschutzverletzung können wie folgt berechnet werden:

• Kosten der Datenschutzverletzung (direkte Kosten) = Kosten der Datenschutzverletzung pro Datensatz * Anzahl der gefährdeten Datensätze

Was die indirekten Kosten betrifft, so ist eine Möglichkeit, diese zu quantifizieren, die Verwendung der Kundenabwanderungsrate aufgrund der Datenschutzverletzung und des LTV:

• Kosten der Kundenabwanderung = [Anzahl der Kunden] * [LTV] * [Kundenabwanderung aufgrund einer Datenschutzverletzung] / 100

Zusätzlich können Sie die Anzahl der potentiellen Kunden schätzen, die den Vertrag nicht unterschrieben haben.

• Verlorene Opportunitätskosten = [verlorene potenzielle Kunden] * [LTV]

Kundenperspektive. Quantifizierung von Sicherheitsrisiken.

Für die Kundenperspektive wird das Hauptziel wie folgt formuliert:

• Mindern von Datensicherheits- und Datenschutzrisiken

Quelle: Datensicherheits-Scorecard.

Dies wird durch diese Indikatoren qualifiziert:

• Frühindikator Frühzeitige Erkennung und schnelle Reaktion auf Datenrisiken, das ist der Ausgang der Ziele aus der Inneren Perspektive
• Frühindikator Datenschutz-Bereitschaft
• Spätindikator Gewichteter Risiko-Index

Die Logik hierbei ist, dass die Organisation an den internen Sicherheitssystemen arbeitet (quantifiziert durch Früherkennung und schnelle Reaktion auf die Datenrisiken) und notwendige Datenschutzmaßnahmen einführt (quantifiziert durch Datenschutzbereitschaft), um die Datensicherheitsrisiken, quantifiziert durch den Gewichteten Risikoindex, besser zu mindern.

• Wenn Sie eine Datensicherheitsstrategie erstellen, stellen Sie sicher, dass Ihr Team den Unterschied zwischen Kennzahlen für die Erfolgsfaktoren (Frühindikatoren) und den Kennzahlen für die erwarteten Ergebnisse (Spätindikatoren) versteht.

Lassen Sie uns die Indikatoren aus der Kundenperspektive im Detail besprechen.

Gewichteter Risiko-Index

Das Ziel dieses Indikators ist es, das aktuelle Risikoniveau zu quantifizieren, mit dem die Organisation konfrontiert ist. Dazu quantifizieren wir die Anzahl von Datenschutzverletzungen, kategorisiert nach ihrem Auswirkungsgrad:

• Kritische Risikoereignisse, Gewichtung 70 %
• Wichtige Risikoereignisse, Gewichtung 20 %
• Ereignisse mit mittlerem Risiko, Gewichtung 7 %
• Ereignisse mit geringem Risiko, Gewichtung 3 %

Wie Sie sehen können, wurde eine nichtlineare Gewichtungsskala verwendet. Bei diesem Modell haben kritische Datenschutzverletzungen die größte Auswirkung auf die Index-Kennzahl, während Ereignisse auf niedriger Ebene eine geringe Auswirkung haben.

Dieser Ansatz löst das Problem der Manipulation des Messsystems, wenn die Kontrollanzeige in den grünen Bereich verschoben wird, indem sie weniger bedeutende Probleme löst. Dennoch müssen wir sicherstellen, dass die Risikoereignisse richtig kategorisiert werden.

Wenn Sie mehr über die Berechnung der Index-Kennzahlen und die Berücksichtigung der Gewichtung der Indikatoren erfahren möchten, dann werfen Sie einen Blick auf den entsprechenden Artikel auf unserer Website.

Messung des Datenschutzes

Wie bereits erklärt, geht es beim Datenschutz um die ethische und rechtmäßige Verwendung von persönliche identifizierbaren Daten (PII) und ähnlichen Daten.

Die Schutzmaßnahmen sind in diesem Fall durch die geltende Gesetzgebung gut geregelt. In Europa ist es die DSGVO; in den USA gibt es je nach Geschäftsfeld unterschiedliche Gesetze, wie CCPA, HIPPA, PCI DSS, GLBA.

