Eine von vielen Konstanten in der Cybersicherheit ist der Wandel – Veränderungen in der Bedrohungsumgebung, in der Raffinesse von Angriffen, in den von Angreifern verwendeten Tools, in der Verfügbarkeit von Ressourcen … und die Liste geht weiter.

Die IT-Community ist seit langem eine wertvolle Quelle für Informationen und Unterstützung für Security-Führungskräfte, die mit Veränderungen Schritt halten müssen. Open Systems hat dafür SEC.OS: Security Experts Circle – Open Systems gegründet. Diese ausschliesslich auf Einladung zugängliche Gruppe besteht aus nordamerikanischen und europäischen Cybersicherheitsexperten, die sich regelmässig treffen, um Beziehungen aufzubauen, zusammenzuarbeiten, Informationen auszutauschen und von Gastexperten zu hören – und das alles im im Rahmen einer "inoffiziellen" Diskussion.

Kürzlich traf sich SEC.OS, um zu hören, was Neil Daswani, Co-Direktor des Advanced Security Certification Program der Stanford University und früher bei Twitter und LifeLock, zu sagen hat. Während seiner Sitzung behandelte Neil sehr eingehend viele der Themen von höchster Priorität, mit denen Unternehmen heute konfrontiert sind. Im Folgenden finden Sie vier wichtige Empfehlungen, die er mit uns teilen wollte:

Arbeit im Homeoffice

Da aufgrund der Covid-19-Pandemie so viele Mitarbeitende monatelang von zu Hause aus arbeiten, stehen Unternehmen vor einer neuen Herausforderung bei der Bewältigung potenzieller Sicherheitsverstösse. Denn es fehlt ihnen jetzt der Einblick in die Sicherheitseinstellungen ihrer Mitarbeitenden im Homeoffice. Herkömmliche Security-Modelle und Compliance-basierte Programme bieten möglicherweise kein angemessenes Monitoring oder Schutzmechanismen. Dabei es gibt mehrere Lösungen, mit denen Unternehmen die Kontrolle über die Hardware und Software ihrer Mitarbeitenden wiedererlangen können.

Neils Meinung: Viele Unternehmen sind auf dem Weg, Zero Trust Network Access (ZTNA) einzuführen, bei dem Identität zum neuen Perimeter wird und der Weg zur Wiedererlangung der Transparenz wird. ZTNA ist jedoch keine Einheitslösung und die Implementierung kann je nach dem aktuellen Status Ihres Netzwerks, dem Reifegrad Ihrer geplanten Implementierung und der Bereitschaft des gesamten Unternehmens für die Einführung erhebliche Zeit in Anspruch nehmen.

Unser Tipp: Compliance kann Ihnen bei der Sicherheit helfen, aber sie allein reicht nicht aus. Es lohnt sich, darüber nachzudenken, wie Ihre langfristige Migration auf die neue Normalität aussehen wird, und diese als Grundlage für den Aufbau Ihrer Remote-Access-Strategie zu nutzen. Wenn Sie von Anfang an das Ziel vor Augen haben, können Sie Ihrem Unternehmen unzählige Stunden und Kosten für technische Aufgaben sparen. Ausserdem ist es wichtig, einen Partner zu finden, der die wichtigsten Sicherheitsfunktionen (z. B. – ZTNA, CASB usw.) als Teil ihrer Netzwerk-Strategie konzipieren kann, bringt eine höhere Skalierbarkeit, Flexibilität und betriebliche Effizienz für Ihr Unternehmen.

Geschäfts- vs. Security-Anforderungen

IT-Organisationen haben schon immer Konflikte erlebt, wenn es um die Priorisierung von Security-Anforderungen gegenüber Geschäftsanforderungen geht. Dies gilt besonders zurzeit, da die Wirtschaft 2020 schwankte.

