Ein Kennzahlensystem für die Informationssicherheit

Transkript

1 Ein Kennzahlensystem für die Informationssicherheit Maximilian Chowanetz (Uni Würzburg) Dr. Uwe Laude (BSI) Kurt Klinner (BSI) Bonn, 16. Mai 2013

2 Motivation Ist Sicherheit messbar? Warum Sicherheit messen? Relevanz Akzeptanz M. Chowanetz, U. Laude, K. Klinner 2 Ein Kennzahlensystem für die Informationssicherheit

3 Akzeptanz Quelle: Handelsblatt Quelle: BSI IT-Grundschutz-Kataloge M. Chowanetz, U. Laude, K. Klinner 3 Ein Kennzahlensystem für die Informationssicherheit

4 Akzeptanz M. Chowanetz, U. Laude, K. Klinner 4 Ein Kennzahlensystem für die Informationssicherheit

5 Relevanz Quelle: Booz & Co. M. Chowanetz, U. Laude, K. Klinner 5 Ein Kennzahlensystem für die Informationssicherheit

6 Relevanz Quelle: Statista/IDC M. Chowanetz, U. Laude, K. Klinner 6 Ein Kennzahlensystem für die Informationssicherheit

7 Einordnung Lösungsansatz Bekanntheit Klassisches BWL- Hilfsmittel Verdichtung Kompakte Informationen in schnell erfassbarer Form Vernetzung Aufzeigen von Zusammenhängen mittels Kennzahlensystemen M. Chowanetz, U. Laude, K. Klinner 7 Ein Kennzahlensystem für die Informationssicherheit

8 Ziele & Anforderungen Ziele Mehrdimensionalität: Informationen aus verschiedenen Bereichen Maßstäbe: Erfolgskontrolle Ist vs. Soll Benchmarking: inner- und überbetrieblicher Vergleich Defizite finden, Schwachstellen aufzeigen Anforderungen 1. Messbarkeit 2. Erhebungsaufwand 3. Zeithorizont 4. Beeinflussbarkeit 5. Verständlichkeit 6. Kontinuierliche Erhebung 7. Festlegung von Verantwortlichkeiten 8. Definition von Zielwerten M. Chowanetz, U. Laude, K. Klinner 8 Ein Kennzahlensystem für die Informationssicherheit

9 Kennzahlensteckbrief M. Chowanetz, U. Laude, K. Klinner 9 Ein Kennzahlensystem für die Informationssicherheit

10 Inhaltliche Quellen Kennzahlen-Literatur Kütz, M.: Kennzahlen in der IT Jaquith, A.: Security Metrics: Replacing Fear, Uncertainty and Doubt Kovacich, G. L.; Halibozek, E. P.: Security Metrics Management. How to Measure the Costs and Benefits of Security Nyanchama, M.: Enterprise Vulnerability Management and Its Role in Information Security Management Baker, W. H.; Wallace, L.: Is Information Security Under Control? Investigating Quality in Information Security Management Gremien, Organisationen & Co. DIN ISO/IEC ( Informationstechnik IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits- Management ) ITGI (IT Governance Institute): COBIT 4.0 CISWG (Corporate Information Security Working Group): Report of the Best Practices and Metrics Teams National Institute of Standards and Technology: Security Metrics Guide for Information Technology Systems (2003) Performance Measurement Guide for Information Security (2008) M. Chowanetz, U. Laude, K. Klinner 10 Ein Kennzahlensystem für die Informationssicherheit

11 Dimensionen & Kennzahlen M. Chowanetz, U. Laude, K. Klinner 11 Ein Kennzahlensystem für die Informationssicherheit

12 Beispiel 1: KPI 7 (Personal) M. Chowanetz, U. Laude, K. Klinner 12 Ein Kennzahlensystem für die Informationssicherheit

13 Beispiel 1: KPI 7 (Personal) M. Chowanetz, U. Laude, K. Klinner 13 Ein Kennzahlensystem für die Informationssicherheit

14 Beispiel 2: KPI 8 (Infrastruktur/logisch) M. Chowanetz, U. Laude, K. Klinner 14 Ein Kennzahlensystem für die Informationssicherheit

15 Beispiel 3: KPI 13 (Infrastruktur/physisch) M. Chowanetz, U. Laude, K. Klinner 15 Ein Kennzahlensystem für die Informationssicherheit

16 Quelle: Dell Inc./Ponemon Institute M. Chowanetz, U. Laude, K. Klinner 16 Ein Kennzahlensystem für die Informationssicherheit

17 Analyse von Zusammenhängen M. Chowanetz, U. Laude, K. Klinner 17 Ein Kennzahlensystem für die Informationssicherheit

18 Maßnahmenkopplung KPI 7: Durchschnittliche Ausgaben für sicherheitsrelevante Weiterbildungen pro Mitarbeiter pro Jahr M Sensibilisierung der Mitarbeiter für Informationssicherheit Sicherheits-Kennzahlen KPI 8: Anteil der durch elektronische Signaturen abgesicherten Kommunikation KPI 13: Anzahl verlorener, vermisster oder gestohlener Systeme und Datenträger pro Zeiteinheit M Auswahl eines geeigneten kryptographischen Verfahrens M 2.46 Geeignetes Schlüsselmanagement M Kryptographische Absicherung von M Sperrung des Mobiltelefons bei Verlust M Regelung der Mitnahme von Datenträgern und IT-Komponenten M Umgang mit mobilen Datenträgern und Geräten BSI IT-Grundschutz-Katalog M Sicherheitsrichtlinien und Regelungen für den Informationsschutz unterwegs M. Chowanetz, U. Laude, K. Klinner 18 Ein Kennzahlensystem für die Informationssicherheit

19 Einführung & Operationalisierung (1) Analyse und konzeptionelle Vorbereitung Definition von Zielen Identifikation geeigneter Dimensionen Identifikation geeigneter Kennzahlen Ausgestaltung der gewählten Kennzahlen (2) Einführung und Pilotbetrieb Einführung eines Testsystems (3) Dauerbetrieb & kontinuierliche Überprüfung Überführung in den Dauerbetrieb Kontinuierliche Überprüfung M. Chowanetz, U. Laude, K. Klinner 19 Ein Kennzahlensystem für die Informationssicherheit

20 Vielen Dank! Kontakt: Maximilian Chowanetz Lehrstuhl für Wirtschaftsinformatik und Systementwicklung Julius-Maximilians-Universität Würzburg Josef-Stangl-Platz 2, D Würzburg T F E maximilian.chowanetz@uni-wuerzburg.de W M. Chowanetz, U. Laude, K. Klinner 20 Ein Kennzahlensystem für die Informationssicherheit