Quelle: Datensicherheits-Scorecard.

Wenn wir die DSGVO als Beispiel nehmen, kann der Datenschutz aus der Sicht der Messung durch eine Index-Kennzahl verfolgt werden, Datenschutz-Bereitschaft, der anhand (meist binären) Kennzahlen berechnet wird wie:

• Datenschutzbeauftragter benannt
• Explizite Zustimmung zur Verfolgung
• Verfahren zur Meldung von Datenschutzverletzungen
• Recht auf Zugriff, Berichtigung, Löschung implementiert
• Recht auf Datenübertragbarkeit

Diese Indikatoren können in den spezifischsten Fällen, die für die Organisation, ihre Produkte und Dienstleistungen gelten, weiter detailliert werden.

Um die Einhaltung von Vorschriften zu gewährleisten, sollten diese Indikatoren sowie die gesetzlichen Anforderungen regelmäßig überprüft werden. Dies kann durch die Aktualisierungsintervall-Funktion für den jeweiligen Indikator automatisiert werden. Weitere spezifische Beispiele finden Sie im Abschnitt Automatisierung weiter unten.

Interne Perspektive. Wie Sie Datensicherheitsrisiken mindern

Um die Ziele und die Leistungsindikatoren für die interne Perspektive zu finden, müssen wir die Ursachenanalyse durchführen und uns die gefundenen Risiko-/Kostenpunkte ansehen.

Die Ergebnisse hängen vom Geschäftsbereich und den Geschäftssystemen einer bestimmten Organisation ab. Dennoch gibt es einige gemeinsame Trends, die in den Berichten von IBM Security und Verizon hervorgehoben wurden. Wir werden diese Erkenntnisse nutzen, um die Ziele und KPIs für die interne Perspektive der Scorecard zu formulieren.

Quelle: Datensicherheits-Scorecard.

Frühzeitiges Erkennen und schnelles Reagieren auf Datenrisiken

Sollte es zu einer Datenschutzverletzung kommen, würde eine schnelle Reaktion in Bezug auf Erkennung und Reaktion die Kosten erheblich reduzieren.

Auf der Scorecard wird dies durch zwei Spätindikatoren quantifiziert:

• Mittlere Zeit bis zur Erkennung
• Mittlere Zeit bis zur Reaktion

Spätindikatoren quantifizieren, was bereits geschehen ist. Wie kann eine Organisation diese Indikatoren beeinflussen? Die gleichen Berichte schlagen bestimmte Maßnahmen vor, die in der Regel zu einer besseren Datensicherheit führen.

In der Scorecard-Vorlage finden Sie zwei Datensätze, die dem Ziel Früherkennung und schnelle Reaktion zugeordnet sind:

• Gegründete Vorfalls-Reaktionsteams. Dieser Datensatz ist als Erfolgsfaktor gekennzeichnet. Laut dem IBM-Sicherheitsbericht ist dies eine der Hauptursachen für die Minimierung der Auswirkungen von Datenschutzverletzungen.
• Erkennung von Datenzugriffen mit hohem Risiko. Mit dieser Initiative kann Ihr Team Prioritäten entsprechend der Auswirkung bestimmter Arten des Datenzugriffs setzen. Wenn Sie einen systematischeren Ansatz für die Priorisierung suchen, dann lesen Sie den Artikel über Priorisierungs-Rahmenwerke.

Es gibt zwei weitere Frühindikatoren im Zusammenhang mit dem Ziel Früherkennung und schnelle Reaktion. Beide basieren auf den Ergebnissen der oben erwähnten Datensicherheitsberichte:

• Plan zur Risikominderung entwickeln
• Komplexität der IT reduzieren

Lassen Sie diese im Detail besprechen.

Plan zur Risikominderung entwickeln

Einen Plan zur Risikominderung zu haben, ist ein Erfolgsfaktor für eine schnellere Reaktion auf die Datenschutzverletzung.

Wie können wir sicherstellen, dass der bestehende Plan für Datensicherheit ein guter ist?

