Måler I succes eller aktivitet?
Enhver CISO jeg møder kan vise et dashboard. Antal blokerede angreb. Antal gennemførte sikkerhedsuddannelser. Antal lukkede sager i ticketsystemet. Tallene ser imponerende ud. Graferne peger opad.
Men spørgsmålet ingen stiller er: fortæller disse tal noget om hvor sikker organisationen faktisk er? Svaret er næsten altid nej.
De fleste sikkerheds-KPI’er måler aktivitet, ikke effekt. At firewallen blokerer 50 millioner forespørgsler om måneden siger intet om hvorvidt de 50 forespørgsler der slap igennem var dem som betød noget. At 100% af personalet har gennemført sikkerhedsuddannelse siger intet om de faktisk har ændret adfærd.
Grundspørgsmålet: Hvis jeres vigtigste sikkerhedsmål er “antal blokerede angreb” måler I brandvæsenets succes i antal brandbiler — ikke i reddede liv.
Vanity metrics: Tal der ser gode ud men ikke driver beslutninger
Måler volumen, ikke risiko. Et højt tal betyder at I har meget trafik, ikke at I er sikre. De mest sofistikerede angreb er designet til ikke at blive blokeret af standardbeskyttelse.
Måler deltagelse, ikke læring. 100% gennemførelse på et e-learningkursus som alle klikker igennem på 10 minutter fortæller intet om hvordan medarbejdere opfører sig i skarpe situationer.
Måler throughput, ikke kvalitet. Et team kan lukke hundredvis af sager om måneden og stadig overse de kritiske sårbarheder — fordi de prioriterer volumen frem for alvorlighed.
99,9% oppetid lyder godt — men det siger intet om sikkerheden i sig selv. Et system kan have perfekt oppetid og samtidig være fuldstændig kompromitteret af en APT-aktør der venter.
KPI’er der faktisk betyder noget
Effektive sikkerheds-KPI’er deler tre egenskaber: de er knyttet til forretningsrisiko, de er målbare over tid, og de driver handling. Hvis en måling ikke fører til et spørgsmål (“hvad skal vi gøre ved det?”) har den ingen værdi.
Eksponering: Hvor hurtigt opdager og håndterer I?
| KPI | Hvad det måler | Hvorfor det betyder noget |
|---|---|---|
| MTTD (Mean Time to Detect) | Gennemsnitlig tid fra brud til opdagelse | Jo længere en angriber er inde, desto mere skade når de at gøre |
| MTTR (Mean Time to Respond) | Gennemsnitlig tid fra opdagelse til begrænsning | Hurtig respons begrænser skadeomfanget drastisk |
| Patchtid | Tid fra sårbarhedspublicering til implementation | Viser jeres evne til at håndtere kendte trusler i rimelig tid |
| Eksponerede aktiver | Antal interneteksponerede systemer uden fuldstændig beskyttelse | Direkte mål på jeres synlige angrebsflade |
Modenhed: Hvor godt fungerer jeres sikkerhedsarbejde?
| KPI | Hvad det måler | Hvorfor det betyder noget |
|---|---|---|
| Implementeringsgrad | % af krævede kontroller som er fuldt implementerede | Viser hvor hullerne er — og hvor hurtigt I lukker dem |
| Compliance-gap | Afstand til fuld efterlevelse af NIS2-loven | Giver bestyrelsen et klart billede af regulatorisk risiko |
| Øvelsesfrekvens | Antal gennemførte hændelsesøvelser per år | En aldrig øvet plan er en ønskeliste, ikke en beredskab |
| Leverandørdækning | % af kritiske leverandører som har gennemgået sikkerhedsvurdering | Måler kontrol over jeres leverancekæde |
Forretningspåvirkning: Hvad koster det?
Udtryk risiko i termer bestyrelsen forstår
Bestyrelsemedlemmer træffer ikke beslutninger baseret på CVE-numre eller CVSS-point. De træffer beslutninger baseret på forretningspåvirkning.
I stedet for: “Vi har 47 kritiske sårbarheder i vores eksterneksponerede infrastruktur”
Sig: “Vi har sårbarheder i kundesystemet som, hvis de udnyttes, kan føre til 3–5 dages nedetid med en estimeret omkostning på 2–4 mio. kr. Løsningen koster 200.000 kr og tager to uger.”
