Die IT-Sicherheit ist ein Beispiel dafür, dass etwas, das sich nicht messen lässt, auch nicht optimierbar ist. Große europäische Firmen haben schon heute ein differenziertes Set aus Messkriterien zur Bewertung und Anpassung ihrer Absicherung gegen Cyber-Bedrohungen. Allerdings bildet die Kontrolle der Ausgaben für IT-Sicherheit in vielen Firmen das Herzstück der KPI-Systeme. Bei mehr als der Hälfte der Unternehmen erfolgt die Bewertung der Sicherheit unter einem Kostenaspekt. Damit besteht die Gefahr, das am falschen Ende gespart wird, wie die europaweite Studie zu Cyber-Security von Steria und Pierre Audoin Consultants zeigt.

Messung der Effektivität der IT-Sicherheit anhand formeller KPIs
Die Effektivität ihrer IT-Sicherheitsmaßnahmen messen 94 Prozent der europäischen Unternehmen durch formelle KPIs. 39 Prozent messen die Reaktionszeit ab dem Eintritt einer Sicherheitskrise. Ein Drittel misst, wie lange es dauert, bis eine kritische Sicherheitslücke behoben ist. Nur ein Sechstel der Unternehmen hingegen erfasst die IT-Sicherheit auf Projektebene.

Ausgabendisziplin als KPI für Wirkung von IT-Sicherheit
Mehr als die Hälfte der Unternehmen misst die Wirkung der IT-Sicherheit über die KPI Ausgaben. Weniger als die Hälfte nutzt Sicherheitsaspekte als Kennzahl zur Bewertung. Wird nur das Kosten-Kriterium herangezogen, könnten Unternehmenscontroller das Ausfallen von Sicherheitsvorfällen als Anlass nehmen, bei der IT-Security zu sparen. Dabei könnten diese Ausgaben der Grund für das Ausbleiben der Cyberangriffe sein.

Unternehmen wollen auch wissen, ob sie ihre IT-Security verbessern können
Die meisten Unternehmen messen nicht nur, ob ihre IT-Sicherheit funktioniert, sondern auch, ob es Möglichkeiten zur Verbesserung der Security-Prozesse gibt. Damit sind die Unternehmen auf einem guten Weg. Nur wenn die Entscheider aufgrund fehlender Sicherheitsereignisse an Sicherheitsmaßnahmen sparen, wird es gefährlich.