Es sollte auf einem aktuellen Risikomodell basieren, das die Art und Weise widerspiegelt, wie Daten im Unternehmen verwaltet werden. Auf der Strategie-Scorecard wird dies durch den Frühindikator Regelmäßige Datensicherheits-Audits quantifiziert, der in der Lern- und Wachstumsperspektive erläutert wird.

Woher wissen wir, dass der vorgeschlagene Risikoreaktionsplan tatsächlich effektiv ist?

Zusammen mit regelmäßigen Aktualisierungen des Risikoplans konnten wir die Anwendung des entwickelten Plans in der Praxis testen. Dies wird durch den Spätindikator, Vorfallsreaktionstests, quantifiziert.

Komplexität der IT und Daten reduzieren

Empirische Studien nennen mehrere andere Faktoren, die dazu beitragen, die Kosten für Datenschutzverletzungen zu minimieren, wie z. B.:

• Komplexität der IT-Infrastruktur
• Datenschema-Komplexität
• Automatisierung

Auf der Strategiekarte haben wir diese Faktoren innerhalb des Ziels Komplexität von IT und Daten reduzieren formuliert.

In diesem Fall:

• Verringerung der Komplexität von Daten und IT ist eine Begründung für das Ziel
• Der Zugriff auf die wertvollsten Daten ist einer der Erfolgsfaktoren für die Verringerung der Komplexität der benötigten IT-Lösungen
• Automatisierung von Schwachstellen-Tests und Compliance ist eine breit angelegte Initiative zur IT-Automatisierung der Sicherheit

Wenn schließlich die Minimierung der Komplexität als einer der Faktoren für eine bessere Reaktion auf Datenschutzverletzungen genannt wird, wie können wir sie quantifizieren?

Die Antwort ist individuell und hängt von der IT-Landschaft Ihres Unternehmens ab. Für diese Scorecard gibt es ein Beispiel für einen Datensicherheitskomplexitätsindex, der aus Indikatoren zusammengestellt wird wie:

• Anzahl der Benutzer mit der höchsten Zugriffsstufe. Die Optimierungsfunktion für diesen Indikator ist auf „Linear minimieren“, da die Reduzierung der Anzahl der Benutzer mit Zugriff auf sensible Daten die Gesamtleistung des Indexes verbessert.
• Zeit zum Deaktivieren der Anmeldedaten. 7 % der Datenschutzverletzungen werden durch einen böswilligen Insider verursacht. Das schnelle Deaktivieren von Anmeldedaten ist eine der IT-Sicherheitsmaßnahmen, die diesen Prozentsatz reduzieren können. Das akzeptable Zeitintervall ist in diesem Fall sehr kurz. Um diese Idee in der Scorecard widerzuspiegeln, ist die Optimierungsfunktion für diesen Indikator exponentieller Zerfall.

• % der sensiblen Daten werden von DLP-Software kontrolliert. Data Loss Prevention-Lösungen sind eine der Möglichkeiten, die IT-Sicherheit zu automatisieren. Solange Unternehmen mit neuen Daten arbeiten, ist es wichtig, die Datenmodelle regelmäßig zu überarbeiten, um sicherzustellen, dass die sensiblen Daten für die DLP-Tools (Data Loss Prevention, Datenverlust-Verhinderung) zugänglich sind.
• Datenverschlüsselung und Backup automatisiert. Ähnlich wie beim vorherigen Indikator sind wir daran interessiert, ein aktuelles Datenmodell zu haben und sicherzustellen, dass sensible Daten richtig verwaltet werden.
• Prozent der aktuellen Sicherheitssoftware. Diese Kennzahl sieht einfach aus, aber Studien erzählen eine andere Geschichte. Die Ursache für 16 % der Datenschutzverletzungen ist eine Schwachstelle in der Software von Drittanbietern. Software-Hersteller veröffentlichen regelmäßig Updates, die Sicherheitslücken schließen. Die neuesten Updates installiert zu haben, ist einer der Erfolgsfaktoren zur Minimierung von Sicherheitsrisiken.
• Der Indikator Automatisierungsabdeckung, % Indikator vergleicht den Grad der Automatisierung, der möglich ist, mit dem aktuellen Grad der Automatisierung. Eine höhere Automatisierung reduziert den Einfluss menschlicher Faktoren und verringert die Komplexität für die Beteiligten.