NU har bestyrelsen et beslutningsgrundlag.
Fælden: Måle det som er let i stedet for det som er vigtigt
De fleste organisationer havner i fælden at måle det som SIEM-systemet tilfældigvis genererer automatisk. Antal loggede hændelser, antal regeltræffere, antal falske positiver. Det er data som findes tilgængelig — men det er ikke nødvendigvis data som betyder noget.
Rigtigt værdifulde KPI’er kræver ofte manuel bearbejdning, kontekstforståelse og kobling til forretningsmål. Det er mere arbejde — men det er arbejde som faktisk genererer beslutningsgrundlag.
Spørg jer ved hvert mål:
- Hvad fortæller dette om vores faktiske sikkerhed?
- Hvis tallet ændrer sig, hvad skal vi gøre anderledes?
- Kan bestyrelsen forstå og handle på dette?
Hvis svaret på et af spørgsmålene er “ved ikke” — mål noget andet.
Byg et dashboard der driver beslutninger
- Vælg 5–8 KPI'er — ikke flere Et dashboard med 30 målinger driver ingen beslutninger. Fokuser på de nøgletal som afspejler jeres største risici og jeres vigtigste forbedringsområder. Tilpas udvalget efter jeres risikoprofil.
- Vis trends, ikke øjebliksbilleder Et tal uden kontekst er meningsløst. Vis hvordan MTTD har udviklet sig de seneste kvartaler, hvordan compliance-gabet skrumper (eller vokser), og hvordan patchtiden ændrer sig. Trends giver bestyrelsen et billede af retning.
- Inkluder både leading og lagging indicators Lagging indicators (antal hændelser, omkostning per hændelse) viser hvad der er sket. Leading indicators (øvelsesfrekvens, patchtid, uddannelseskvalitet) viser hvor I er på vej. Bestyrelsen har brug for begge.
- Knyt hver KPI til et mål Hvis MTTR er 48 timer — hvad er målet? 24 timer? 4 timer? Uden mål giver tallet ingen vejledning. Og målene bør være baseret på jeres risikoappetit og branchestandard — ikke på hvad der tilfældigvis er teknisk let at nå.
Mål for at forbedre, ikke for at imponere
KPI’er som viser at alt er perfekt er sandsynligvis forkerte. De mest modne organisationer har målinger som synliggør mangler — for det er sådan man ved hvor forbedringsarbejdet skal rettes. Et ærligt dashboard som viser huller og trends er uendeligt mere brugbart end et grønt dashboard som ingen stoler på.
Hvis jeres sikkerhedsarbejde skal drives af beslutninger, skal beslutningerne drives af de rigtige data. Mål det som betyder noget.
Securapilots dashboardfunktionalitet samler jeres vigtigste sikkerheds-KPI’er i et overblik designet til ledelsen — med trends, compliance-status og risikoeksponering som driver handling i stedet for blot at informere.
Ofte stillede spørgsmål
Hvilke KPI'er skal en CISO rapportere til bestyrelsen?
Fokuser på målinger bestyrelsen kan handle på: riskeksponering i kroner, tid til opdagelse og handling (MTTD/MTTR), compliance-status som procentdel, og trendlinjer som viser forbedring eller forværring over tid.
Hvorfor er antal blokerede angreb et dårligt mål?
Det måler volumen, ikke effekt. At firewallen blokerer millioner af forespørgsler dagligt siger intet om hvorvidt jeres organisation faktisk er beskyttet mod de trusler som betyder noget. Det er som at måle brandvæsenets succes i antal brandbiler i stedet for reddede liv.
Hvor ofte skal sikkerheds-KPI'er rapporteres?
Operative KPI'er (MTTD, patchstatus, sårbarhedsniveau) bør følges ugentligt eller månedligt internt. Strategiske KPI'er til bestyrelsen bør rapporteres kvartalsvis. Ekstraordinære rapporter ved hændelser eller væsentlige ændringer.
Hvad er forskellen mellem lagging og leading KPI'er?
Lagging KPI'er måler hvad der allerede er sket (antal hændelser, omkostning per brud). Leading KPI'er måler beredskab og tendenser (tid til patchning, uddannelsesgrad, compliance-gap). Et godt dashboard har brug for begge, men leading KPI'er giver bedre beslutningsgrundlag.
