Jump to content

Ideen und Anregungen gesucht - IT Security Kennzahl ermitteln


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

 

 

Ich darf mithelfen bei einem kleinen mittelständischen Unternehmen eine IT-Security Kennzahl zu ermitteln.

Da dies künftig scheinbar vor allem bei Kundenaudits vorgezeigt werden soll - und auch teilweise den

Mitarbeitern helfen, falls größere Ausgaben zur Verbesserung der Sicherheit nötig werden.

 

Hat hier evtl. jemand ein paar Anregungen oder Tipps für mich? Welche mir mit den MA vor Ort

den Einstieg etwas erleichtern könnte?

 

Bis jetzt gibt es verschiedenste Ansätze:

 

- Anzahl bekannter Sicherheitsvorfälle (also z.b. die Exchange Lücke mit schnellem Updaten - und dem Verlauf dazu)

- Anzahl nötiger Eingriffe

- Anzahl der versuchten Angriffe (nur was hier wählen - Firewalllogs mit den Daten aus dauernden Portscans usw? Diese sind ja imho nichtssagend)

- die erkannten Viren (Email / oder sonstige Datenträger)

 

Das ganze ist nicht für eine Zertifizierung oder ähnliches gedacht - sonst würde man ja doch ein komplettes

System daraus bauen müssen.

 

Besten Dank für jeden Tipp

 

viele Grüße

 

 

 

 

 

Link zu diesem Kommentar

Moin,

 

aus Deiner Ausführung ist noch nicht klar, ob die Bedrohungslage ("wie anfällig ist die konkrete Infrastruktur in der konkreten Branche/Umsatzklasse am konkreten Standort für zukünftige Angriffe?") oder der Bereitschaftsgrad ("wie robust sind die IT-Management-Prozesse und die IT-Infrastruktur darunter gegenüber möglichen Sicherheitsvorfällen?") gemessen werden soll. Ob die Kennzahl das eine, das andere oder die Kombination daraus abbilden soll, entscheidet darüber, welche Einzelindikatoren in welcher Gewichtung zu verwenden sind.

Link zu diesem Kommentar

Moin,

 

da Security kein Zustand ist, wird man das kaum über so eine Kennzahl abbilden können, auch nicht über einen Satz von Kennzahlen. Zudem stellen alle deine Beispiele Werte dar, die das Unternehmen gar nicht beeinflussen kann, weil sie von außen kommen (die Zahl der Angriffe wird von den Angreifern festgelegt).

 

Es ist hier also völlig unklar, was da gemessen werden soll und vor allem, wie Evgenij schon sagt, zu welchem Zweck.

 

Gruß, Nils

PS. der Physiker sagt dazu: wer misst, misst Mist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...