Quelle: Datensicherheits-Scorecard.

Dies sind nur Beispiele für einige Kennzahlen, die die Komplexität im Falle der Datensicherheit quantifizieren können. Eine robustere Herangehensweise an Komplexität sollte eine tiefere Analyse der Stakeholder, das Auffinden von Punkten schlechter Komplexität und die Ausarbeitung von Strategien zur Komplexitätsreduzierung beinhalten. Im vorherigen Artikel haben wir Komplexitätsmetriken und die Möglichkeiten ihrer Anwendung in der Praxis besprochen.

Lern- und Wachstumsperspektive

In dieser Perspektive haben wir zwei große Ziele:

• Das Ziel Regelmäßige Datensicherheits-Audits hilft, sich auf die richtige Infrastruktur für die Datensicherheit zu konzentrieren.
• Das Ziel Schulung der Mitarbeiter zum Thema Datensicherheit ist darauf fokussiert Ihrem Team die aktuellen Kenntnisse und Fähigkeiten zu vermitteln, die notwendig sind, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu minimieren.

Schauen wir uns einmal an, wie diese Ziele auf der Strategiekarte formuliert sind.

Regelmäßige Datensicherheits-Audits

Wir haben eine auf das Ziel ausgerichtete Analyse von Cybersicherheits-Risiken. Was sind die typischen Cybersicherheits-Risiken? In der Beschreibung des Grundprinzips finden Sie einige Beispiele:

• Cyberattacken
• Ransomware
• Malware
• Insider-Bedrohungen
• Verlorene/gestohlene Zugangsdaten
• Unautorisierter Zugriff
• Datenverlust
• Datenbeschädigung

Quelle: Datensicherheits-Scorecard.

Es gibt eine Hypothese, Fernarbeit wirkt sich auf die Datensicherheit aus, die auf das Ziel ausgerichtet ist. Für viele Unternehmen war Fernarbeit ein Teil ihrer Antikrisenstrategie als Antwort auf COVID-19.

Es gibt zwei Frühindikatoren:

• Reguläre Risikoanalyse – eine allgemeine Analyse der neuen Risiken
• Regelmäßige Bewertung des Risikos von sensiblen Daten – eine spezifischere Analyse im Kontext sensibler Daten

Beide Indikatoren sind so konfiguriert, dass sie auf Quartalsbasis aktualisiert werden.

Es gibt mehrere Kennzahlen, die helfen, die Bemühungen des Sicherheitsteams bei der Analyse der aktuellen Risikosituation und dem Lernen daraus zu quantifizieren:

• Schwachstellenüberprüfung – meist automatische Überprüfung durch das IT-Team
• Penetrationstest(Pen-Test) – eine Simulation eines Cyberangriffs
• Red Team Testing – Sicherheitstests in größerem Umfang, die mehr Teilnehmer einbeziehen

Die jeweiligen KPIs werden für die verschiedenen Aktualisierungsintervalle konfiguriert:

• Automatisierte Schwachstellenüberprüfungen können wöchentlich oder monatlich durchgeführt werden.
• Abhängig vom Risikomodell kann ein Pen-Test vierteljährlich durchgeführt werden.
• Schließlich wird der Indikator für die ressourcenintensivsten Red Team Tests auf halbjährliches oder jährliches Aktualisierungsintervall festgelegt.

Die Risikoanalyse und die Testverfahren sind darauf ausgelegt, Schwachstellen im Sicherheitssystem zu finden. Woher wissen wir, dass die Erkenntnisse aus diesen Simulationen und Tests effektiv umgesetzt werden? Um die Antwort auf diese Frage zu finden, können wir verfolgen:

• Indikator für Die Anzahl der wiederkehrenden Datenschutzverletzungen.

Wenn die Datenschutzverletzung desselben Typs wiederholt auftritt, ist dies ein Zeichen dafür, dass der vom Sicherheitsteam vorgeschlagene Plan zur Risikominderung nicht so effektiv ist wie erwartet.

