Gruppe zur Freigabe einheitlicher Metriken zur Messung der IT-Sicherheit

Das Zentrum für Internetsicherheit (CIS) veröffentlicht Richtlinien, wie Unternehmen den Sicherheitsstatus ihrer Organisation messen und einen Service für Unternehmen starten können, um ihre Leistung mit ihren Kollegen zu vergleichen.

Das neueste CIS-Projekt "Das Problem, das wir erkannt haben, ist die Informationssicherheit", sagte Bert Miuccio, CEO der CIS. "Das Ziel ist es, die Verwirrung und die Uneinheitlichkeit zu beheben, um zu messen, ob sich die IT-Sicherheit eines Unternehmens oder einer Organisation verbessert." Fachleute sind wirklich verwirrt darüber, wie man Erfolg definiert ", sagte Miuccio. "Sie wissen, dass die Einhaltung regulatorischer Anforderungen und Audit-Frameworks nicht unbedingt zu verbesserter Sicherheit führt und nicht die besten Erfolgsmaßstäbe sind."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

CIS ist a gemeinnützige Organisation, die von Unternehmen und anderen sicherheitsinteressierten Organisationen finanziert wird. Seit seiner Gründung im Jahr 2000 wurden 40 Benchmarks für Standardsicherheitskonfigurationen für Software von Betriebssystemen über Middleware bis zu Netzwerkgeräten erstellt. Die Benchmarks, die kostenlos auf der CIS-Website heruntergeladen werden können, sollen Organisationen helfen, IT-Sicherheitsrisiken zu reduzieren.

Jeder Sicherheitsprofi hat unterschiedliche Definitionen, wie Sicherheitsmaßnahmen bewertet werden sollen, sagte Miuccio. CIS hat 85 Informationssicherheitsexperten zusammengestellt, um Methoden zur Messung von acht verschiedenen Metriken zu vereinbaren. Die Metriken sollten Ende Oktober oder Anfang November veröffentlicht werden, sagte Miuccio.

Zwei sind "Ergebnis" Metriken: die mittlere Zeit zwischen Sicherheitsvorfällen und die mittlere Zeit, um sich von Sicherheitsvorfällen zu erholen. Die restlichen sechs beziehen sich auf den Prozess: der Prozentsatz der Systeme, die für die genehmigten Standards konfiguriert sind; der Prozentsatz der Systeme, die der Richtlinie zugeordnet sind; Prozentsatz der Systeme mit Antiviren-Technologie; Prozentsatz der Geschäftsanwendungen mit einer Risikobewertung; Prozentsatz der Geschäftsanwendungen mit Penetration oder Schwachstellenanalyse; und Prozentsatz des Anwendungscodes, der vor der Bereitstellung eine Sicherheitsbewertung oder Codeüberprüfung hat.

Zusammen mit den Metriken plant CIS, etwa gleichzeitig einen softwarebasierten Service für Unternehmen zu starten, um ihre Sicherheitsaspekte zu vergleichen, gegen andere anonyme Unternehmen in ihrer vertikalen Marktlage. Diese Art von Vergleich wird bereits häufig für finanzielle Ergebnisse und andere Aspekte der Geschäftsleistung wie Kundenservice verwendet.

"Das ist heute nicht in der Informationssicherheit getan", sagte Miuccio. "Wir glauben, dass dieser Dienst dies zu ermöglichen beginnen wird."