Unternehmen sollten Metriken nutzen, um sicherzustellen, dass die jeweiligen Kontrollziele erfüllt werden. Da sowohl die Zielgruppe für diese Messmethoden als auch der Zweck, den sie erfüllen sollen, variieren können, ist es wichtig, sämtliche Aspekte eines IT-Sicherheitsprogramms zu messen. Ein Messkonzept, das sich auf Betriebsdaten - etwa Firewall-Log- oder Antivirus-Daten - beschränke, biete keine Navigations- oder Management-Metriken, gibt ISACA-Berater Brotby zu bedenken. "Wenn etwa die Policy-Compliance im eigenen Unternehmen zu wünschen übrig lässt, stellt sich die Frage nach der Ursache: Liegt es daran, dass die Mitarbeiter nicht wissen, wie sie die Richtlinien befolgen sollen, oder daran, dass sie die Policies ignorieren?" Um über Dinge wie diese Klarheit zu schaffen, hat General Motors ein vierschichtiges Mess-Framework eingeführt, mit dessen Hilfe der Automobilkonzern Leistungsdaten zu multiplen Aspekten des firmeninternen Information-Security-Programms sammelt und analysiert.
Mit den richtigen Metriken können Unternehmen sicherheitsrelevante Performance nachverfolgen, hochrechnen und entsprechende Berichte erstellen, meint Ed Cooper, Vice President Marketing bei dem auf Risk-Modeling-Produkte spezialisierten Anbieter Skybox Security. Dazu müssten Firmen allerdings wissen, welche Messmethoden für den einzelnen Interessenvertreter sinnvoll sind, wie Informationen gesammelt werden können - und in welcher Sprache sie zu präsentieren sind. "Jeder hat seine eigene Risikosicht - die Metriken müssen demnach Relevanz für den Blickwinkel des jeweiligen Betrachters haben", mahnt Cooper.
