Foto: Sergey Uryadnikov - shutterstock.com
CISOs haben viele Themen im Kopf, vom Aufbau einer sicheren Infrastruktur über die Abwehr von Ransomware-Angriffen bis hin zur Innentäterschaft. Bei der Fülle an Verantwortlichkeiten sollte es nicht überraschen, dass selbst der gewissenhafteste CISO einige kritische Punkte übersieht. Die folgenden acht Bereiche werden oft vergessen, sollten aber auf der Agenda von Chief Information Security Officers ganz oben stehen.
1. Drittanbietersicherheit
Kunden oder Dienstleister sind schwer zu überwachen und werden häufig von Cyberkriminellen ins Visier genommen, die ihre Angriffe ausweiten wollen.
Myke Lyons, CISO bei Collibra, rät CISOs, eng mit ihren Partnern zusammenzuarbeiten, um sicherzustellen, dass deren Sicherheitsniveau den Ansprüchen genügt: "Es gibt keinen eindeutigen oder einfachen Weg, aber die Bewertung von Anbietern, Bibliotheken, Prozessen von Drittanbietern und Konnektivität zu Anbietern ist entscheidend. Governance ist entscheidend."
2. Innovationsmöglichkeiten
Nach Jahren im Job bleiben viele CISOs im Alltagstrott stecken und konzentrieren sich dann fast ausschließlich darauf, die grundlegenden Anforderungen an die Unternehmenssicherheit zu erfüllen und den Kopf möglichst unten zu halten - eine Einstellung, die unweigerlich zu Problemen führt. "Wenn ein CISO nicht innovativ ist, kann es schnell passieren, dass er inmitten einer Wachstumsphase darum kämpfen muss, relevant zu bleiben", mahnt Noah Beddome, CISO beim Online-Retailer Opendoor.
Ein CISO, der es versäumt, innovativ zu sein, schadet mit der Zeit sowohl der Organisation als auch seinem eigenen Ruf, meint der Manager: "Wir müssen unsere Teams und uns selbst dazu motivieren, unsere Gedanken in Vorschläge umzuwandeln und keine Angst davor haben, zu scheitern. Requests for Comments bringen Diskussionen in Gang, und selbst wenn das Endergebnis nicht den Erwartungen entspricht, kann es zu großen Fortschritten führen".
3. Data Footprint
Etwas zu schützen, das man nicht vollständig versteht, ist unmöglich. Die Organisationen, die nicht genau wussten, wie viele und welche Daten ihr Unternehmen wo speichert, gehörten in der Vergangenheit zu den Opfern der berüchtigtsten Cyberangriffe und Data Breaches. "Es ist entscheidend zu wissen, welche Daten Sie geerbt haben, als Sie anfingen und welche sich weiter ausbreiten", weiß Marlys Rodgers, CISO der CSAA Insurance Group.
Laut Rodgers sollten CISOs auch die Menge und den Umfang der Daten, die außerhalb ihrer direkten Kontrolle liegen, vollständig verstehen: "Zu wissen, wer Ihre Daten hat und welche Kontrollmaßnahmen darauf angewendet werden, ist genauso wichtig wie die Daten, über die Sie direkte Kontrolle haben. Ihren Data Footprint zu kennen, bedeutet auch zu wissen, wie und wo man die Lecks stopft", sagt die Managerin.
4. Sicherheitsstärkung
CISOs sollten sich darauf konzentrieren, eine Kultur der Unterstützung aufzubauen, um ihre Teams zum Erfolg zu führen. "Effektive Cybersicherheit ist größtenteils das Ergebnis der richtigen Kultur und eines entwickelten Umfelds. Das nimmt bei den Führungskräften an der Spitze seinen Anfang", meint Joe McMann, CSO der Unternehmensberatung Capgemini.
McMann schlägt CISOs vor, ihre Sicherheitsabläufe zu analysieren und einen Richtungswechsel in Erwägung zu ziehen, falls ihre Teams die wichtigsten Risikobereiche ohne Erfolg angehen oder nicht kooperativ zusammenarbeiten - selbst mit Unterstützung des Managements. "Schließlich müssen CISOs sicherstellen, dass ihre Teams mit strategischen Partnern zusammenarbeiten, die ihnen helfen können, diese Ziele zu erreichen und sich an der Gesamtkultur und -strategie auszurichten", fügt er hinzu.
5. Vorausdenken
Die Bedrohungslandschaft entwickelt sich ständig weiter. "Sich auf eine punktuelle Bewertung zu konzentrieren, ist aus taktischer Sicht verständlich, verfehlt aber in der Regel die strategischen Ziele, mit denen sich CISOs befassen sollten", weiß Doug Saylors, Direktor für Cybersicherheit bei der Information Services Group.
