Security-Manager haben Schwierigkeiten, ihre Erfolge zu messen und sichtbar zu machen

Anzeige

Leistungskennzahlen der IT-Departments korrelieren nicht immer mit den Unternehmenszielen.

Das Messen und Sichtbarmachen der Erfolge ihrer Arbeit stellt CISOs und Security-Verantwortliche vor große Herausforderungen, wie eine aktuelle Befragung des PAM-Spezialisten Thycotic zeigt [1]. Obwohl fast 90 Prozent der IT-Sicherheitsexperten eine Reihe von Key Performance Indicators (KPIs) verfolgen, fällt es mehr als der Hälfte von ihnen (52 %) nach wie vor schwer, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten. Das liegt unter anderem daran, dass rund zwei Fünftel der Befragten die Geschäftsziele nicht kennen (43 %) beziehungsweise nicht gänzlich verstehen (36 %).

 

Wie die Befragung von mehr als 500 Sicherheitsentscheidern weltweit zeigt, ist die beliebteste Leistungskennzahl der IT-Departments die Anzahl der Sicherheitsverletzungen und Angriffe (49 %) gefolgt von der Anzahl aller gemeldeten Vorfälle (46 %) und der Ausfallzeiten nach einem Ereignis. Dabei ist es jedoch fraglich, inwiefern diese Kennzahlen geeignet sind, die Leistungen der Sicherheitsteams und die Erfolge neuer Sicherheitsmaßnahmen umfassend widerzuspiegeln. Immerhin geben zwei von fünf der Befragten (45 %) selbst an, dass sie keine Möglichkeit haben, zu messen, welche Auswirkungen die bisherigen Sicherheitsinitiativen auf das Unternehmen haben. 40 Prozent sind zudem gar nicht in der Lage, den Erfolg von Sicherheitsinitiativen nach deren Einführung zu messen beziehungsweise für 39 Prozent hat dies überhaupt keine Priorität.

 

Fehlende Nachweise über bisherige Erfolge erschweren die Budgetverhandlungen

Dies ist umso erstaunlicher, als sich diese Unwissenheit und Unklarheiten nachweislich negativ auf die Finanzierung weiterer Sicherheitsprojekte auswirken. Denn bei der Rechtfertigung neuer Sicherheitsausgaben spielt vor allem der ROI früherer Maßnahmen eine Rolle, wie rund die Hälfte der Befragten bestätigt. Weitere wichtige Faktoren bei Budgetverhandlungen sind Daten und Zahlen, die positive Auswirkungen auf Mitarbeiterproduktivität und Roll-Out-Zeiten belegen (44 %), Hinweise auf Compliance-Anforderungen und entsprechende Bußgelder (40 %) sowie Empfehlungen, die Wettbewerbungsfähigkeit durch gezieltes Engagement für den Datenschutz zu erhöhen.

 

Fehlender Austausch mit anderen Abteilungen sorgt dafür, dass IT-Pros ihre Erwartungen nicht erfüllen

Erschwerend kommt hinzu, dass viele Sicherheitsteams in ihrem Arbeitsalltag so sehr mit der Abwehr von unmittelbaren Bedrohungen und der Reaktion auf Cyberangriffe und Sicherheitsvorfälle beschäftigt sind, dass sie von Herausforderungen anderer Abteilungen nur wenig mitbekommen und dementsprechend auch kein förderlicher Austausch stattfinden kann. So muss fast die Hälfte der Befragten gestehen, keine klare Vorstellung zu haben, wie andere Abteilungen ihre Erfolge messen, und 43 Prozent beklagen, dass Unternehmensziele nicht an sie kommuniziert werden. Diese mangelnde Kommunikation hat auch Auswirkungen auf die Rolle der IT-Teams im Unternehmen und die Erwartungen an sie. Wie der Thycotic-Report offenbart, glauben nur 21 Prozent der Security-Manager, die an sie gestellten Erwartungen konsequent zu erfüllen. 14 Prozent sind der Meinung, regelmäßig hinter den Erwartungen zurückzubleiben.

