Das NIST setzt auf die Einrichtung einer Community für Cybersecurity-Metriken

Das National Institute of Standards and Technology (NIST) ruft zur Gründung einer Community of Interest (CoI) auf, in der alle, die an der Messung von Informationssicherheit interessiert sind, zusammenarbeiten, um Fachwissen auszutauschen, Wissen und Ressourcen zu verfeinern und Möglichkeiten für Wachstum und Verbesserungen zu identifizieren.

Nach der Veröffentlichung eines ersten öffentlichen Entwurfs von zwei Best-Practice-Paketen für die Definition der zu erfassenden Metriken und die Implementierung von Methoden zu deren Erfassung bittet das NIST nun um öffentliches Feedback zu diesen Entwürfen, um eine breitere Gemeinschaft aufzubauen. Der erste definiert einen flexiblen Ansatz für die Entwicklung, Auswahl und Priorisierung von Informationssicherheitsmaßnahmen auf der Grundlage von quantitativen und qualitativen Metriken, die modelliert und analysiert werden können. Der zweite definiert eine Methode für die Entwicklung und Implementierung einer Struktur für ein Programm zur Messung der Informationssicherheit.

Die Messung der Wirksamkeit war schon immer problematisch, da sie den Versuch beinhaltet, etwas Negatives zu beweisen. Wenn keine Sicherheitsverletzung auftritt, gilt die Cybersecurity als erfolgreich. Tritt die unvermeidliche Sicherheitsverletzung ein, stellt sich schnell die Frage, wie rasch die Cybersecurity-Teams den Schaden begrenzen können. Die meisten Cybersecurity-Teams haben eine Art mehrschichtiges Verteidigungssystem implementiert, um den potenziellen Radius einer Sicherheitsverletzung zu begrenzen.

Die Unternehmensleitung fordert nun jedoch, dass die Cybersecurity-Teams das Ausmaß des Cybersecurity-Risikos, dem das Unternehmen ausgesetzt ist, quantifizieren, um besser bestimmen zu können, welche Investitionen tatsächlich erforderlich sind. Führungskräfte wissen vielleicht nicht viel über Cybersecurity, sind aber in der Lage, Risiken für das Unternehmen einzuschätzen. Aus ihrer Sicht ist Cybersecurity nur eines von vielen Risiken für das Unternehmen, die es zu bewerten gilt. Genauso wichtig ist es, dass die Verantwortlichen in den Unternehmen wissen, ob frühere Investitionen in die Cybersecurity einen signifikanten Einfluss auf die Risikominderung hatten.

Die Herausforderung besteht darin, dass die Metriken, die Cybersecurity-Teams heute verfolgen, nicht immer leicht mit dem Risiko korrelieren, das die Unternehmensleitung bewerten will. Anstatt dass jedes Cybersecurity-Team versucht, eine Reihe von Metriken zu definieren, von denen es hofft, dass sie von der Unternehmensleitung verstanden werden, fordert das NIST die Cybersecurity-Gemeinschaft auf, diese Metriken gemeinsam zu definieren.

Natürlich wird es für jedes Cybersecurity-Team schwierig sein, Zeit und Ressourcen für diese Art von Bestrebungen aufzubringen. Die meisten Cybersecurity-Teams sind kaum in der Lage, auf bestehende Bedrohungen zu reagieren. Die Festlegung von Kennzahlen zur Bewertung des Return on Investment (ROI) im Bereich der Cybersecurity scheint eine Übung in der Dokumentation von Selbstverständlichkeiten zu sein, obwohl jeder weiß, dass Sicherheitsverletzungen katastrophale Folgen haben können. Leider ist der ROI im Bereich der Cybersecurity für Führungskräfte in Unternehmen alles andere als offensichtlich. Sie haben oft das Gefühl, dass trotz jahrelanger Investitionen kaum Fortschritte erzielt werden.

Eine Sache, die Führungskräfte in Unternehmen oft übersehen, ist die Tatsache, dass sich die Taktiken und Techniken der Cyberkriminellen ständig weiterentwickeln. Jedes Mal, wenn ein Unternehmen eine Reihe von Tools und Praktiken einführt, um eine bestimmte Art von Angriffen abzuwehren, dauert es nicht lange, bis die Cyberkriminellen ihre Taktik wieder ändern. Cybersecurity ist kein statisches Ziel, das erreicht und aufrechterhalten werden kann. Vielmehr handelt es sich um einen sich ständig weiterentwickelnden Kampf, der im Laufe der Zeit die Finanzierung neuer Arten von Verteidigungssystemen erfordert, um erfolgreich geführt werden zu können.