Hier ein paar Gedanken zu Ziele und Metriken für Ihre Prozesse in der Informationssicherheit:
Das Akronym ist hinreichen bekannt: Benutzen Sie S.M.A.R.T. Ziele:
Specific / Spezifisch: Prozessziele müssen konkret eindeutig und fassbar sein; orientiert an Ihre Firmenziele, orientiert an Verbesserungspotential das Sie meistern wollen.
Measurable / Messbare Ziele: Ihre Metriken müssen mit den jeweiligen Daten die Ihnen zur Verfügung stehen, erfassbar, messbar, verständlich und auswertbar sein.
Actionable / Attraktiv: ihre Ziele und Ihre Metriken müssen für Sie und Ihre Kollegen leicht verständlich sein, Sinn machen, und in die Firmenstrategie passen.
Relevant/Realistisch: Ziele müssen mit den Mitteln und Ressourcen, die Ihnen zur Verfügung stehen erreichbar sein. Keine Wolkenpaläste, sondern realitätsnah!
Time-related/Terminiert: Ziele müssen eine Zeitplanung haben, zeitnah, mittelfristig, langfristig.
Ziele und Metriken sind unterschiedlich für...
Ziele und Metriken müssen aufeinander abgestimmt sein, aufeinander bauen, sich zueinander fügen.
Hie sind Gesamtergebnisse wichtig, Verträge und Firmenverantwortung.
Metriken und Begriffe wie "unwichtig, wichtig, katastrophal, oder selten, bis wahrscheinlich" sind schwammig und unbrauchbar.
Konkreter wird es, wenn Sie (wie bei einem guten Risikomanagement) fassbare Skalierungen / Metriken benutzen:
Hier sind die Dashboards der Tools gut, wie SIEM (Security Information and Event Mgmt) etc.
die die Datenerfassung einstellen, nachverfolgen, verstehen, kalkulieren, auswerten, weitergeben und bei Bedarf anpassen.
Wenn es ganz konkret wird, ist etwas Struktur hilfreich, für die Definition und die Ausführung,
wie ein Datenblatt, oder eine Checkliste, die hilft eine Metrik zu definieren, und handhabbar zu machen.
Metrik ID: Identifier, zum erkennen, zuordnen, sortieren, mit einem sinnvollen Benennungsschema
Firmenziel: Strategisches Ziel festhalten, welches hiermit unterstützt werden soll
Prozesszuordnung: Zu welchem Prozess gehört dieses Ziel, und diese Metrik
Prozessziel: Abgeleitetes Ziel, welches hier verfolgt wird, und wofür hier Parameter bzw Metriken erfasst und bearbeitet werden.
Metrik Definition: Massbare eindeutige Aussage, wie Anzahl der..., Durchschnitt von, Prozentsatz x von Y, Dauer...
Art der Metrik: Kategorie, z.B. Aussage über Effektivität (98 %), Fortschritt (5 von 7 Schritten), Auswirkung (94 von 130 XY)
Einsatzort: Wo wird die Metrik erfasst, wo in der System- oder Netz-Architektur, auf welchem System, auf welchem Knoten, Firewall, Verbindung, Datenspeicher, Datentransport etc.
Berechnungsformel: Eindeutige Formel zur Berechnung, mit Einheiten, und falls nötig mit Fehlertoleranz (auch bei einem Mean Time between Repair kann man sich vertun, wenn es nicht eindeutig und transparent definiert ist. Das muss doch eh jeder Wissen - das gilt nicht. Vermeiden Sie Missverständnisse und Fehler
Akzeptanzkriterien / Sollwert / Grenzwerte: Definieren Sie die Erwartungshaltung (anhand der Ziele, der Verträge, Gesetzgebung, Planung etc.) Ab wann sind Sie zufrieden, ab wann schlagen Sie Alarm!
Vorgaben: Welche Ziele sollen diese Metriken untermauern. (z.B. nach gesetzlichen Vorgaben, Normen wie ISO27001 mit Kapitel und Control ...)
Häufigkeit der Datenerfassung: Legen Sie fest, wie oft diese Messung stattfinden, alle 5 Minuten, 3 Mal täglich, nach jedem Programmstart, nach welchem Trigger, oder nach welcher Logik.
Verantwortung: Wer ist der "Owner / Besitzer" dieser Messung, wer Verantwortet die Einstellung und den Betrieb, die Datenverteilung, die Ordnungsgemässe Ausführung (Rolle, Vertreter...) Wer ist der Verantwortliche für die Auswertung, Interpretation, den Alarm etc.
Auswertung: Wo, in welchem System wird diese Metrik benutzt und ausgewertet, in welcher Software, in welchem System, in welcher Teilorganisation, in welchem Dashbord taucht sie auf, in welchem Zusammenhang steht sie zu anderen, wie fügt sie sich zu einem Gesamtbild.
Format: Wie wird die Metrik dargestellt, als Tortendiagramm, Balkendiagramm, als Zahl, als Farbskala, als Tabelle
Hoffentlich helfen diese Gedanken Ihnen etwas!
Vielen Dank für Ihren Besuch,
Ihr Konstantin Ziouras