 

Die Vorteile einer unternehmensweiten Cybersicherheitskultur

»Die Arbeit von IT-Sicherheitsexperten ist oft von reaktiver Natur: Um ihre Leistung zu demonstrieren, suchen sie ständig nach vergangenen Erfolgen. Mit der aktuellen Situation des Unternehmens und dem Gewährleisten eines reibungslosen Arbeitsalltags steht dies aber in keinem Zusammenhang und wird der tatsächlichen Rolle des Security-Teams deshalb auch nicht gerecht. Vielmehr stehen die Teams ständig unter Druck, einen positiven Eindruck bei Geschäftsführung, Vorstand und Kollegen zu hinterlassen«, kommentiert Joseph Carson, Chief Security Scientist und Advisory CISO bei Thycotic, die Ergebnisse der Befragung. »Eine gute Möglichkeit, dieser negativen Entwicklung entgegenzuwirken, ist die Einführung einer unternehmensweiten Cybersicherheitskultur. Jedes Unternehmen sollte dazu einen Cyberbotschafter ernennen, der sowohl technisch versiert als auch kommunikativ ist und eine abteilungsübergreifende Zusammenarbeit unterstützt, die darauf abzielt, alle Abteilungen frühzeitig vor potenziell schädlichen Aktivitäten zu warnen. Dies fördert eine proaktivere Auseinandersetzung mit dem Thema IT-Security und hilft Unternehmen, Sicherheitsprobleme nachhaltig zu reduzieren.«

 

[1] Methodik: Im Auftrag von Thycotic befragte das unabhängigen Marktforschungsunternehmen Sapio Research im August 2019 insgesamt mehr als 500 IT-Sicherheitsentscheider aus Unternehmen mit jeweils mehr als 500 Mitarbeitern, wie sie Erfolge und ihren Einfluss auf den allgemeinen Geschäftserfolg messen. Die Stichprobe ist branchenübergreifend und enthält Unternehmen aus Deutschland (100), UK (102), USA (203), Australien (100) und Neuseeland (50). Die Interviews wurden online in einem strengen mehrstufigen Screening-Verfahren durchgeführt, um sicherzustellen, dass nur geeignete Kandidaten die Möglichkeit zur Teilnahme hatten.
Die vollständigen Report-Ergebnisse stehen nach Registrierung zum Download bereit.

 

204 Artikel zu „KPI“

KPI: Kein Selbstzweck

Kennzahlensysteme (KPI) müssen sich auch im Dokumenten- und Output-Management strikt an den strategischen Unternehmenszielen orientieren – andernfalls bleiben sie wirkungslos. Kaum ein anderes Thema unterliegt so vielen Missverständnissen wie der Nutzen von Kennzahlen für die Unternehmensführung. Manche Firmen vertrauen lieber der Intuition und Erfahrung ihrer Manager als einigen »akademischen Regeln«. Andere wiederum wollen sich gar…

Mehr Erfolg im Lead Management: In 5 Schritten zum optimalen KPI-Dashboard

Wer erfolgreich Lead Management betreiben will, sollte regelmäßig die Kennzahlen, die Key Performance Indicators (KPIs) seines Projekts überprüfen. Die Conversion Rate, die Länge des Verkaufszyklus und der Cost-per-Lead geben beispielsweise Aufschluss darüber, wie effektiv und effizient komplette Kampagnen oder einzelne Maßnahmen sind. Den besten Überblick über die relevanten KPIs bieten dabei individuell konfigurierte Dashboards.  …

Cloud-Migration: Erfolgreich mit den richtigen KPIs

 Worauf kommt an, wenn Unternehmen in die Cloud migrieren? Welche Hürden und Voraussetzungen gibt es, was sind die Faktoren für Erfolg und Misserfolg? Im Rahmen einer neuen Studie haben AppDynamics und IDC 600 globale Unternehmensentscheider zu diesem Thema befragt [1]. Wie sich zeigte, bietet die Cloud gerade mit Blick auf Agilität und Skalierbarkeit entscheidende Vorteile,…

DextraDatas CIO Cockpit mit erweitertem Funktionsumfang: Cloud-Benchmark und Budgetplanung leicht gemacht

