Thought Leadership
Laut Gartner müssen Führungskräfte im Bereich Sicherheits- und Risikomanagement (SRM) bei der Entwicklung und Umsetzung von Cybersicherheitsprogrammen im Einklang mit neun wichtigen Branchentrends die Balance zwischen Investitionen in Technologie und menschenzentrierten Elementen überdenken.
“Ein menschenzentrierter Ansatz für die Cybersicherheit ist unerlässlich, um Sicherheitsmängel zu reduzieren”, sagt Richard Addiscott, Senior Director Analyst bei Gartner. “Die Fokussierung auf den Menschen bei der Entwicklung und Implementierung von Kontrollen sowie bei der Unternehmenskommunikation und dem Management von Cybersecurity-Talenten wird dazu beitragen, Entscheidungen über Geschäftsrisiken und die Bindung von Cybersecurity-Mitarbeitern zu verbessern.”
Um Cybersecurity-Risiken anzugehen und ein effektives Cybersecurity-Programm aufrechtzuerhalten, müssen sich SRM-Führungskräfte auf drei Schlüsselbereiche konzentrieren: die wesentliche Rolle der Mitarbeiter für den Erfolg und die Nachhaltigkeit des Sicherheitsprogramms, technische Sicherheitsfähigkeiten, die eine größere Transparenz und Reaktionsfähigkeit im gesamten digitalen Ökosystem des Unternehmens bieten und die Umstrukturierung der Arbeitsweise der Sicherheitsfunktion, um Agilität zu ermöglichen, ohne die Sicherheit zu beeinträchtigen.
Die folgenden neun Trends werden demnach für SRM-Führungskräfte in diesen drei Bereichen von großer Bedeutung sein:
Trend 1: Menschenzentriertes Sicherheitsdesign
Das menschenzentrierte Sicherheitsdesign legt den Schwerpunkt auf die Rolle der Mitarbeitererfahrung im Lebenszyklus des Kontrollmanagements. Bis 2027 werden 50 % der Chief Information Security Officers (CISOs) großer Unternehmen menschenorientierte Sicherheitsdesignpraktiken eingeführt haben, um durch Cybersicherheit verursachte Reibungen zu minimieren und die Akzeptanz von Kontrollen zu maximieren.
“Traditionelle Programme zur Sensibilisierung für Sicherheitsfragen haben es nicht geschafft, unsicheres Mitarbeiterverhalten zu reduzieren”, so Addiscott. “CISOs müssen vergangene Cybersecurity-Vorfälle überprüfen, um die Hauptursachen für Cybersecurity-induzierte Reibungsverluste zu identifizieren und herauszufinden, wo sie die Belastung für die Mitarbeiter durch menschenzentriertere Kontrollen verringern oder Kontrollen abschaffen können, die Reibungsverluste verursachen, ohne das Risiko sinnvoll zu reduzieren.”
Trend 2: Verbesserung des Personalmanagements für die Nachhaltigkeit von Sicherheitsprogrammen
Traditionell haben sich die Verantwortlichen für Cybersicherheit auf die Verbesserung der Technologie und der Prozesse konzentriert, die ihre Programme unterstützen, ohne sich auf die Menschen zu konzentrieren, die diese Veränderungen bewirken. CISOs, die einen auf den Menschen ausgerichteten Talentmanagement-Ansatz verfolgen, um Talente zu gewinnen und zu halten, konnten Verbesserungen in ihrer funktionalen und technischen Reife feststellen. Gartner prognostiziert, dass bis zum Jahr 2026 60 % der Unternehmen von der externen Einstellung auf eine “stille Einstellung” auf dem internen Talentmarkt umsteigen werden, um die systemischen Herausforderungen im Bereich Cybersicherheit und Personalbeschaffung zu bewältigen.
Trend 3: Umgestaltung des Cybersecurity-Betriebsmodells zur Unterstützung der Wertschöpfung
Die Technologie verlagert sich von zentralen IT-Funktionen zu Geschäftsbereichen, Unternehmensfunktionen, Fusionsteams und einzelnen Mitarbeitern. Eine Gartner-Umfrage ergab, dass 41 % der Mitarbeiter in irgendeiner Form mit Technologie zu tun haben – ein Trend, der in den nächsten fünf Jahren weiter zunehmen dürfte.
