Målbar it-sikkerhed: En pragmatisk skala for it-sikkerhed

Det kan være svært at vide, præcis hvor og med hvad man skal sætte ind for at ruste sin virksomhed på it-sikkerhedsfronten. Ofte sker mitigeringstiltag på baggrund af gisninger eller tidligere sikkerhedshændelser, og det kan være et udtryk for, at sikkerhedsniveauet ikke bygger på målbare metrikker. Og når sikkerheden ikke er baseret på målbare KPI’er, kan det være svært at få tildelt de nødvendige ressourcer til at udbedre eventuelle brister i it-sikkerheden.

En pragmatisk  skala til at måle it-sikkerhed

For at gøre it-sikkerhed målbar kræver det, at du bruger en ”skala”, som er pragmatisk og ikke kun ”compliance-fokuseret”. Der findes en række forskellige skalaer, og blandt disse er en af de mest udbredte de 20 CIS-kontroller fra Center for Internet Security. Hos Deloitte anbefaler vi også andre mere komplette rammer såsom Deloitte Cyber Strategy Framwork der inkluderer processer og it-organisatorisk modenhed. 

Til dette rammeværk hører en målemetode, som er beskrevet her, med en komplet kortlægning af CIS-kontroller mod fx ISO27001, NIST CSF, NERC, PCI DSS, HIPAA, COBiT eller NERC. Størstedelen af de 183 subkontroller defineres ud fra følgende fire parametre:

1. Er der beskrevne politikker for kontrollen?
2. Er kontrollen implementeret?
   
3. Er kontroller automatiseret?
   
4. Er kontrollen rapporteret?
   

Når alle disse (ca. 700) parametre er målt, får du et tal på en skala fra 0 til 5, som giver dig en modenhedsvurdering  og en score for hver kontrol. Selvom dette er den officielt rigtige måde at måle CIS-kontrollerne på – hvilket bl.a. giver mulighed for at lave benchmarking mod fx ISF – så er resultatet meget teknokratisk og svært at omsætte til konkrete handlingsplaner.

Pragmatisk scoringssystem i tillæg til CIS-kontrollerne

I tillæg til ovenstående model har Deloitte udviklet et scoringssystem for CIS-kontrollerne, hvor hver kontrol scores på en skala fra 1 til 5, med baggrund i CIS-implementeringsgrupperne 1-3.

”RØD” 1-2: Du udfører ingen eller meget få af de nødvendige kontroller.

”GUL” 3: Du udfører nogle af kontrollerne, men ikke nok.

”GRØN” 4-5: Du udfører næsten alle eller alle nødvendige kontroller.

Det enkle scoringssystem giver en score på en skala fra 20 til 100 for A) Hvor højt sikkerhedsniveauet er i organisationen og et målsat B) Hvor højt vi gerne vil have at sikkerhedsniveauet er. Forskellen mellem A og B giver en målbar score, hvilket svarer til rejsen for din it-sikkerhed, og forskellen mellem 100 og B-scoren er den accepterede risiko. 

Gennemsnittet af vores sidste 50 målinger er for A) 38 og for B) 75, hvilket svarer til en gennemsnitlig it-sikkerhedsrejse på en fordobling af it-sikkerheden over en periode på 2-3 år. 

Vil du vide mere om, hvordan du gennemfører denne enkle scoring på din virksomhed, så kan du tilmelde dig vores gratis webinar, som afholdes torsdag den 22. oktober kl. 10.00-11.30, hvor vi fortæller om vores It-sikkerhed Review. Læs mere og tilmeld dig her.