Team Digital

Die Digitale Transformation verändert nachhaltig die Art, in der Applikationen und Services entwickelt, bereitgestellt und genutzt werden. Daraus entsteht auch eine Vielzahl neuer technischer und geschäftlicher Herausforderungen für Fachleute aus den Bereichen Sicherheit, Risikomanagement und Compliance. Ein Best-Practice-Leitfaden unterstützt CISOs bei der Bewältigung der Risiken in der digitalen Ära.

Projekte rund um die Digitale Transformation stellen CISOs und alle Verantwortlichen für Informationssicherheit vor neue Herausforderungen. Dabei gehören zu den zentralen Aufgaben die Überprüfung und Adaptierung vorhandener Sicherheitssysteme und -prozesse, um den gestiegenen Anforderungen an Agilität, Skalierbarkeit und Mobilität in der Cloud-basierten, digitalen Welt gerecht zu werden.

Für die stärkere Verankerung des Themas Sicherheit bei Projekten der Digitalen Transformation sind vor allem die Sensibilisierung der Führungskräfte, die Bereitstellung angemessener Finanzmittel und die Umsetzung einer stringenten Security-Strategie von entscheidender Bedeutung. CISOs müssen dabei nicht auf der grünen Wiese starten, denn es gibt etablierte Verfahren für die erfolgreiche und sichere Durchführung digitaler Projekte. Bei einer Befragung von CISOs durch CyberArk und die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) konnten fünf Best Practices herauskristallisiert werden: die Beachtung des Security-by-Design-Prinzips, die Etablierung einer Security-First-Kultur, die Integration von Sicherheit in DevOps-Prozesse, die individuelle Risikobewertung und die Einbindung der Führungsebene.

Beachtung des Security-by-Design-Prinzips

Es ist nach wie vor die Regel, dass bei Projekten der Digitalen Transformation die Sicherheit nicht von Anfang an berücksichtigt wird. Ein solches Vorgehen ist weder sicher noch kosteneffizient. Zu den Best Practices gehören das Verfolgen eines proaktiven Ansatzes für das Risikomanagement und die Beachtung von Sicherheitsanforderungen vom ersten Projekttag an. Nur so kann ein Unternehmen die Risiken maximal eindämmen und die Ergebnisse der digitalen Transformation verbessern, ohne nachträgliche Kosten für Sicherheitsmaßnahmen in Kauf nehmen zu müssen.

Etablierung einer Security-First-Kultur

Die Schaffung einer sicherheitsorientierten Unternehmenskultur ist von elementarer Bedeutung. Jeder Entwickler, Testingenieur oder Systemadministrator sollte sich persönlich für die Cybersicherheit verantwortlich fühlen. Und Security-Awareness-Trainings sollten verpflichtend sein – mit einer kontinuierlichen Aufklärung über Cybersicherheits-Trends und Best Practices. Innovative CISOs fördern eine Kultur der Sicherheit, verbessern die Kommunikation und etablieren Sicherheit als eine Kernkompetenz des gesamten Unterneh-mens.

Natürlich kann eine Unternehmenskultur nicht über Nacht geändert werden, aber durch eine Steigerung des allgemeinen Sicherheitsbewusstseins und die Ausstattung der Entwickler mit den richtigen Tools und Ressourcen können die Weichen in die richtige Richtung gestellt werden. Außerdem ist es unerlässlich, die wichtige Rolle, die Sicherheit bei der digitalen Transformation spielt, unternehmensweit zu kommunizieren und eine aktive Beteiligung einzufordern.

Integration von Sicherheit in DevOps-Prozesse

Die Etablierung einer Security-First-Kultur bedeutet auch, dass Sicherheit integraler Bestandteil von DevOps-Prozessen sein muss. DevOps muss somit zu DevSecOps weiterentwickelt werden.

