Måler dere fremgang eller aktivitet?
Enhver CISO jeg møter kan vise et dashbord. Antall blokkerte angrep. Antall gjennomførte sikkerhetsopplæringer. Antall lukkede saker i billettsystemet. Tallene ser imponerende ut. Grafene peker oppover.
Men spørsmålet ingen stiller er: forteller disse tallene noe om hvor sikker organisasjonen faktisk er? Svaret er nesten alltid nei.
De fleste sikkerhets-KPI-er måler aktivitet, ikke effekt. At brannmuren blokkerer 50 millioner forespørsler i måneden sier ingenting om hvorvidt de 50 forespørslene som slapp gjennom var de som spilte rolle. At 100% av personalet gjennomførte sikkerhetsopplæring sier ingenting om de faktisk endret atferd.
Grunnspørsmålet: Hvis deres viktigste sikkerhetsmål er “antall blokkerte angrep” måler dere brannvesenets suksess i antall brannbiler — ikke i reddede liv.
Vanity metrics: Tall som ser bra ut men ikke driver beslutninger
Måler volum, ikke risiko. Et høyt tall betyr at dere har mye trafikk, ikke at dere er sikre. De mest sofistikerte angrepene designes for ikke å bli blokkert av standardbeskyttelse.
Måler deltakelse, ikke læring. 100% gjennomføring på et e-læringskurs som alle klikker seg gjennom på 10 minutter forteller ingenting om hvordan medarbeidere oppfører seg i skarpe situasjoner.
Måler throughput, ikke kvalitet. Et team kan lukke hundrevis av saker i måneden og likevel gå glipp av de kritiske sårbarhetene — fordi de prioriterer volum fremfor alvorlighetsgrad.
99,9% oppetid høres bra ut — men det sier ingenting om sikkerheten i seg selv. Et system kan ha perfekt oppetid og samtidig være fullstendig kompromittert av en APT-aktør som venter.
KPI-er som faktisk betyr noe
Effektive sikkerhets-KPI-er deler tre egenskaper: de er koblet til forretningsrisiko, de er målbare over tid, og de driver handling. Hvis et måletall ikke fører til et spørsmål (“hva skal vi gjøre med det?”) har det ingen verdi.
Eksponering: Hvor raskt oppdager og håndterer dere?
| KPI | Hva det måler | Hvorfor det spiller rolle |
|---|---|---|
| MTTD (Mean Time to Detect) | Gjennomsnittlig tid fra innbrudd til oppdagelse | Jo lenger en angriper er inne, desto mer skade rekker de å gjøre |
| MTTR (Mean Time to Respond) | Gjennomsnittlig tid fra oppdagelse til begrensning | Rask respons begrenser skadeomfanget drastisk |
| Patch-tid | Tid fra sårbarhetspublisering til implementering | Viser deres evne til å håndtere kjente trusler innen rimelig tid |
| Eksponerte eiendeler | Antall internetteksponerte systemer uten fullstendig beskyttelse | Direkte mål på deres synlige angrepsflate |
Modenhet: Hvor godt fungerer deres sikkerhetsarbeid?
| KPI | Hva det måler | Hvorfor det spiller rolle |
|---|---|---|
| Implementeringsgrad | % av påkrevde kontroller som er fullt implementert | Viser hvor hullene finnes — og hvor raskt dere lukker dem |
| Compliance-gap | Avstand til full etterlevelse av digitalsikkerhetsloven | Gir styret et tydelig bilde av regulatorisk risiko |
| Øvelsesfrekvens | Antall gjennomførte hendelsesøvelser per år | En aldri øvd plan er en ønskeliste, ikke en beredskap |
| Leverandørdekning | % av kritiske leverandører som har gjennomgått sikkerhetsvurdering | Måler kontroll over deres leverandørkjede |
Forretningspåvirkning: Hva koster det?
Uttrykk risiko i termer styret forstår
Styremedlemmer fatter ikke beslutninger basert på CVE-nummer eller CVSS-poeng. De fatter beslutninger basert på forretningspåvirkning.
I stedet for: “Vi har 47 kritiske sårbarheter i vår eksternt eksponerte infrastruktur”
Si: “Vi har sårbarheter i kundesystemet som, hvis de utnyttes, kan føre til 3–5 dagers driftsstopp med en anslått kostnad på 2–4 millioner kroner. Tiltaket koster 200 000 kroner og tar to uker.”
