Wie CISOs einen prioritätsbasierten Security-Ansatz entwickeln

LinkedInXingPocketWhatsAppFlipboard

Trotz wachsender Bedrohungslage müssen Chief Information Security Officer (CISOs) mit meist sehr begrenztem Budget zurechtkommen. Wie sie trotzdem erfolgreich einen prioritätsbasierten Security-Ansatz entwickeln können, erklärt Christian Vogt, Senior Regional Director Germany, Fortinet.

CISOs haben es nicht leicht. Tatsächlich liegt ihre durchschnittliche Amtszeit in Unternehmen laut Studienergebnissen nur bei zwei bis vier Jahren. Als Grund für das Ausscheiden aus ihrer Position machen 36 Prozent der befragten Sicherheitsexperten eine Unternehmenskultur verantwortlich, die IT-Sicherheit nicht genug Bedeutung beimisst. 34 Prozent beklagen zudem, dass sie es nicht schaffen, dem Thema IT-Security auf Management-Ebene genügend Beachtung zu verschaffen. Fehlende Ressourcen, um angemessenen IT-Schutz herzustellen, war für 31 Prozent ein Kündigungsgrund. Doch CISOs müssen nicht an diesen Hürden scheitern. Wenn sie zielgerichtet auf einen prioritätsbasierten Cybersecurity-Ansatz hinarbeiten, können sie ihr Unternehmen trotz widriger Bedingungen vor Bedrohungen schützen – und gleichzeitig ihre eigene Jobzufriedenheit verbessern.

Anzeige

IT-Landschaft und Compliance-Anforderungen überblicken

Im ersten Schritt müssen sie sich dazu einen Überblick über die IT-Landschaft des Unternehmens verschaffen. Denn es gilt: Man kann nur das schützen, von dessen Existenz man auch weiß. Die digitale Transformation macht es CISOs in dieser Hinsicht jedoch nicht einfach. Denn sie umfasst zahlreiche neue Technologietrends wie Cloud, das Internet der Dinge (IoT) und vernetzte mobile Endgeräte. Dadurch ist die Angriffsfläche der Unternehmens-IT heute um ein Vielfaches größer und dynamischer als noch vor einigen Jahren – und damit auch weitaus schwieriger einzuschätzen. Hinzu kommt oftmals Schatten-IT, die absichtlich vor dem IT-Security-Team verborgen wird.

Darüber hinaus müssen CISOs auch die – immer zahlreicheren – Compliance-Anforderungen berücksichtigen. Diese können sich etwa aus Branchenstandards ergeben, wie dem Payment Card Industry Data Security Standard (PCI-DSS). Aber auch staatliche Vorschriften, wie die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, dürfen sie nicht außer Acht lassen. Die gute Nachricht dabei: Die Regulierungen können als Wegbereiter für notwendige Veränderungen im Unternehmen dienen. Andererseits ist es jedoch oftmals schwierig, dies auch klar an die Geschäftsführung zu kommunizieren, da dieser das notwendige Security-Fachwissen fehlt. Denn dieses Spezialgebiet der IT, das muss dazu gesagt werden, unterliegt dem ständigen Wandel.

Bedrohungen kennen – Risikobereitschaft abwägen

Elementar ist für CISOs daher, die aktuelle Bedrohungslandschaft zu kennen. Diese verändert sich rasend schnell und beinahe unvorhersehbar. Der Grund: Cyber-Kriminalität hat sich längst zu einer lukrativen kommerziellen Branche entwickelt – Ransom- und Malware sowie IoT-Botnets haben mittlerweile mehrere Entwicklungszyklen durchlaufen und werden immer raffinierter. Ende vergangenen Jahres stieg die Anzahl der Cyber-Angriffe innerhalb von drei Monaten sogar um ganze 82 Prozent. Zudem verzeichneten Experten kürzlich auch einen Anstieg von bisher unbekannten Hacker-Strategien.