Viele CISOs konzentrierten sich so sehr auf die taktischen Aspekte der Sicherheit, dass strategische Überlegungen ins Hintertreffen geraten. "Wenn man Sicherheit erst nachträglich einbaut, bleiben wahrscheinlich erhebliche Lücken, die Unternehmen anfällig für Zero Day Exploits machen", stellt er fest.
Saylors schätzt, dass 80 Prozent der CISOs, mit denen er arbeitet, sich auf taktische statt auf strategische Ziele konzentrieren. "Die anderen 20 Prozent haben seit mehr als zehn Jahren eine CISO-Funktion inne und verstehen die Bedeutung der Strategie und der Auswirkungen auf das Geschäft", sagt er.
Der Sicherheitsexperte empfiehlt, die Rolle des CISO auf eine strategische Ebene zu heben und zu überprüfen, wie sich das Unternehmen in den letzten 16 bis 18 Monaten entwickelt hat. Auf Grundlage der Erkenntnisse kann die Cybersicherheits-Roadmap aktualisiert werden. "Falls erforderlich, sollten Sie Anbieter auf dem Markt nutzen, die bei der Bewältigung von Commodity-Sicherheitsfunktionen helfen können, um für den CISO und leitende Cybersecurity-Engineering-Positionen Ressourcen freizuschaufeln und einen strategischen Vorteil zu erlangen", sagt Saylors.
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
6. Brachliegende Investments
Investitionen in Sicherheits-Tools, Cyberexperten und Incident-Response-Prozesse dürfen nicht brachliegen. Sie müssen regelmäßig getestet werden, um sicherzustellen, dass sie funktionieren. "CISOs investieren in Tools und Fachkräfte, um diese Werkzeuge zu konfigurieren und um Prozesse und Verfahren zu entwickeln, mit denen Angriffe erkannt und verhindert werden", sagt Andrew Turner, Executive Vice President beim Beratungsunternehmen Booz Allen Hamilton. Doch allzu oft werde die Effektivität dieser Tools und Pläne erst dann wirklich getestet, wenn es schon zu spät ist.
Turner rät, kontinuierliche Testprogramme auf mehreren Ebenen zu implementieren, von Tischübungen bis hin zu technischen Tests, wie beispielsweise Purple Teaming - eine Sicherheitsmethodik, bei der Teams kollaborieren, um die Cyberfähigkeiten durch kontinuierliches Feedback und Wissenstransfer zu maximieren.
7. Siloauflösung
Sicherheits-, IT- und Business-Teams arbeiten oft in getrennten Silos, was effektive Kommunikation und schnelle Problembehebung verhindert. Die Förderung der Zusammenarbeit in Kombination mit einer Strategie zur Beobachtung des gesamten Systems, die sich an den Geschäftszielen orientiert, kann CISOs dabei unterstützen, die Unternehmenssicherheit effektiver zu integrieren.
Nach Meinung von Gregg Ostrowski, CTO bei AppDynamics, müssen CISOs Teamwork und Innovationskraft vorantreiben und eine Führungsrolle einnehmen, die die Kultur der einzelnen Teams beeinflusst. "Indem sie sich besser mit dem CIO und anderen Geschäftsführern innerhalb eines Unternehmens abstimmen, können CISOs eine Umgebung fördern, in der Sicherheits- und IT-Teams im Gleichschritt arbeiten und so die Marke zum Erfolg führen."
8. Effektive Threat Awareness
Unzureichendes Bedrohungsbewusstsein ist der Sicherheitsplanung von Unternehmen abträglich. Wenn Bedrohungstrends nicht angemessen überwacht werden, kann dies zu Technologien, Diensten und Praktiken führen, die keinen klaren Bezug zu tatsächlichen Risiken und Bedrohungen haben. "Die Organisation ist dann reich an Technologien, aber arm an Sicherheit", warnt Alicia Lynch, CISO bei SAIC, einem IT-Dienstleister für den Regierungssektor.
Die Managerin empfiehlt, einen Prozess zu etablieren, der das Sammeln und Filtern vertrauenswürdiger Informationen über wichtige Trends definiert, die in freier Wildbahn beobachtet werden. Die gewonnenen Erkenntnisse ließen sich mit unternehmensinternen Informationen verschmelzen, um Sicherheitslücken zu identifizieren, die behoben werden müssen. "Ohne eine ausgereifte Methodik, um das Rauschen zu filtern und sich auf die für Ihr Unternehmen relevanten Punkte zu konzentrieren, werden CISOs wichtige sicherheitsrelevante Informationen übersehen", mahnt Lynch. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.