Schulung der Mitarbeiter zum Thema Datensicherheit

Der menschliche Faktor bleibt eines der größten Risiken eines jeden Datensicherheitssystems. Laut dem IBM-Sicherheitsbericht sind etwa 36 % der böswilligen Datenschutzverletzungen auf menschliches Verhalten zurückzuführen (Phishing, Social Engineering, kompromittierte Anmeldedaten).

Wie kann die Datensicherheitsstrategie so gestaltet werden, dass diese Risiken effektiv gemindert werden?

Eine der Lösungen besteht darin, bestimmte Vorgänge zu automatisieren und die Rolle des menschlichen Bedieners zu reduzieren. Es schwingt viel mit dem Komplexitätsreduktion-Ziel mit, das wir in der internen Perspektive besprochen haben.

Für den Rest der Fälle, in denen eine Automatisierung nicht möglich oder nicht rentabel ist, ist Bildung eine Antwort. Wie kann man die Bildungsbemühungen im Zusammenhang mit der Datensicherheit fokussieren? Wir können ein Paar von Früh- und Spätindikatoren verwenden!

• Frühindikator: Datensicherheitsschulungs-Durchdringungsrate kann verwendet werden, um die Reichweite von Datensicherheits-Schulungen zu verfolgen, bei denen die Teilnehmer z. B. etwas über Phishing-Praktiken und deren Vermeidung lernen können.
• Der beste Spätindikator sollte sich in diesem Fall auf die greifbaren Auswirkungen der Bewusstseinsschulung konzentrieren. Wenn das Verständnis von Phishing-Praktiken eines der Themen der Schulung war, führen Sie einen Phishing-Test durch und sehen Sie, ob die Mitarbeiter die Erkenntnisse aus der Schulung tatsächlich nutzen. Dies kann auf der Scorecard mit dem Indikator Phishing-Test-Erfolgsrate quantifiziert werden.

Wenn die Schulung von Mitarbeitern zum Thema Datensicherheit jetzt Ihre Priorität ist, dann kann Ihr Sicherheitsteam eine Scorecard für die Schulungsbewertung anhand des Stufenmodells von Kirkpatrick entwerfen, wie in diesem Artikel beschrieben.

Automatisierung für die Datensicherheits-Scorecard

Wir haben ein Beispiel für eine Strategie-Scorecard besprochen, die bei der Beschreibung, Implementierung und Ausführung der Datensicherheitsstrategie in Ihrem Unternehmen hilft.

Diese Scorecard ist als eine der kostenlosen Vorlagen in BSC Designer Online verfügbar, so dass Sie sich mit einem kostenlosen Plan-Account anmelden und beginnen können, sie nach Ihren Bedürfnissen anzupassen.

Kennen Sie die Gesamtkosten der Strategie

Wir haben bereits erwähnt, dass einer der Gründe, eine Strategie-Scorecard für Datensicherheit zu haben, darin besteht, dass es dadurch einfacher wird, den Stakeholdern neue Initiativen zu präsentieren.

Die Kosten der vorgeschlagenen Strategie ist eine der ersten Fragen, die auf den Tisch kommen werden. Die Kosten für die Ausführung der Strategie können als Summe der Kosten aller Geschäftsziele und ihrer jeweiligen Initiativen geschätzt werden.

Wenn Sie BSC Designer als Automatisierungswerkzeug verwenden, können Sie den Initiativen Budgets zuweisen und deren Verwendung kontrollieren. Die Software wird in der Lage sein, einen Bericht über die Kosten der Strategie zu erstellen, um die erwarteten Gesamtkosten für die Ausführung der Strategie zu präsentieren.

Visualisieren Sie wichtige Daten in den Dashboards

Ein weiterer typischer Wunsch von Stakeholdern ist es, die Daten zu haben, um die richtigen Entscheidungen zu treffen (zuvor haben wir über Datengetriebene Entscheidungen gesprochen). Die Strategiekarte selbst enthält eine Menge Daten. Ein anderer Ansatz ist die Erstellung eines BI-Dashboards, das so konfiguriert werden kann, dass es die wichtigsten Indikatoren und deren Daten anzeigt.

In der Strategievorlage für diesen Artikel haben wir zwei Dashboards (Sie können zwischen ihnen wechseln).

