En knepig uppgift för ciso:n, it-säkerhetschefen, är att kvantifiera värdet för hur bra cybersäkerhet det egna företaget har.

Genom åren har mängder av olika mätetal används men de har sällan lyckats med att ge de insikter och den förståelse för hur väl det interna säkerhetsarbetet fungerar som chefer och styrelsemedlemmar efterfrågar – som var det kan förbättras och vad svagheterna är.

– Alldeles för mycket teknikjargong presenteras för vd:n och styrelsen. Ciso:er pratar fortfarande med styrelsen om kritiska sårbarheter och antalet patchar men styrelsen förstår inte det eftersom det inte presenteras i en vettig kontext, säger Jarrett Kolthoff, vd på säkerhetsföretaget Speartip.

Det kan i och för sig vara mätetal som är till nytta för ciso:n, konstaterar han, men det gäller att också arbeta för att ta fram mätvärden som erbjuder ett sammanhang där styrelsen kan förstå risken och hur mycket investeringar i säkerhet som behövs.

Enligt Jarrett Kolthoff och andra cybersäkerhetsexperter finns inget nyckeltal som fungerar för alla ciso:er för att förklara hur väl deras säkerhetsarbete fungerar och om det förbättras över tid. Men det finns sådant som är mer användbart än annat.

Sex mätetal som fotfarande håller

Mätvärden som utvärderar hur säkerheten går gentemot affärsmålen ökar i användning men erfarna ciso:er och cybersäkerhetskonsulter säger att de fortfarande ser ett värde i många av de nyckeltal som historiskt har använts av säkerhetsavdelningen.

Samtidigt kan det vara klokt av ciso:er att skapa mer kontext kring mätetalen.

Derrick A Butts, chef för cybersäkerhet på den ideella anti-tobakorganisationen Truth Initiative, konstaterar att styrelsen inte bryr sig om hur många phishingmejl du får.

– Det är viktigare att mäta effektiviteten i våra system som skyddar mot dem och att skydda oss mot deras påverkan på verksamheten.

Här är några av de åtgärder som han och andra säkerhetsproffs använder för att kunna ge det efterfrågade sammanhanget.

1 Resultat av simulerade nätfiskeattacker.
Derrick A Butts använder simulerade phishing-attacker för att hjälpa honom att utvärdera hur väl det fungerar att höja medvetenheten för det och sätta mål för förbättring.

2 Tiden det tar att återhämta sig.
Bil Harmer, ciso på Secureauth, mäter procentandelen användare som påverkats av en incident, hur snabbt säkerhetsteamet löste problemet och om den tiden möter, överskrider eller faller under målet i förhållande till den risk som organisation fastställt att man är beredd att ta.

­­3 Tid för upptäckt.
Richard Stiennon, chefsanalytiker på IT Harvest, säger att han rekommenderar att man använder mätningar för att se genomsnittlig tid för upptäckt – alltså måttet på hur lång tid det tog från det att en framgångsrik attack inträffade tills den upptäcktes – eftersom det också indikerar hur väl ett säkerhetsprogram fungerar och gör att man kan gå bakåt och se förbättringar. Och, säger han, sådana mätvärden hjälper ciso:n att diskutera med ledningsnivån och styrelsen om vilka investeringar som krävs för att åstadkomma förbättringar. Sådana mätvärden uppmuntrar också kontinuerlig förbättring: som att få ner snittiden för upptäckt till minuter, och ciso:n kan rentav sikta mot att minska det till sekunder.

4 Penetrationstester.
Precis som simulerade phishing-attacker kan mätvärden kring penetrationstester indikera hur väl en organisation kan stå emot sådana händelser och också spåra förbättringar över tid. För Bil Harmer är det just den sorts information som han som ciso – och även andra chefer och styrelseledamöter – förstår och kan värdera.

5 Sårbarhetshantering.
Shawn P Murray, vd på Murray Security Services och operativ chef på Information Systems Security Association, ISSA, föreslår att ciso:er tar fram statistik som de kan använda för att rapportera om effektiviteten i sina sårbarhetshanteringsprogram. Han säger att de inte handlar om att rapportera antalet korrigerade patchar, utan snarare att mäta säkerhetsavdelningens förmåga att hantera sårbarheter som ger den största effekten på organisationens säkerhet. När allt kommer omkring, säger han, handlar det inte om att få 100 lågrisk-patchar implementerade utan snarare att se till att just det som utgör den största risken tas om hand så snabbt som möjligt.

– Om det inte är relevant eller kritiskt, kommer jag som ciso inte att rapportera det. Jag kommer bara att rapportera det som styrelsen behöver veta om eftersom det påverkar verksamheten. Det är vad jag borde vara beredd att mäta, säger han.

6 Säkerhetsrevisioner.
Derrick A Butts använder ett styrkort som utvecklats utifrån ramverk från National institute of standards and technology, Nist, Information technology infrastructure library, Itil, och Center for internet security, Cis.

– Det ger en bra ögonblicksbild föra att visa hur saker fungerar, säger han.

...och här är fyra mätvärden du kan sluta bry dig om

1. Antal attacker.
– Ingen bryr sig om du visar att du har 100 000 attacker på en månad och stoppar dem. Det är sådant som får folk att säga, "Om du klarar 100 procent varför ska jag du då få ytterligare en miljon dollar?”, säger Curtis Simpson, ciso på teknikföretaget Armis.

Och som påpekats tidigare handlar det inte om att stoppa 100 000 lågnivåattacker utan att förhindra den förkrossande attack som kan sätta företaget helt ur spel.

2,3,4. Patchar som gjorts. Identifierade sårbarheter. Virus blockerade.
Även om dessa tre nyckeltal kan vara vettiga för ciso:er för att mäta det arbete som utförts internt eller krävs för att bekräfta att en organisation lever upp till vissa bestämmelser, har de lite eller inget värde i sig själva.

– Dessutom riskerar de att invagga dig i falsk trygghet, säger Richard Stiennon.

Läs också:
Cio:n får nyckelroll när corona tvingar fram högre beredskap – ”ställs på sin spets”
Microsoft har lyckats sätta stopp för gigantiskt botnät