Mäter du framgång eller aktivitet?
Varje CISO (Chief Information Security Officer) jag träffar kan visa en dashboard (översiktspanel). Antal blockerade attacker. Antal genomförda säkerhetsutbildningar. Antal stängda ärenden i ticketsystemet.
Siffrorna ser imponerande ut. Graferna pekar uppåt.
Men frågan ingen ställer är: berättar de här siffrorna något om hur säker organisationen faktiskt är? Svaret är nästan alltid nej.
De flesta säkerhets-KPI:er mäter aktivitet, inte effekt. Brandväggen blockerar 50 miljoner förfrågningar i månaden. Men det säger ingenting om huruvida de 50 som slapp igenom var de som spelade roll. Att 100 procent av personalen genomfört säkerhetsutbildning säger ingenting om de faktiskt ändrat beteende.
Grundfrågan: Om ditt främsta säkerhetsmått är “antal blockerade attacker” mäter du brandkårens framgång i antal brandbilar, inte i räddade liv.
Siffror som ser bra ut men inte driver beslut
Mäter volym, inte risk. En hög siffra betyder att du har mycket trafik, inte att du är säker. De mest avancerade attackerna utformas för att kringgå standardskydd.
Mäter deltagande, inte lärande. 100 procent genomförande på en e-learningkurs som alla klickar igenom på 10 minuter berättar ingenting om hur medarbetare beter sig i skarpt läge.
Mäter genomströmning, inte kvalitet. Ett team kan stänga hundratals ärenden i månaden och ändå missa de kritiska sårbarheterna, för att de prioriterar volym framför allvarlighetsgrad.
99,9 procent uppetid låter bra, men det säger ingenting om säkerheten i sig. Ett system kan ha perfekt uppetid och samtidigt vara helt komprometterat av en APT-aktör (Advanced Persistent Threat) som väntar.
KPI:er som faktiskt betyder något
Effektiva säkerhets-KPI:er delar tre egenskaper: de är kopplade till affärsrisk, de är mätbara över tid, och de driver handling. Om ett mätvärde inte leder till frågan “vad ska vi göra åt det?” har det inget värde. CISA:s Cybersecurity Performance Goals ger en användbar utgångspunkt för vilka mätvärden som faktiskt skyddar kritisk infrastruktur.
Exponering: Hur snabbt upptäcker och åtgärdar du?
| KPI | Vad det mäter | Varför det spelar roll |
|---|---|---|
| MTTD (Mean Time to Detect) | Genomsnittlig tid från intrång till upptäckt | Ju längre en angripare är inne, desto mer skada hinner de göra |
| MTTR (Mean Time to Respond) | Genomsnittlig tid från upptäckt till begränsning | Snabb respons begränsar skadeomfånget drastiskt |
| Patchningstid | Tid från sårbarhetspublicering till genomförande | Visar din förmåga att hantera kända hot i rimlig tid |
| Exponerade tillgångar | Antal internetexponerade system utan fullständigt skydd | Direkt mått på din synliga attackyta |
Mognad: Hur väl fungerar ditt säkerhetsarbete?
| KPI | Vad det mäter | Varför det spelar roll |
|---|---|---|
| Införandegrad | % av krävda kontroller som är fullt införda | Visar var gapen finns, och hur snabbt du stänger dem |
| Compliance-gap | Avstånd till full efterlevnad av Cybersäkerhetslagen | Ger styrelsen en tydlig bild av regulatorisk risk |
| Övningsfrekvens | Antal genomförda incidentövningar per år | En aldrig övad plan är en önskelista, inte en beredskap |
| Leverantörstäckning | % av kritiska leverantörer som genomgått säkerhetsbedömning | Mäter kontroll över din leveranskedja |
Affärspåverkan: Vad kostar det?
Uttryck risk i termer styrelsen förstår
Styrelseledamöter fattar inte beslut baserat på CVE-nummer (Common Vulnerabilities and Exposures) eller CVSS-poäng (Common Vulnerability Scoring System). De fattar beslut baserat på affärspåverkan.
Istället för: “Vi har 47 kritiska sårbarheter i vår externexponerade infrastruktur”
Säg: “Vi har sårbarheter i kundsystemet som, om de utnyttjas, kan leda till 3–5 dagars driftstopp med en uppskattad kostnad på 2–4 MSEK. Åtgärden kostar 200 000 kr och tar två veckor.”