Ein richtig aufgesetzter DevSecOps-Prozess dämmt Risiken ein, ohne das Tempo der Entwicklung zu verlangsamen. Mit DevSecOps können Entwicklungs-, Test-, Sicherheits- und Betriebsexperten Hand in Hand arbeiten – von der Konzeption bis zur Bereitstellung von Anwendungen. Durch die Automatisierung von Sicherheitstests, die Integration von Schwachstellenanalysen in bestehende DevOps-Tools und -Prozesse und die Einbindung von Sicherheits-Services direkt in die Anwendungen können Entwickler qualitativ hochwertigeren und gleichzeitig risikoärmeren Code generieren, und zwar schnell und kosteneffizient.

Individuelle Risikobewertung

Die Bewertung von Risiken der Digitalen Transformation und die Priorisierung von Investitionen in die Cybersicherheit sind für viele Un-ternehmen eine Herausforderung. Vielfach limitieren begrenzte Budgets CISOs bei der Anschaffung von Sicherheitsprodukten und der Durchführung von Sicherheitstests.

Bei jedem Projekt der Digitalen Transformation sollten CISOs deshalb das Risiko hinsichtlich Sicherheit und Compliance individuell bewerten. Auf dieser Basis müssen sie dann von Fall zu Fall Investitionsentscheidungen treffen. Durch die exakte Analyse jedes Pro-jekts mit einer Ermittlung der genutzten Daten, einer Bewertung interner und externer Bedrohungen und einer Evaluierung aller beteiligten Systeme und Anbieter über den gesamten Anwendungslebenszyklus hinweg können Unternehmen das Risiko reduzieren und zielgerichtete Investitionsentscheidungen treffen.

Einbindung der Führungsebene

Zu den Aufgaben von CISOs gehört, die Vorstands- und Geschäfts-führungsebene über sicherheitsrelevante Themen auf dem Laufenden zu halten. Die Einbindung der Leitungsebene ist unverzichtbar, um „top down“ eine sicherheitsorientierte Unternehmenskultur zu etablieren. Zudem ist damit eine Voraussetzung für die Bereitstellung erforderlicher Budgets für Cybersicherheitsprogramme geschaffen. CEO und Vorstand benötigen zwar keine Details, aber allgemeine Informationen zum Sicherheitsstatus des Unternehmens oder zur aktuellen Bedrohungslandschaft sollten auch auf der Leitungsebene immer vorhanden sein. Außerdem muss die Führung immer über die Risikobewertung neuer Programme in Kenntnis gesetzt werden – und das gilt insbesondere für Projekte im Rahmen der Digitalen Transformation, da sie die Grundlage der zukünftigen Geschäftsprozesse und des Geschäftserfolgs darstellen.

Dass die Digitale Transformation nicht mehr aufzuhalten ist, wird kaum ein Unternehmen bestreiten. Dafür sind die Vorteile zu umfangreich: von der Beschleunigung der Geschäftsprozesse über die Steigerung der Produktivität und Reduzierung von Kosten bis hin zur Verbesserung der Customer Experience. Dabei darf aber nicht ver-gessen werden, dass traditionelle Sicherheitsansätze und -praktiken, die für konventionelle Anwendungen und Services konzipiert sind, den gestiegenen Anforderungen der digitalen Welt an Agilität und Skalierbarkeit nicht gerecht werden. Unternehmen müssen einen neuen Blick auf die Sicherheit werfen, um im digitalen Zeitalter erfolgreich zu sein.

Die fünf genannten Best Practices geben CISOs ein erstes Hilfsmittel an die Hand, um das generelle Bewusstsein für Cybersicherheit zu schärfen, die Gewohnheiten von Mitarbeitern zu verändern und die Finanzierungsprobleme und organisatorischen Barrieren zu überwinden, die digitale Transformationsprogramme oft behindern. Die Schaffung einer Kultur der Sicherheit und die Integration von Sicherheit in die Entwicklung und den Betrieb von Anwen-dungen können dazu beitragen, die Digitale Transformation des Unternehmens zu beschleunigen und gleichzeitig die Risiken zu minimieren.


 

Michael Kleist, Regional Director DACH
Michael Kleist
Regional Director DACH, CyberArk

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!