IT-Security-Benchmark

So messen Sie den Reifegrad Ihrer IT-Sicherheit

17.08.2020
Von  und
Felix Hug ist Managing Partner bei der Alevo AG.
Hannes Fuchs ist Director bei der Lexta Consultants Group.

Kosten in Relation zum Umsetzungsgrad

Um mit diesem Benchmark möglichst große Aussagekraft und größtmöglichen Nutzen zu erzielen, muss die Relation zwischen Kosten und Umsetzungsgrad hergestellt werden. Die optimale Darstellung bietet eine Matrix der beiden Dimensionen.

Beispielergebnisse einer von acht möglichen Benchmarking-Kategorien. Der Kunde steht im oberen rechten Quadranten. Er weist einen leicht höheren Umsetzungsgrad, aber auch höhere Kosten als der Mittelwert der Vergleichsgruppe aus. Das bedeutet, das Unternehmen verwendet für die Erreichung des Umsetzungsgrades deutlich mehr Geld als das Mittel der Vergleichsunternehmungen. Ideal wäre jedoch eine Position im rechten unteren Quadranten.
Beispielergebnisse einer von acht möglichen Benchmarking-Kategorien. Der Kunde steht im oberen rechten Quadranten. Er weist einen leicht höheren Umsetzungsgrad, aber auch höhere Kosten als der Mittelwert der Vergleichsgruppe aus. Das bedeutet, das Unternehmen verwendet für die Erreichung des Umsetzungsgrades deutlich mehr Geld als das Mittel der Vergleichsunternehmungen. Ideal wäre jedoch eine Position im rechten unteren Quadranten.
Foto: LEXTA Consultants Group

Die Standortbestimmung jeder Disziplin liefert wichtige Impulse für die weitere Ausgestaltung der Informationssicherheit. Für die kluge Interpretation der Ergebnisse ist das Gesamtbild wichtig. Dazu werden weitere detaillierte Auswertungen zu Umsetzungsgrad, Mengen, Anzahl der Mitarbeiter, Service Level etc. gemacht. Eine Vielzahl von Kennzahlen wird dazu ausgewertet. So wird ein Kontext für die Benchmarks geschaffen und Abweichungen zum Markt werden herausgearbeitet.

Mögliche Stellhebel für Verbesserungen werden aus Beobachtungen abgeleitet.
Mögliche Stellhebel für Verbesserungen werden aus Beobachtungen abgeleitet.
Foto: LEXTA Consultants Group

Basierend auf den Benchmarking-Ergebnissen und den während der Ist-Aufnahmen gemachten Beobachtungen werden zudem mögliche Stellhebel für Verbesserungen abgeleitet. Im Fokus stehen Kennzahlen zur Effektivität wie auch zur Effizienz, zum Beispiel Abdeckungsgrad von Sicherheitsprozessen, Anzahl von Security-Vorfällen pro Benutzer oder Personalkapazitäten pro Bereich.

Optimierungen werden entlang dieser Dimensionen ausgewiesen: von strategischen Weichenstellungen auf Basis technologischer Trends, beispielsweise Automatisierung, bis zu konkreten taktischen Maßnahmen auf Service-Ebene, etwa die Härtung von Konfiguration oder Durchführen von Security-Tests. Diese Suche erfordert profundes Wissen und langjährige Erfahrung.

Fazit

Ein Benchmark schafft durch den strukturierten Marktvergleich Klarheit, wie es um die Effizienz und Effektivität der eigenen Informationssicherheit bestellt ist. Während interne Kennzahlensysteme den eigenen Fortschritt über die Zeit messen können, schafft ein Vergleich mit dem Markt Transparenz, ob die gewählten Ziele und deren Erreichung in einer sich stetig weiterentwickelnden Welt noch zeitgemäß und angemessen sind. (jd)