Anzeige

Strategy

Rubrik erläutert wie CIOs und andere IT-Führungskräfte ihre Teams erfolgreich zu einer sicherheitsorientierten IT-Strategie führen und Stakeholder-Buy-in generieren können.

Cybersicherheitsbedrohungen werden nicht nur immer häufiger und anspruchsvoller, sie bleiben auch weiterhin ein gravierendes finanzielles Problem für Unternehmen, unabhängig von Region und Branche. Es liegt nun auf den Schultern der IT-Führungskräfte, sich in der technischen Sicherheitslandschaft zurechtzufinden und agile Teams aufzubauen, die dynamisch auf neue Bedrohungen reagieren können. Darüber hinaus müssen diese Führungskräfte aufgrund der finanziellen Auswirkungen von Ausfallzeiten und Sicherheitsvorfällen in der Lage sein, den Geschäftswert der Sicherheit zu abstrahieren, um unternehmensweite Prioritäten zu beeinflussen.

Rubrik, Anbieter von Lösungen für Multi-Cloud Data-Control, erläutert wie CIOs und andere IT-Führungskräfte effektiv eine sicherheitsorientierte Handlungsweise in ihren Unternehmen etablieren und umsetzen können.

Stufe 1: Das Sicherheitsereignis im Nachhinein – Durchführung einer ehrlichen Analyse

Für den Fall, dass irgendein Sicherheitsereignis eintritt, sollten IT-Teams zunächst versuchen, es einzudämmen, und dann eine gründliche Analyse des Vorfalls durchführen, um die ausgenutzten Schwachstellen und alle betroffenen Systeme zu identifizieren.

Obwohl diese Schritte offensichtlich erscheinen mögen, sind die langfristigen positiven Ergebnisse des Ereignisses möglicherweise geringer. Eine ehrliche Analyse eines Sicherheitsereignisses kann die Schwachstellen in einem System aufdecken, aber auch den Kontext, in dem das Ereignis stattgefunden hat, aufzeigen und eine strengere Abfrage der bestehenden Sicherheitsmaßnahmen veranlassen.

Ein tiefer Einblick in die bestehende Sicherheitsarchitektur kann beispielsweise ergeben, dass es notwendig ist, die SLAs neu zu bewerten, die RPOs zu verbessern und manuelle Prozesse zu minimieren. Dies kann zu einer ganzheitlichen Neugewichtung der Rolle der Sicherheit im IT-Framework des Unternehmens führen.

Stufe 2: Rekonstruktion der Sicherheitsstrategie

Nachdem die Schwachstellen im Security-Framework diagnostiziert und Verbesserungsmöglichkeiten identifiziert wurden, sollte ein Übergang zu einer proaktiven Sicherheitsstrategie folgen. Dazu gehören:

  • Verfügbarkeit: Verbesserung der Transparenz aller Daten und Assets sowie Sicherstellung, dass die Daten sauber und für die Benutzer, die sie benötigen, leicht zugänglich sind.
     
  • Training: Implementierung von Mitarbeiterschulungsprogrammen, wobei oft externe Referenten und Berater hinzugezogen werden, um zusätzliche Perspektiven zu schaffen.
     
  • Interne Kommunikation: Regelmäßige und offene Kommunikation mit den Mitarbeitern darüber, welche Prozesse sich ändern und wie der erwartete Zeitplan aussieht, damit diese neuen Prozesse wirksam werden, um Produktivitätsverluste zu minimieren.
     
  • Tests: Planung regelmäßiger Risikomanagement-Meetings, die Beispiele aus der Praxis für verschiedene Arten von Sicherheitsverletzungen behandeln und die Mitarbeiter durch Simulationsübungen führen.

Welche Verbesserungen bzw. Ergänzungen auch immer vorgenommen werden – der Personalplan wird davon betroffen sein. Unternehmen müssen eine effiziente Lösung finden, die das Team nicht übermäßig belastet. Dies erfordert die Suche nach neuen Technologien.

Es gibt sehr viele Tools, die etwa 75 Prozent ein und des gleichen Dienstes anbieten, aber die restlichen 25 Prozent viel besser erledigen als Tools von anderen Anbietern. Die Herausforderung besteht also darin, die Tools mit den 25 Prozent überlegenen Fähigkeiten zu identifizieren.

