CASE STUDY: Workshop zur Ermittlung passender ISMS KPI

Für die Entwicklung eines Sets von ISMS KPI bietet carmasec Workshops an, die an die individuellen Anforderungen und Zielstellungen des Kunden angepasst sind.

Im Rahmen eines solchen Workshops unterstützten wir im Jahr 2020 ein Unternehmen mit ca. 1500 MitarbeiterN, das als Versorger im Bereich Automotive sensible Nutzerdaten verwaltet. Als entsprechend wichtig schätzte die Geschäftsführung das Thema “Cybersicherheit” ein. Ein nach der ISO/IEC-Norm 27001 zertifiziertes Managementsystem für Informationssicherheit war zum Zeitpunkt des Workshops bereits im Einsatz.

Weitere Informationen zum Workshop

Herausforderung nach der Implementierung eines ISMS: Direkte Messbarkeit und Optimierung von Security-Maßnahmen

 
Die Geschäftsführung wollte gemeinsam mit der internen Organisation das Thema Informations- und Cybersicherheit weiterentwickeln, um auch bei weiteren Audit-Terminen den bereits sehr guten Stand der Implementierung auszubauen. Das Unternehmen hatte sich insbesondere eine engmaschigere Messung der Wirksamkeit einzelner Security-Maßnahmen durch Validierung und Optimierung als Ziel gesetzt. carmasec wurde zur methodischen Unterstützung angefragt. Wir empfahlen, die Nachverfolgung durch auf das Unternehmen maßgeschneiderte ISMS KPI zu verbessern.
 

Nutzen von ISMS KPI am Beispiel von Patch Management

Das Management definiert in Form einer Richtlinie, dass Patches mit einer bestimmten Kritikalitätsstufe innerhalb eines definierten Zeitraumes auf allen Geräten installiert sein müssen. Um die Umsetzung der Richtlinie zu überwachen, muss der Chief Information Security Officer (CISO) nun täglich bei seinen Mitarbeitern nachfragen, in welchem Umfang die Installation bereits umgesetzt wurde. Diese Art von Tagesgeschäft bindet Zeit.

Eine passende Kennzahl ist die automatisierte Messung der durchschnittlichen Dauer ab dem Vorhandensein des Patches bis zur vollständigen Installation auf allen Geräten. Diese wird an den für die Umsetzung Verantwortlichen kommuniziert. Dank der Nutzung der KPI kann der CISO die Umsetzung der Richtlinie strategisch steuern, die operative Kontrolle entfällt, das spart viel Zeit.
 

Inhalte des Workshops “ISMS KPI”

 
Im ersten Teil des Workshops vermittelten die carmasec Experten Basiswissen zu ISMS KPI und stellten Anwendungsfälle vor:

• Welche Kennzahlen und KPI gibt es?
• Welche KPI sind effizient und leicht anzuwenden?
• Best Practices: Welche KPI haben sich in anderen Unternehmen bewährt?

Auf Basis der erarbeiteten Grundlagen erfolgte dann der Abgleich mit den ermittelten Zielen des Kunden und es wurde eine Priorisierung vorgenommen. So stufte das Unternehmen die Relevanz von Risikomanagement als hoch, die des Patchmanagement als nachgelagert ein.

In einem Zwischenschritt prüften unsere Berater, welche Daten das Unternehmen bereits erhebt, weil sich hieraus eventuell schon KPI ableiten ließen, für die neue Prozesse nur mit geringen Aufwand entwickelt werden müssten.
 

Ergebnisse des Workshops

 
Die Entwicklung eines effektiven und auf das Anforderungsprofil des Kunden zugeschnittenen KPI-Sets beschloss den Workshop. Gemeinsam wurde eine umfangreiche Zusammenstellung von KPI entwickelt, die sich in zwei Kategorien aufteilen lassen:

• Kurzfristig umzusetzende KPI als Schnittmenge aus den kurzfristigen Zielen des Unternehmens und den Daten, die bereits erhoben werden.
• Langfristig zu implementierende KPI als Schnittmenge aus der langfristigen Sicherheits-Strategie und den noch fehlenden Daten, deren Erhebung es in das bestehende ISMS zu integrieren gilt.

Ausblick: Feedback des Kunden

 
Unser Kunde war mit den Ergebnissen des Workshops sehr zufrieden. Der CISO des Unternehmens befand im Anschluss: „Als ISO 27001 zertifiziertes Unternehmen ist uns das effektive Management von Informationssicherheit sehr wichtig. Dank der wertvollen Impulse von carmasec konnten wir KPI definieren, die uns bei der Messbarkeit der Wirkung von Informationssicherheits-Maßnahmen unterstützen.“