Nu har styrelsen ett beslutsunderlag.
Fällan: Mäta det som är lätt istället för det som är viktigt
De flesta organisationer hamnar i fällan att mäta det som SIEM-systemet (Security Information and Event Management) råkar generera automatiskt. Antal loggade händelser, antal regelträffar, antal falska positiva. Den datan finns tillgänglig, men den betyder inte nödvändigtvis något.
Riktigt värdefulla KPI:er kräver ofta manuell bearbetning, sammanhangsförståelse och koppling till affärsmål. Det är mer arbete, men det är arbete som faktiskt genererar beslutsunderlag.
Fråga dig vid varje mätvärde:
- Vad berättar detta om vår faktiska säkerhet?
- Om siffran förändras, vad ska vi göra annorlunda?
- Kan styrelsen förstå och agera på detta?
Om svaret på någon av frågorna är “vet inte”: mät något annat.
Bygg en översiktspanel som driver beslut
- Välj 5–8 KPI:er, inte fler En översiktspanel med 30 mätvärden driver inga beslut. Fokusera på de nyckeltal som speglar dina största risker och dina viktigaste förbättringsområden. Anpassa urvalet efter din riskprofil.
- Visa trender, inte ögonblicksbilder En siffra utan sammanhang är meningslös. Visa hur MTTD har utvecklats de senaste kvartalen, hur compliance-gapet krymper eller växer, och hur patchningstiden förändras. Trender ger styrelsen en bild av riktning.
- Inkludera både ledande och eftersläpande indikatorer Eftersläpande indikatorer (antal incidenter, kostnad per incident) visar vad som hänt. Ledande indikatorer (övningsfrekvens, patchningstid, utbildningskvalitet) visar var du är på väg. Styrelsen behöver båda.
- Koppla varje KPI till ett mål Om MTTR är 48 timmar: vad är målet? 24 timmar? 4 timmar? Utan mål ger siffran ingen vägledning. Och målen bör bygga på din riskaptit och branschstandard, inte på vad som råkar vara tekniskt enkelt att nå.
Mät för att förbättra, inte för att imponera
KPI:er som visar att allt är perfekt är sannolikt fel. De mest mogna organisationerna har mätvärden som synliggör brister. Det är så du vet var du ska rikta förbättringsinsatserna.
En ärlig översiktspanel som visar gap och trender är oändligt mer användbar än en grön panel som ingen litar på.
Om ditt säkerhetsarbete ska drivas av beslut, behöver besluten drivas av rätt data. Mät det som betyder något. Läs mer om hur du presenterar säkerhetsarbetet för styrelsen och hur en riskanalys ger verkligt beslutsunderlag.
Securapilots översikt för säkerhetsstyrning samlar dina viktigaste säkerhets-KPI:er i en vy skapad för ledningen. Med trender, compliance-status och riskexponering som driver handling i stället för att bara informera.
Vanliga frågor
Vilka KPI:er ska en CISO rapportera till styrelsen?
Fokusera på mätvärden styrelsen kan agera på: riskexponering i kronor, tid till upptäckt och åtgärd (MTTD/MTTR), compliance-status som procentandel, och trendlinjer som visar förbättring eller försämring över tid.
Varför är antal blockerade attacker ett dåligt mått?
Det mäter volym, inte effekt. Att brandväggen blockerar miljontals förfrågningar dagligen säger ingenting om huruvida er organisation faktiskt är skyddad mot de hot som spelar roll. Det är som att mäta brandkårens framgång i antal brandbilar istället för räddade liv.
Hur ofta ska säkerhets-KPI:er rapporteras?
Operativa KPI:er (MTTD, patchstatus, sårbarhetsnivå) bör följas veckovis eller månadsvis internt. Strategiska KPI:er till styrelsen bör rapporteras kvartalsvis. Extraordinära rapporter vid incidenter eller väsentliga förändringar.
Vad är skillnaden mellan lagging och leading KPI:er?
Lagging KPI:er mäter vad som redan hänt (antal incidenter, kostnad per intrång). Leading KPI:er mäter beredskap och tendenser (tid till patchning, utbildningsgrad, compliance-gap). En bra dashboard behöver båda, men leading KPI:er ger mer beslutsunderlag.