Effektives Change-Management erfordert von IT-Führungskräften, dass sie nicht nur neue Prozesse einbinden und ihre Teams durch reibungslose Übergangsphasen führen, sondern auch Entscheidungen treffen, die darauf basieren, wo man künftig stehen will – und nicht darauf, wo man heute steht. Auf diese Weise können Führungskräfte ihren Teams helfen, die Stabilität aufrechtzuerhalten, die sie benötigen, um ihre Ziele in einem größeren Bild zu erreichen.

Stufe 3: Sicherung des Executive Buy-In

Die Formulierung einer neuen Strategie ist nur die halbe Miete. Wichtig ist nach Erfahrung von Rubrik auch die Einbindung von Stakeholdern.

Die Sicherung des Executive Buy-In für eine Investition in mehr Sicherheit ist verständlicherweise viel einfacher, nachdem es einen Sicherheitsvorfall im Unternehmen gab oder über einen spektakulären Fall in den Medien berichtet wurde. Die eigentliche Herausforderung besteht jedoch darin, diesen Executive Buy-In aufrechtzuerhalten, auch wenn das akute Bedrohungsbewusstsein zu schwinden beginnt.

Um sicherzustellen, dass die Sicherheit für sein Unternehmen eine ständige Priorität bleibt, muss die Wahrnehmung der Sicherheit als unternehmerischen Mehrwert und nicht nur als technisches Anliegen gefördert werden. In der Kommunikation mit Führungskräften oder Vorstandsmitgliedern empfiehlt sich, drei Schwerpunkte zu setzen:

  • Branchenspezifische Angriffe: Durch die Kenntnis der häufigsten Angriffstypen einer Branche und die Bereitstellung von Statistiken aus der Praxis sowie von Beispielen für Ereignisse in ähnlichen Unternehmen können IT-Führungskräfte die Aufmerksamkeit von Interessengruppen auf sich ziehen. So verhindern Sie, dass die Wahrscheinlichkeit, selbst ein Schadensereignis zu erleben, heruntergespielt wird.
     
  • Reputation des Unternehmens: Angesichts von Sicherheitskrisen, die überall in den Nachrichten zu finden sind, ist Vertrauen alles. Der Ruf eines Unternehmens ist eines seiner wertvollsten Güter, und eine sicherheitsbewusste Haltung gibt den Kunden das Vertrauen, dass ihre Daten gut geschützt sind und dass das Unternehmen ein zuverlässiger Partner ist. Dieses Vertrauen wiederum kann zu einer gesunden, stabilen und loyalen Kundenbasis führen – was in einer wettbewerbsorientierten Geschäftslandschaft den entscheidenden Unterschied ausmacht.
     
  • Geschäftskontinuität: Ein Security-First-Ansatz bedeutet, dass die IT-Abteilung gut gerüstet ist, um auf ein Sicherheitsereignis zu reagieren, wenn es eintritt, ohne den regulären Teambetrieb erheblich zu stören. Wenn die Sicherheit jedoch erst nachrangig behandelt wird, sind die Teams gezwungen, sich um Ad-hoc-Lösungen zu bemühen. Diese Art von „Feuertaufen“ sind nicht nur zeitaufwändig und frustrierend, sondern lenken die Teams auch von ihren langfristigen Zielen ab. Ausfallzeiten können auch Funktionen außerhalb der IT beeinträchtigen, indem sie andere Beteiligte an der Arbeit hindern und so die Gesamtproduktivität des Unternehmens beeinträchtigen.

Indem die IT-Führungskräfte ihre Sicherheitsstrategie an die Auswirkungen auf das Unternehmen anpassen, sorgen sie dafür, dass die Stakeholder die Bedeutung der Investition von Zeit und Ressourcen in eine sicherheitsorientierte Haltung verstehen. Zudem können sie den Executive Buy-In aufrechtzuerhalten, auch wenn sich das Potenzial eines Sicherheitsereignisses nicht besonders greifbar anfühlt.

Insgesamt sollten IT-Verantwortliche nach Meinung von Rubrik ihre Sicherheitsstrategie als Ausdruck der Vision ihres Unternehmens, der Prioritäten ihres Teams und der Unternehmenskultur betrachten. Der Wechsel zu einer sicherheitsorientierten Haltung ist für praktisch alle Organisationen langfristig unerlässlich, um den guten Ruf als zuverlässiges, anpassungsfähiges und zukunftsorientiertes Unternehmen zu bewahren.  

www.rubrik.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!