Insight

CIS Measures & Metrics – en guldgrube af KPI’er

Hvordan kobler du KPI’er og risikoaccept sammen med dine it-sikkerhedstiltag? Hvis du ikke selv ønsker at opfinde den dybe tallerken, så find svarene i nedenstående gennemgang.

Vi har udviklet en kontrolprofil, som du kan bruge til at måle effekten af de indførte it-sikkerhedstiltag baseret på CIS Measures & Metrics. Denne profil gør det nemt for dig eksempelvis at gennemføre månedlige målinger og få resultatet serveret i et dashboard med røde/grønne markeringer af afvigelser, med tilhørende korrektioner. Er du interesseret i at høre mere om vores kontrolprofil, så kontakt Christian Schmidt.

Ønsker du at lave virksomhedens kontrolsystem forfra, så er det en god idé at tage udgangspunkt i CIS Controls V7 Measures & Metrics og eventuelt kigge på den lidt ældre companion guide her, som har en god beskrivelse af de enkelte kontrolmålinger sidst i guiden.

Guiderne er opbygget med en beskrivelse af den enkelte måling for hver subkontrol – husk at undtage de subkontroller, som ikke er relevante for din implementeringsgruppe– samt et bånd af risiko kaldet sigma level. En nærmere definition og beskrivelse af sigmal level-risiko kan eksempelvis findes på Wikipedia og Six Sigma-relaterede hjemmesider.

Når du har lagt dig fast på organisationens risikotolerance, kan hver subkontrol måles med en bestemt KPI, men pas på med ambitionerne. For mange organisationer vil det føre til store mængder administrativt arbejde at gennemføre alle 171 målinger, og derfor har vi i vores kontrolprofil udvalgt de 20 vigtigste KPI’er, som giver mening i mange organisationer.

Et vigtigt punkt omkring målingerne er, at de har nogle vigtige forudsætninger:

  • Du har gennemført en GAP-analyse baseret på CIS-kontrollerne, så du ved, hvilke it-sikkerhedsmæssige tiltag der er væsentlige for din virksomhed.
  • Virksomhedens ledelse har accepteret CIS-kontrollerne som udgangspunkt for it-sikkerhed og tildelt de nødvendige ressourcer og tidshorisont for CIS-processen.
  • Der er implementeret software til at automatisere CIS-kontrollerne, og de valgte KPI’er er implementeret via disse værktøjer, så de nemt kan aflæses og lægges i kontrolprofilen (eller dit eget målesystem).
  • Resultaterne af de målte KPI’er bruges i ledelseskommunikationen som bevis for effektiviteten af it-sikkerhedsprogrammet.  

Hvis du gerne vil vide mere om, hvordan vores GAP-analyse kan hjælpe din virksomhed med at opnå en målbar it-sikkerhed og en kendt accepteret risiko, så er du velkommen til at kontakte Christian Schmidt på chrschmidt@deloitte.dk eller ringe på +45 30 93 60 09.

Hvis du gerne vil vide mere om vores GAP-analyse, kan du også se vores optagede webinarer her og navnlig i webinaret ”Hvordan gør du it-sikkerhed målbar, og hvilke fordele giver det”.

Hør mere om disse begreber og koblinger på vores webinar om trykprøvning af it-sikkerhed, som afholdes den 25. marts kl. 10-11.30. Tilmeld dig her.

Fandt du dette nyttigt?