Quelle: Datensicherheits-Scorecard.

Das Risikoindex-Dashboard konzentriert sich ausschließlich auf die Risikoindex-Indikatoren, die wir zur Quantifizierung der aktuellen Risikosituation verwendet haben. Anhand der Diagramme des Dashboards können wir sehen:

• Aktuelle Risiken visualisiert auf den Messdiagrammen
• Wie sich der Risiko-Index im Laufe der Zeit verändert hat
• Der Beitrag jedes Indikators zum Risiko-Index in der Gewichtungstabelle

Quelle: Datensicherheits-Scorecard.

Ein weiteres Dashboard ist der Datensicherheitskomplexitätsindex. Wie wir besprochen haben, ist die schlechte Komplexität der Sicherheitssysteme der Faktor für die höheren Risiken von Datenschutzverletzungen. Dieses Dashboard visualisiert den aktuellen Zustand der Komplexität, wie er durch die ausgewählten Indikatoren quantifiziert wird.

Leistungsdaten analysieren

Das Sammeln von Leistungsdaten in Form von KPIs ist etwas, das die meisten Unternehmen regelmäßig tun. Es spielt keine Rolle, welches Automatisierungstool verwendet wird, es sind eine Menge Daten verfügbar.

Die Frage ist immer, wie man diese Daten nutzen und in verwertbare Informationen umwandeln kann. Einige Erkenntnisse entstehen, wenn das Team eine Strategiekarte oder ein Dashboard bespricht; das Finden anderer Erkenntnisse kann automatisiert werden.

In diesem Sinne ist dieAnalyse-Funktion in BSC Designer sehr hilfreich. Hier sind einige Beispiele:

• Die meisten Indikatoren, die wir besprochen haben, müssen regelmäßig aktualisiert werden. Mit der Aktualisierungszeit-Analyse können Sie die Indikatoren finden, die bald aktualisiert werden müssen oder solche, die nicht rechtzeitig aktualisiert wurden. Dies kann auch mit der Benachrichtigungs-Funktion automatisiert werden.
• Jeder Indikator auf der Scorecard hat seine Gewichtung, das die Wichtigkeit des Indikators widerspiegelt. Mit der Analyse der Absoluten Gewichtung können Sie die Indikatoren mit der höchsten Gewichtung finden. In unserem Beispiel hat der Indikator Mittlere Zeit bis zur Erkennung eine der höchsten Gewichtung. Wenn Ihr Team mehrere Initiativen in Erwägung zieht und eine davon verspricht, Datenschutzverletzungen schneller zu erkennen, dann geben Sie dieser Priorität.
• Manchmal lassen sich interessante Erkenntnisse finden, indem man einfach betrachtet, wie sich die Leistungsdaten verändert haben. Ein schneller Anstieg oder Verlust ist ein Zeichen für einige neue Faktoren, die analysiert werden sollten. Warum hatte der Risikoereignisse auf mittlerer Ebene-Indikator einen Verlust von 30 % – war dies das Ergebnis einer internen Systemaktualisierung oder ist es ein Problem der Berichterstattung?

Kartenbegründungen, Erfolgsfaktoren und erwartete Ergebnisse

Im kostenlosen Kurs zur strategischen Planung haben wir besprochen, wie wichtig es ist, den geschäftlichen Kontext eines Ziels zu verstehen. Es reicht nicht aus, ein gut beschriebenes Ziel zu haben, es ist wichtig, die Gründe dafür zu verstehen, die Erfolgsfaktoren und die erwarteten Ergebnisse, die für die Organisation wertvoll sind.

Quelle: Datensicherheits-Scorecard.

Schauen Sie sich das Ziel Komplexität von IT und Daten reduzieren aus der Scorecard-Vorlage an:

• Es gibt eine Begründung zur Verringerung der Komplexität von Daten und IT, die erklärt, warum dieses Ziel wichtig ist: „Die hohe Komplexität von Softwaresystemen und der Dateninfrastruktur ist ein Risikofaktor für Datenschutzverletzungen.“
• Es gibt auch einen Erfolgsfaktor von abnehmender Komplexität – Zugriff auf wertvollste Daten begrenzen. Das macht im Kontext des Ziels durchaus Sinn – weniger Zugriff auf die sensiblen Daten reduziert die Komplexität des Datenschemas und verringert dadurch die Risiken von Datenschutzverletzungen.

