Fünf Ratschläge für CISOs

Der Markt für Cybersicherheit wird von Buzzwords überrannt – Künstliche Intelligenz, maschinelles Lernen, Blockchain; und jedes Einzelne wird überall wiedergegeben, ob in Webinaren, auf Konferenzen oder den Medien. Die meisten Anbieter beteiligen sich an diesen Trends, aber die größten Herausforderungen für die CISOs und ihre Teams werden noch immer durch die Grundlagen der Sicherheit abgesteckt.

Neue Technologien werden einem Unternehmen nie einen Mehrwert bieten, wenn die grundlegende Sicherheit nicht gewährleistet ist. Während Angreifer und Bedrohungen immer ausgefeilter werden, lässt das Sicherheitsbewusstsein auf Vorstandsebene noch zu wünschen übrig. Hier sind fünf Empfehlungen, die CISOs und strategische Verantwortliche in der Cybersicherheit helfen sollen, den maximalen Nutzen aus ihren Bemühungen für die Cybersicherheit ihres Unternehmens zu ziehen.

Die Assets identifizieren

Bevor damit begonnen wird, die strategischen Sicherheitspläne zu erstellen, ist es entscheidend, herauszufinden, welche IT-Ressourcen und Daten im Unternehmen genutzt und gesammelt werden, wo sie sich befinden und wie kritisch sie sind. Das mag naheliegend klingen, aber nicht jedes Unternehmen kann diese Aufgabe bewältigen. Untersuchungen von Kenna Security haben ergeben, dass die meisten Unternehmen bis zu 15 Stunden pro Woche investieren und mehr als 15 verschiedene Tools verwenden, aber dennoch im Bestfall 60 bis 70 Prozent ihrer Assets richtig zuordnen können.

Die mangelnde Transparenz hindert Unternehmen daran, die richtigen Ziele zu setzen, was bedeutet, dass sie schon vor dem Start scheitern. Die größte Herausforderung dabei ist es, die maximale Anzahl der Assets innerhalb kürzester Zeit zu ermitteln. Es gibt dafür noch keine Einheitslösung, aber die Lösungsansätze bewegen sich in einem Spektrum zwischen einer automatisierten Data Discovery-Lösung, wie sie von potenziellen Angreifern zur Erkennung von Subdomains, Ressourcen und Eigenschaften eingesetzt wird, und der Einstellung eines Vollzeitmitarbeiters, der für den Prozess verantwortlich ist.

Die Cloud-Sicherheit beherrschen

Da immer mehr Unternehmen in die Cloud migrieren, wird die Datensicherheit zu einem dringenden Thema. Cloud-Sicherheit ist nicht einfach, aber möglich und erfordert einen ganzheitlichen Ansatz für den Erfolg. Am Anfang stehen die wichtigsten Entscheidungen, in die auch die wichtigsten Stakeholder wie CISO, Informationssicherheits- und Datenschutzverantwortliche sowie Anwendungsteams in einer agilen Gruppe einbezogen werden müssen. Dies wird wesentlich dazu beitragen, eine Cloud-Sicherheitsstrategie zu entwickeln und die Zusammenarbeit zu verbessern.

Der nächste Schritt ist die richtige Mischung aus alten und neuen Technologien: eine Kombination aus Netzwerkpenetrationstests, dynamische Anwendungssicherheitstests, automatisiertes Patch-Management, Schwachstellenbewertung mit UEBA- und SIEM-Lösungen für Cloud Services und Cloud Access Security Brokers (CASB). Über die eigenen Maßnahmen hinaus sollten die Sicherheitsdienste der Cloud-Anbietern eingesetzt werden. Diese Kombination aus Management-Entscheidungen und technischem Know-how verbessert die Sicherheitsbemühungen erheblich.

Sich auf Identitäten statt Perimeter konzentrieren

Nach und nach verschwindet das Konzept der Absicherung von Netzwerkperipherien und macht den Weg frei für das Konzept der Identitätsperipherie. Mitarbeiter können nun von zu Hause, oder während ihrer Geschäftsreisen von Mobilgeräten ausarbeiten, daher müssen die Sicherheitsmaßnahmen entsprechend angepasst werden. Das Ziel sollte deshalb der Schutz der Benutzeridentität sein und die Sicherheitsstrategie sollte dies unterstützen. Ein Anfang steht die Multi-Faktor-Authentifizierung (MFA), mit der Unternehmen das Risiko von Account-Hijacking, insbesondere bei Phishing-Angriffen, minimieren können, und Cloud Access Security Broker (CASBs), um den Datenverkehr zwischen dem Unternehmensnetzwerk und der Cloud-Plattform abzufangen und zu überwachen. Schließlich soll das Sicherheitsbewusstsein der Mitarbeiter geschärft werden. So wird jeder seine persönliche Verantwortung für die Datensicherheit im Unternehmen leichter verstehen können.