Neils Meinung: Eine Methode zur schnellen Beilegung solcher Konflikte besteht darin, die geschäftlichen Anforderungen immer zuerst zu priorisieren. Ihre Denkweise sollte sein, dass Security dafür da ist, das gesamte Geschäft zu unterstützen und Sie müssen Ihr Geschäft verstehen. Damit eine Änderung Bestand hat, muss ein Business Case für eine neue Security-Massnahme erstellt werden, die mit den allgemeinen Unternehmenszielen verknüpft ist.

Unser Tipp: Ein tieferes Verständnis der Geschäftsprioritäten kann nicht nur ein gesundes Gleichgewicht zwischen Geschäfts- und Security-Anforderungen herstellen, sondern auch Ihre Security-Lage stärken, da Sie besser verstehen, was für Ihr Unternehmen am wichtigsten ist.

Interne Zustimmung, Finanzierung und Unterstützung

Viele CISOs stehen vor Herausforderungen, wenn es um die Genehmigung der Geschäftsleitung zur Finanzierung neuer Security-Initiativen geht.

Neils Meinung: Bauen Sie gute Beziehungen zu Managern ausserhalb der Security und IT auf, die Ihren Fall fördern können. Sie können zu einem vertrauenswürdigen Berater diese Personen werden, indem Sie illustrieren, wie Verstösse auftreten, welche tatsächlichen und potenziellen Auswirkungen Verstösse haben und wie man sie mindert. Dieser Ansatz kann Ihnen helfen, sachkundige Verbündete zu gewinnen, um die Finanzierung zu sichern.

Ein weiterer erfolgreicher Ansatz besteht darin, interne Audits zu nutzen, um Unterstützung für die Projekte und Prioritäten eines CISO aufzubauen. Audits können zusammen mit den Prüfern dazu beitragen, die Faktoren zu veranschaulichen, von denen die Empfehlungen beeinflusst sind, und den Business Case nachvollziehbar machen.

Unser Tipp: Finden Sie Verbündete, die Sie unterstützen können. Bringen Sie sie auf Ihre Seite, indem Sie Geschichten und Informationen teilen. Und eine dritte Meinung kann manchmal hilfreich sein.

Durch die Pandemie wurde die Einführung der Cloud beschleunigt ... meistens

Die Cloud-Einführung war für die Geschäftskontinuität während der Covid-Pandemie definitiv entscheidend – allerdings nicht ohne Probleme.

Neils Meinung: Während Apps wie Office 365 und Zoom in der Cloud hilfreich waren, müssen Organisationen aufgrund der erhöhten Bedrohung durch Cyberangriffe die Wirksamkeit ihrer Security-Kontrollen genau überprüfen, um sicherzustellen, dass die Apps keine Möglichkeiten zum Eindringen bringen.

Trotz der Vorteile wechseln nicht alle Organisationen schneller in die Cloud als vor Covid. Der Hauptgrund dafür ist die anhaltende Zurückhaltung, die vor allem darauf zurückzuführen ist, dass die Managementteams nicht erkennen, wie die Cloud ihr Unternehmen verändern kann.

Unser Tipp: Die Cloud wird Bestand haben. Wie bei jeder neuen Akzeptanz sollte sie unter Berücksichtigung möglicher Risiken und Minderungen implementiert werden.

Über SEC.OS

Wir haben unseren Security Experts Circle (SEC.OS) als globales Forum für Security-Experten ins Leben gerufen, um Kontakte zu Kolleginnen und Kollegen aus verschiedenen Branchen und Regionen zu knüpfen und von ihnen zu lernen.

Unsere vierteljährlichen Roundtables mit Führungskräften in Europa und Nord- und Südamerika sind lebhaft und informativ und die Teilnehmer sprechen über eine Vielzahl Security-verwandter Themen. Die Gruppe bietet Vorschläge, Beobachtungen, Standpunkte und Erkenntnisse aus ihren eigenen praktischen Erfahrungen.

Neben Neil gehören zu den kommenden Rednern Serge Droz, Vorsitzender, FIRST (Forum of Incident Response and Security Teams) und viele andere.

Sind Sie daran interessiert, sich anderen Branchenführern anzuschliessen? Erfahren Sie hier mehr darüber, wie Sie SEC.OS beitreten können.