Effektivitet og produktivitet debatteres i mange sammenhænge. Også når vi taler informationssikkerhed, giver det mening at sikre, at virksomhedens processer fungerer effektivt. Men hvordan måler man om virksomhedens informationssikkerhed er effektiv, og om den udvikler sig i den rigtige retning?
Virksomheder der følger ISO 27001-standarden, skal sikre løbende forbedringer i deres ISMS (Information Security Management System), og standardens kapitel 9 handler specifikt om målinger. Her står, at virksomheder skal definere hvilke processer og tiltag ("controls") de vil måle, samt beskrive hvordan, hvornår og hvem der skal udføre målingerne. Virksomheden skal også beslutte, hvem der skal vurdere resultatet af målingerne, og hvordan det skal gøres - altså en stillingtagen til "er det godt nok?".
Det giver jo alt sammen god mening, men - for der er et men - standarden giver ingen vejledning i, hvordan man kan måle sine processer for informationssikkerhed. Vi har derfor udarbejdet en vejledning, som indeholder en række forslag til metrikker, KPI'er (Key Performance Indicators) eller målepunkter, om du vil, der kan bruges til at tage temperaturen på jeres ISMS-processer. Ved at måle med passende intervaller kan I følge om jeres ISMS udvikler sig som ønsket og om det fungerer effektivt.
En proces-måling skal måle om processen kører, i modsætning til at måle på et konkret sikkerhedstiltag (en "control"). Nogle eksempler:
For at måle om tiltagene virker, kan I udføre intern audit eller anvende de mere almindelige control-målinger som fx. hvor meget spam fanger vores spamfilter, hvor mange vira fanger vores anti-virus, hvor mange angreb detekterer vores firewall, nedetid og andre kvantitative målinger. Når I måler på processerne, måler I forbedringer i forhold til mål eller i forhold til tidligere perioder. Fx. hvor mange procent af sikkerhedsopgaverne udføres indenfor aftalt tid, hvor mange af medarbejderne har kvitteret for bring-your-own-device-reglerne eller for sikkerhedspolitikken indenfor en måned, eller tiden der bliver brugt til at korrigere en afvigelse fra politikken eller fra et compliance krav.
Vores vejledning har fokus på ISMS-processerne, da der findes masser af metrikker på it-kontroller. ISMS-metrikker måler værdien/effektiviteten af processerne, der udgør jeres informationssikkerhedsstyring. ISMS-metrikker er samtidigt et bud på udfordringen med at kunne vise ændringerne over tid - fx. til ledelsen. Hent vejledningen her (vejledningen er på engelsk)
Hvis du vil gøre jeres compliance mere effektivt, anbefaler vi, at du også tjekker vores værktøj til Governance, Risk og Compliance på dette link.
Har du nogle erfaringer eller forslag til hvad man bør måle? Del dem gerne i kommentarfeltet nedenfor.