Die Sprache des Managements sprechen

Knappe Budgets waren schon immer ein allgegenwärtiges Thema für die IT. Allerdings könnten CISOs erfolgreicher sein, wenn sie verstehen, welche Sprache ihr Vorstand spricht. Wer das Management davon überzeugen will, die Mittel aufzustocken, muss sich darauf vorbereiten, über geschäftliche Vorteile und finanzielle Risiken zu sprechen. Dazu sollten die Verantwortlichen sicherstellen, dass sie die folgenden Messungen auswerten und erklären können:

• Grundlagen: Welchen finanziellen Aufwand kann das Unternehmen im schlimmsten Fall stemmen und wie groß darf das Risiko für einen Datenschutzvorfall sein, um noch tragbar zu erscheinen?

• Erster Fall: Es wurde keine Investitionen getätigt. Wie viel Geld verliert das Unternehmen im Falle eines Vorfalls und Wie hoch ist die Wahrscheinlichkeit eines solchen in diesem Fall?

• Zweiter Fall: Es wurde investiert. Wie viel Geld verliert das Unternehmen in diesem Fall, wenn etwas geschieht? Wie hoch ist in diesem Fall die Wahrscheinlichkeit dafür?

• Vor einem Treffen sollten die Kosten für Maßnahmen zur Risikoreduzierung berechnet und eine detaillierte Erklärung vorbereitet werden, wie das Sicherheitsteam diese ausgeben wird. Dabei sollte eine Risikobewertung vorbereitet werden, um einen klaren Plan zu formulieren.

Es ist sinnvoll, die Aussage nicht nur mit negativen Ergebnissen, sondern auch mit geschäftlichen Vorteilen zu untermauern. Die Vorbereitung sollte strategisch erfolgen und erklären, wie Unternehmen Technologie für sich gewinnbringend nutzen können. Wenn beispielsweise interne Geschäftsprozesse effizienter werden, werden die Durchlaufzeiten kürzer und die Unternehmen erhalten mehr Chancen, Innovationen anzustoßen. Im Gegenzug steigt die Zufriedenheit bei den Kunden und Geschäftspartner. Außerdem vereinfachen transparente Prozesse den Nachweis der Compliance. Insgesamt wird das Unternehmen seine Kosten senken und Umsatz und Profitabilität steigern.

Sich mit der Compliance anfreunden

Jeder CISO sollte sich mit allen Compliance-Standards anfreunden, die ihr Unternehmen aufgesetzt hat. Viele Unternehmen sind noch immer von der DSGVO geschockt, aber anstatt sich in Panik zu versetzen oder den Veränderungen zu widersetzen, sollte darüber nachgedacht werden, welche Vorteile die DSVO für das eigene Unternehmen bringt. Grundsätze, Regulierungen und Richtlinien werden die Sicherheit und den Betrieb drastisch verbessern und Vorteile entfalten: erweiterte Datenstrategien, bessere Verwaltung der Datenschutzrichtlinien, bessere und höhere KPIs für Datensicherheit und Datenschutz, größeres Kundenvertrauen und neue Geschäftsmöglichkeiten sind nur einige davon. Also sollte die Compliance-Abteilung, falls vorhanden, einbezogen werden. Compliance erfordert Teamarbeit, damit IT-Sicherheitsteams gemeinsam ehrgeizige Ziele erreichen können.

Fazit

Um im Jahr 2018 und darüber hinaus zu überleben, sollten sich CISOs der Sicherheits- und Geschäftsrisiken bewusst sein, in der Lage sein, Sicherheitsbemühungen zu priorisieren, nicht zögern nicht, über Geld zu reden und ihre Position zu bekräftigen. Es gibt keine technische Lösung, um alle Bedrohungen zu bekämpfen und alle Probleme auf einmal zu lösen, aber auch wenn ein Unternehmen nie vollständig sicher sein wird, kann ein guter CISO dazu beitragen, sein Unternehmen zu einer wirklich harten Nuss zu machen.

Autor: Gerald Lung, Country Manager DACH bei Netwrix, https://www.netwrix.de/