Nicht zuletzt ist für CISOs wichtig zu wissen, wie viel und welche Art von Risiko das eigene Unternehmen bereit ist, einzugehen. Gute Quellen dafür sind neben dem Führungskreis auch die Fachbereichsleiter. Dies kann zudem ein guter Anlass sein, um Letztere besser kennenzulernen und ihnen die Bedeutung von Cyber-Sicherheit noch einmal vor Augen zu führen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Einen integrierten Security-Fabric-Ansatz verfolgen

Haben sich Security-Experten den notwendigen Überblick verschafft, geht es darum, die entsprechenden Sicherheitsvorkehrungen zu treffen. Dabei stehen CISOs jedoch vor folgender Herausforderung: Die IT-Landschaft in Unternehmen ist heute in höchstem Maße komplex und umfasst sowohl On-Premises- als auch Cloud- und Hybrid-Cloud-Anwendungen. Daher ist auch eine große Anzahl unterschiedlicher Sicherheits-Tools im Einsatz – die jedoch meist gar nicht oder nur schwer miteinander kompatibel sind. Dies verhindert einen unternehmensweiten Überblick über aktuelle Sicherheitslücken und Gefahren.

Um auf Bedrohungen koordiniert und strategisch zu reagieren, sollten Verantwortliche daher auf ein integriertes Security-Fabric-Modell setzen. Dieses vereint mehrschichtige Sicherheits-Tools über alle On-Premises- und Cloud-Umgebungen hinweg und lässt sich dynamisch an die individuellen Anforderungen des Unternehmens anpassen. Auf diese Weise können die verschiedenen Lösungen und Tools in Echtzeit miteinander kommunizieren. So ist die aktuelle Bedrohungslage des kompletten Unternehmens über ein einziges System zu jedem Zeitpunkt ersichtlich. Ein weiterer Vorteil: Manuelle Sicherheitsprozesse lassen sich damit automatisieren, sodass sich das Security-Team um strategische Aufgaben kümmern kann. Nicht zuletzt vereinfacht ein integrierter Security-Fabric-Ansatz auch die Einhaltung von Compliance-Anforderungen und ist bei Vorbereitungen auf Audits hilfreich.

Fazit: Komplexität von IT-Security reduzieren

Jedes Unternehmen setzt unterschiedliche Prioritäten und braucht daher auch eine individuelle IT-Security-Strategie. Es gilt dabei, sich sowohl einen Überblick über die IT-Landschaft und die Risikobereitschaft des eigenen Unternehmens, als auch die Bedrohungslage zu verschaffen. Um das Unternehmen bestmöglich vor Angriffen zu schützen, sollten CISOs versuchen, die Komplexität von IT-Security-Maßnahmen mithilfe einer integrierten Security Fabric zu reduzieren. Dies bietet Verantwortlichen gleich zwei Vorteile: Einerseits sind sie dadurch in der Lage, das Unternehmen besser vor Angreifern schützen. Andererseits können sie so auch vor der Geschäftsführung transparenter darlegen, was IT-Security-Maßnahmen bewirken. So sichern sie sich im Idealfall mehr Budget, stärken das Ansehen des Security-Teams im Unternehmen und beugen damit gleichzeitig der eigenen Jobfrustration vor. 

Christian VogtChristian Vogt ist Senior Regional Director Germany bei Fortinet. In dieser Rolle verantwortet er das Gesamtgeschäft des Sicherheitsspezialisten in Deutschland. Christian Vogt verfügt über langjährige Erfahrung mit großen und strategischen Kunden im Markt für Sicherheits- und Netzwerktechnologie sowie in der Telekommunikationsbranche. Er studierte Betriebswirtschaft und hatte vor seinem Eintritt bei Fortinet 2006 unter anderem Positionen bei Cable & Wireless Deutschland, Inktomi und Oracle inne.

www.fortinet.com
 


Anzeige

Weitere Artikel

Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Cyber & Cloud Security
Wird Open Banking die Zukunft des Finanzwesens verändern?
Cyber & Cloud Security
US-Behörde bestätigt unsicheren Einsatz von Microsofts Cloud-Services
Business Software
Hypershield: Sicherheit für das KI-Zeitalter
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.