Das IT-Beratungsunternehmen DextraData launcht ein Update ihrer Predictive-Analytics-Lösung CIO Cockpit. Die Software umfasst ab sofort zahlreiche innovative Features, die den Anwendungsbereich des Produkts deutlich erweitern: Dazu gehören ein detaillierter Vergleich von Cloud-Lösungen mit der eigenen lokalen IT, sowie erweiterte Reporting-Funktionen und eine übersichtlichere Benutzeroberfläche.   »Das CIO Cockpit ist DextraDatas Beitrag zur Digitalisierung in Unternehmen.…

Business KPIs – Die richtigen IT-Kennzahlen für das Business

In den meisten IT-Abteilungen haben sich Kennzahlensys-teme etabliert, die als Steuerungsinstrument verwendet werden. Einerseits liefern De-facto-Standards wie ITIL und COBIT Anhaltspunkte zum sinnvollen Einsatz von KPIs in den IT-Prozessen. Andererseits verlangt das Business Kennzahlen von der IT, um die erbrachten Leistungen und IT-Services objektiv messen und mit der versprochenen Qualität abgleichen zu können.

Effizienz- und TCO-Rechner für Schaltschrank-Kühlgeräte: Das Cockpit für Energiesparer

Schaltschrankklimatisierung verursacht hohe Energiekosten. Je länger die Lebensdauer, desto höher die Betriebskosten für die Klimageräte. Wer wissen will, ob sich eine Anschaffung neuer Produkte lohnt, kann jetzt auf den Energie-Effizienz- und TCO-Rechner [1] zurückgreifen. Das Online-Tool zeigt die Einsparpotenziale in nur vier Schritten schnell, einfach und kostenfrei auf. Das Tool verhilft Maschinenbauern, Steuerungs- und Schaltanlagenbauern…

Cockpit für das Management: Früherkennung – Informationsvorsprung strategisch nutzen

Fach- und Führungskräfte bei emz-Hanauer erkennen Potenziale und Risiken früh. Ihnen liegen dank des ABS-Unternehmenscockpits alle wichtigen Daten vor – jeden Morgen und speziell für sie aufbereitet. So erkennen sie trotz der Bäume den Wald, und sie verstehen diesen Informationsvorsprung zu nutzen. Und sie können sich ziemlich sicher sein, auf Grundlage dieser Datensicherheit die richtigen Entscheidungen zu treffen.

Banken: Alle wollen nachhaltig sein, aber nur einem Teil wird es geglaubt

Weltweit haben sich 130 Banken zu mehr Nachhaltigkeit verpflichtet. Sie verwalten sagenhafte 47 Billionen Dollar an Vermögenswerten. Mit dabei: Commerzbank, Deutsche Bank, GLS Bank und LBBW. Doch ausgerechnet diese Banken glänzen in ihrem Heimatmarkt nicht mit glänzender Reputation in der Nachhaltigkeit. Was ist da passiert? Nahezu unbemerkt von der Öffentlichkeit haben die Banken beim letzten…

9 Tipps für die Erstellung eines Servicekatalogs

Die Aufgaben der IT-Abteilung werden immer zahlreicher und komplexer. Da können selbst erfahrene Administratoren den Überblick verlieren. Dabei ist eine genaue Kenntnis der eigenen Services und Leistungen unabdingbar, um Engpässe schnell erkennen und Probleme rasch beheben zu können. Ein Servicekatalog beschreibt alle wichtigen Leistungen der IT mit der notwendigen Informationstiefe. Ein gut gepflegter Servicekatalog erlaubt…

Sieben Schritte zur erfolgreichen Business Transformation

Für viele Unternehmen ist die Business Transformation eine große Herausforderung. Viele Projekte scheitern gänzlich oder führen nicht zum gewünschten Ergebnis. Die Business Transformation betrifft IT-Infrastrukturen, Prozesse und Mitarbeiter gleichermaßen. Sie zielt in vielen Fällen auf eine Neuordnung von Organisation, Prozessen und Customer Journeys, um Veränderungen im Unternehmen und auf dem Markt umzusetzen. Doch bei der…