Nå har styret et beslutningsgrunnlag.
Fellen: Måle det som er lett i stedet for det som er viktig
De fleste organisasjoner havner i fellen med å måle det som SIEM-systemet tilfeldigvis genererer automatisk. Antall loggede hendelser, antall regeltreff, antall falske positiver. Det er data som finnes tilgjengelig — men det er ikke nødvendigvis data som betyr noe.
Virkelig verdifulle KPI-er krever ofte manuell bearbeiding, kontekstforståelse og kobling til forretningsmål. Det er mer arbeid — men det er arbeid som faktisk genererer beslutningsgrunnlag.
Still dere selv ved hvert måletall:
- Hva forteller dette om vår faktiske sikkerhet?
- Hvis tallet endres, hva skal vi gjøre annerledes?
- Kan styret forstå og handle på dette?
Hvis svaret på noen av spørsmålene er “vet ikke” — mål noe annet.
Bygg et dashbord som driver beslutninger
- Velg 5–8 KPI-er — ikke flere Et dashbord med 30 måletall driver ingen beslutninger. Fokuser på de nøkkeltallene som speiler deres største risikoer og deres viktigste forbedringsområder. Tilpass utvalget etter deres risikoprofil.
- Vis trender, ikke øyeblikksbilder Et tall uten kontekst er meningsløst. Vis hvordan MTTD har utviklet seg de siste kvartalene, hvordan compliance-gapet krymper (eller vokser), og hvordan patch-tiden endres. Trender gir styret et bilde av retning.
- Inkluder både leading og lagging indicators Lagging indicators (antall hendelser, kostnad per hendelse) viser hva som har skjedd. Leading indicators (øvelsesfrekvens, patch-tid, opplæringskvalitet) viser hvor dere er på vei. Styret trenger begge.
- Koble hver KPI til et mål Hvis MTTR er 48 timer — hva er målet? 24 timer? 4 timer? Uten mål gir tallet ingen veiledning. Og målene bør være basert på deres risikoappetitt og bransjestandard — ikke på det som tilfeldigvis er teknisk enkelt å nå.
Mål for å forbedre, ikke for å imponere
KPI-er som viser at alt er perfekt er sannsynligvis feil. De mest modne organisasjonene har måletall som synliggjør mangler — for det er slik man vet hvor forbedringstiltakene skal rettes. Et ærlig dashbord som viser hull og trender er uendelig mer nyttig enn et grønt dashbord som ingen stoler på.
Hvis deres sikkerhetsarbeid skal drives av beslutninger, må beslutningene drives av riktige data. Mål det som betyr noe.
Securapilots dashbordfunksjonalitet samler deres viktigste sikkerhets-KPI-er i en oversikt designet for ledelsen — med trender, compliance-status og risikoeksponering som driver handling i stedet for bare å informere.
Ofte stilte spørsmål
Hvilke KPI-er skal en CISO rapportere til styret?
Fokuser på målinger styret kan handle på: risikoeksponering i kroner, tid til oppdagelse og tiltak (MTTD/MTTR), compliance-status som prosentandel, og trendlinjer som viser forbedring eller forverring over tid.
Hvorfor er antall blokkerte angrep et dårlig mål?
Det måler volum, ikke effekt. At brannmuren blokkerer millioner av forespørsler daglig sier ingenting om hvorvidt organisasjonen faktisk er beskyttet mot truslene som betyr noe. Det er som å måle brannvesenets suksess i antall brannbiler i stedet for reddede liv.
Hvor ofte skal sikkerhets-KPI-er rapporteres?
Operative KPI-er (MTTD, patch-status, sårbarhetsnivå) bør følges ukentlig eller månedlig internt. Strategiske KPI-er til styret bør rapporteres kvartalsvis. Ekstraordinære rapporter ved hendelser eller vesentlige endringer.
Hva er forskjellen mellom lagging og leading KPI-er?
Lagging KPI-er måler det som allerede har skjedd (antall hendelser, kostnad per innbrudd). Leading KPI-er måler beredskap og tendenser (tid til patching, opplæringsgrad, compliance-gap). Et godt dashbord trenger begge, men leading KPI-er gir mer beslutningsgrunnlag.
