Jump to content

Ideen und Anregungen gesucht - IT Security Kennzahl ermitteln


Recommended Posts

Hallo zusammen,

 

 

 

Ich darf mithelfen bei einem kleinen mittelständischen Unternehmen eine IT-Security Kennzahl zu ermitteln.

Da dies künftig scheinbar vor allem bei Kundenaudits vorgezeigt werden soll - und auch teilweise den

Mitarbeitern helfen, falls größere Ausgaben zur Verbesserung der Sicherheit nötig werden.

 

Hat hier evtl. jemand ein paar Anregungen oder Tipps für mich? Welche mir mit den MA vor Ort

den Einstieg etwas erleichtern könnte?

 

Bis jetzt gibt es verschiedenste Ansätze:

 

- Anzahl bekannter Sicherheitsvorfälle (also z.b. die Exchange Lücke mit schnellem Updaten - und dem Verlauf dazu)

- Anzahl nötiger Eingriffe

- Anzahl der versuchten Angriffe (nur was hier wählen - Firewalllogs mit den Daten aus dauernden Portscans usw? Diese sind ja imho nichtssagend)

- die erkannten Viren (Email / oder sonstige Datenträger)

 

Das ganze ist nicht für eine Zertifizierung oder ähnliches gedacht - sonst würde man ja doch ein komplettes

System daraus bauen müssen.

 

Besten Dank für jeden Tipp

 

viele Grüße

 

 

 

 

 

Link to post

Moin,

 

aus Deiner Ausführung ist noch nicht klar, ob die Bedrohungslage ("wie anfällig ist die konkrete Infrastruktur in der konkreten Branche/Umsatzklasse am konkreten Standort für zukünftige Angriffe?") oder der Bereitschaftsgrad ("wie robust sind die IT-Management-Prozesse und die IT-Infrastruktur darunter gegenüber möglichen Sicherheitsvorfällen?") gemessen werden soll. Ob die Kennzahl das eine, das andere oder die Kombination daraus abbilden soll, entscheidet darüber, welche Einzelindikatoren in welcher Gewichtung zu verwenden sind.

Link to post

Moin,

 

da Security kein Zustand ist, wird man das kaum über so eine Kennzahl abbilden können, auch nicht über einen Satz von Kennzahlen. Zudem stellen alle deine Beispiele Werte dar, die das Unternehmen gar nicht beeinflussen kann, weil sie von außen kommen (die Zahl der Angriffe wird von den Angreifern festgelegt).

 

Es ist hier also völlig unklar, was da gemessen werden soll und vor allem, wie Evgenij schon sagt, zu welchem Zweck.

 

Gruß, Nils

PS. der Physiker sagt dazu: wer misst, misst Mist.

  • Haha 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...