“Führungskräfte in der Wirtschaft sind sich heute weitgehend einig, dass das Cybersecurity-Risiko zu den wichtigsten Geschäftsrisiken gehört, die es zu bewältigen gilt, und nicht nur ein technologisches Problem, das es zu lösen gilt”, so Addiscott. “Die Unterstützung und Beschleunigung von Geschäftsergebnissen ist eine Kernpriorität der Cybersicherheit, bleibt aber eine große Herausforderung.
CISOs müssen das Betriebsmodell ihrer Cybersicherheit ändern, um zu integrieren, wie die Arbeit erledigt wird. Die Mitarbeiter müssen wissen, wie sie eine Reihe von Risiken abwägen können, darunter Cybersicherheits-, Finanz-, Reputations-, Wettbewerbs- und Rechtsrisiken. Cybersicherheit muss auch mit dem Geschäftswert verbunden sein, indem der Erfolg anhand von Geschäftsergebnissen und Prioritäten gemessen und berichtet wird.
Trend 4: Management des Bedrohungspotenzials
Die Angriffsfläche moderner Unternehmen ist komplex und führt zu Ermüdung. CISOs müssen ihre Bewertungspraktiken weiterentwickeln, um ihre Gefährdung durch Bedrohungen zu verstehen, indem sie Programme für das kontinuierliche Bedrohungsmanagement (CTEM) implementieren. Gartner sagt voraus, dass Unternehmen, die ihre Sicherheitsinvestitionen auf der Grundlage eines CTEM-Programms priorisieren, bis 2026 zwei Drittel weniger Sicherheitsverletzungen erleiden werden.
“CISOs müssen ihre Praktiken zur Bewertung von Bedrohungen kontinuierlich verfeinern, um mit den sich entwickelnden Arbeitspraktiken ihrer Organisation Schritt zu halten, und einen CTEM-Ansatz verwenden, um mehr als nur technologische Schwachstellen zu bewerten”, so Addiscott.
Trend 5: Immunität der Identitätsinfrastruktur
Fragile Identitätsinfrastrukturen werden durch unvollständige, falsch konfigurierte oder anfällige Elemente in der Identitätsstruktur verursacht. Bis 2027 werden die Prinzipien der Identitätsstruktur-Immunität 85 % der neuen Angriffe verhindern und damit die finanziellen Auswirkungen von Sicherheitsverletzungen um 80 % reduzieren.
“Identity Fabric Immunity schützt nicht nur die bestehenden und neuen IAM-Komponenten in der Fabric mit Identity Threat and Detection Response (ITDR), sondern stärkt sie auch, indem sie sie vervollständigt und richtig konfiguriert”, so Addiscott.
Trend 6: Cybersecurity-Validierung
Die Cybersicherheitsvalidierung umfasst die Techniken, Prozesse und Tools, mit denen überprüft wird, wie potenzielle Angreifer eine identifizierte Bedrohungslage ausnutzen. Die für die Cybersicherheitsvalidierung erforderlichen Tools machen erhebliche Fortschritte bei der Automatisierung wiederholbarer und vorhersehbarer Aspekte von Bewertungen und ermöglichen regelmäßige Benchmarks von Angriffstechniken, Sicherheitskontrollen und Prozessen. Bis 2026 werden sich mehr als 40 % der Unternehmen, darunter zwei Drittel der mittelständischen Unternehmen, auf konsolidierte Plattformen stützen, um Cybersecurity-Validierungsbewertungen durchzuführen.
Trend 7: Konsolidierung von Cybersicherheitsplattformen
Da Unternehmen versuchen, ihre Abläufe zu vereinfachen, konsolidieren Anbieter ihre Plattformen um einen oder mehrere wichtige Bereiche der Cybersicherheit. Beispielsweise können Identitätssicherheitsdienste über eine gemeinsame Plattform angeboten werden, die Governance-, Privileged Access- und Access Management-Funktionen kombiniert. SRM-Führungskräfte müssen kontinuierlich die Sicherheitskontrollen inventarisieren, um zu verstehen, wo Überschneidungen bestehen, und die Redundanz durch konsolidierte Plattformen reduzieren.
www.gartner.de/de