In manchen Fällen haben wir keinen festen Plan, um etwas zu erreichen, sondern es handelt sich um eine fundierte Hypothese. Die Benutzer von BSC Designer können eine Hypothese zu ihren Zielen hinzufügen. In unserem Beispiel gab es die Hypothese Fernarbeit wirkt sich auf die Datensicherheit aus, die mit Regulären Datensicherheits-Audits verbunden war.

Die Kenntnis der erwarteten Ergebnisse ist ebenfalls entscheidend. Zum Beispiel haben wir für die Schulung von Mitarbeitern zur Datensicherheit ein erwartetes Ergebnis namens Verantwortungsvolle Datenverwaltung. Was bedeutet das in der Praxis? Wie können wir dies quantifizieren? Diese Fragen öffnen die Tür für einige interessante Diskussionen.

Anlegen von Initiativen mit Budgets, Eigentümern und Status

Um die Lücke zwischen Strategieplanung und Ausführung zu schließen, verwenden Sie die Initiativen für die Ziele. Nehmen wir die Automatisierung von Schwachstellentests und Compliance-Initiative, die mit der Reduzierung der Komplexität von IT und Daten einhergeht.

• Wie genau wird Ihr Team an dieser Initiative arbeiten? Verwenden Sie das Beschreibungsfeld, um einen detaillierten Aktionsplan hinzuzufügen.
• Wie ist es mit anderen Plänen zur Risikominderung abgestimmt? Verwenden Sie den Abschnitt Dokumente, um auf die entsprechenden Ressourcen zu verweisen. In unserem Beispiel haben wir auf die IT-Scorecard Beispiel verlinkt.
• Wer ist für diese Initiative verantwortlich? Weisen Sie Besitzer zu, damit diese eine Benachrichtigung erhalten, wenn etwas Relevantes passiert.
• Was ist der aktuelle Status der Initiative? Aktualisieren Sie den Status zusammen mit dem Fortschritt Ihres Teams, das an der Initiative arbeitet.
• Wie können Sie den Fortschritt im Rahmen dieser Initiative verfolgen? In unserem Beispiel haben wir ihn mit dem Automatisierungsabdeckung, % Indikator verknüpft, der einen Datensicherheits-Komplexitätsindex bildet.

Fazit

In diesem Artikel besprechen wir ein Beispiel für eine Datensicherheitsstrategie. Hier sind die wichtigsten Ideen, die wir besprochen haben:

• Es gibt bekannte Risikofaktoren für Datenschutzverletzungen, sowie erprobte Wege, um die Auswirkungen von Sicherheitsvorfällen zu minimieren.
• Helfen Sie Ihren Stakeholdern, die direkten und indirekten Kosten von Datenschutzverletzungen zu verstehen.
• Fokussieren Sie Ihre Strategie auf frühzeitiges Erkennen von Problemen und schnelles Reagieren.
• Haben Sie einen Plan zur Risikominderung und ein Reaktionsteam, um die Auswirkungen von Datenschutzverletzungen zu verringern.
• Reduzieren Sie die Komplexität von IT-Systemen und Datenschemata.
• Aktualisieren Sie regelmäßig Ihre Risikomodelle und testen Sie Ihre Sicherheitsumgebung.
• Der menschliche Faktor ist einer der Risikopunkte – erziehen Sie Ihr Team, schauen Sie auf die Veränderungen im Verhalten, nicht nur auf formale Prüfungsergebnisse.

Was kommt als nächstes? Eine gute Cyber-Strategie ist maßgeschneidert auf die Bedürfnisse Ihres Unternehmens. Verwenden Sie die in diesem Artikel besprochene Sicherheitsstrategie-Vorlage als Ausgangspunkt, um mit dem Aufbau Ihrer eigenen Datensicherheitsstrategie zu beginnen. Teilen Sie Ihre Herausforderungen und Erkenntnisse gerne in den Kommentaren mit.

Weitere Beispiele für die Balanced Scorecard