Freedomz/Shutterstock.com
CISOs wissen, dass Risikomanagement unerlässlich ist, um eine stabile Unternehmenssicherheit aufzubauen und aufrecht zu erhalten. Dennoch stolpern viele, trotz bester Absichten, immer wieder über hartnäckige Fallstricke, die ihre Bemühungen untergraben.
Unabhängig von der Größe des Unternehmens ist Risikomanagement grundlegend für die allgemeine Sicherheitslage. Selbst ein scheinbar einfacher Fehler in dieser Disziplin kann daher schwerwiegende Konsequenzen haben.
Damit das nicht passiert, finden Sie im Folgenden die wichtigsten Fehler, die CISOs beim Risikomanagement immer noch machen, und wie Sie diese vermeiden können.
1. Kein definiertes Ziel
Laut Kristi Preuss, Principal in der Cyber-Praxis des Unternehmensberaters Deloitte, ist der vielleicht größte Fehler beim Risikomanagement, kein klar definiertes Programmziel zu haben. Viele CISOs seien mit dem Tagesgeschäft ausgelastet sowie quick täglich neu auftauchenden Problemen konfrontiert. Infolgedessen verlassen sie, so Preuss, den Feuerlöschmodus nie lange genug, um eine umfassendere Strategie für die Informationssicherheit zu entwickeln, geschweige denn erfolgreich umzusetzen.
„Stattdessen sind viele CISOs vom ersten Tag an Land unter und versuchen, alles auf einmal in Angriff zu nehmen, oft mit veralteten Instruments und begrenzten Ressourcen“, so Preuss.
Wenn CISOs sich in reaktiven und operativen Ansätzen verstricken, leidet die Unternehmensstrategie. Die Sicherheitskontrollen haben Mühe, mit der aktuellen Bedrohungslage Schritt zu halten, geschweige denn sich einen Vorsprung herauszuarbeiten.
„Mit veralteten oder schlecht definierten Programmzielen, begrenzten strategischen Investitionen und einem Mangel an innovativer, strategischer Planung erweisen CISOs ihren Organisationen einen schlechten Dienst und verstärken letztlich die Gefahren für die Informationssicherheit und das Cyber-Risiko“, urteilt die Deloitte-Beraterin.
CISOs, die mit einem proaktiven Sicherheitsansatz wieder eine strategische Führungsrolle übernehmen wollen, brauchen Preuss zufolge eingespielte operative Risikoprozesse. Sie rät außerdem dazu, die Zeit zu begrenzen, die wichtige Teammitglieder mit Routineaufgaben verbringen.
2. Übertriebene Sicherheits- und Risikobewertungen
Viele CISOs bauen übermäßig kontrollorientierte Sicherheits- und Risikoprogramme auf. Das kann dazu führen, dass sie quick ununterbrochen Risikobewertungen durchführen und immer wieder versuchen, neue Probleme zu finden, die es zu entschärfen gilt, warnt Nick Godfrey, Senior Director und International Head, Workplace of the CISO, bei Google Cloud.
„Risikobewertungen durchzuführen kann zwar anfangs nützlich sein, um Risiken einzudämmen, ist aber auf lange Sicht unproduktiv und setzt einen unerbittlichen Kreislauf in Gang, der zu unverhältnismäßig hohen Kosten und verpassten Chancen führt, wo Ressourcen besser investiert werden könnten“, sagt Supervisor.
Godfrey merkt an, dass es für CISOs regular ist, sich mit jedem möglichen Risiko für das Unternehmen auseinandersetzen zu wollen. Das geschieht jedoch oft unter massivem Druck aus dem Vorstand, der die Sicherheitsverantwortlichen dazu bringt, übermäßig vorsichtig zu agieren. Der Google-Mann ergänzt: „Dies führt dazu, dass Risikoprogramme erstellt werden, die ‘fest programmiert’ sind und deren einziger Ansatz darin besteht, ständigen Risikobewertungen und -minderungen Priorität einzuräumen.“
Eine solche reaktive Denkweise kann davon ablenken, dass eigentlich ein strategischer Ansatz notwendig ist, der die möglichen Auswirkungen von Risiken auf Menschen, Produkte und Finanzen berücksichtigt.
Der richtige Ansatz für das Risikomanagement sollte stattdessen ein ganzheitlicher sein. CISOs müssten ein angemessenes Risikoniveau aufrechterhalten, ohne dass ständig an der Risikominderung gearbeitet wird. So könnten die Ressourcen je nach den Bereichen, die mehr Aufmerksamkeit benötigen, neu zugewiesen werden können, betont Godfrey.
„Unternehmen mit der besten Sicherheitslage denken darüber hinaus, ein niedriges Risikolevel aufrechtzuerhalten, und verbringen zusätzliche Zeit damit, Effizienz und Fähigkeiten zu verbessern, die das Risiko reduzieren“, sagt er.
Godfrey schlägt vor, das Prozedere rund um die Risikokontrollen zu optimieren, um die Anzahl der erforderlichen Kontrollen zu reduzieren. Es gelte, Aktivitäten zu automatisieren, um den Wartungs- und Verwaltungsaufwand zu verringern, und die Kundenerfahrung durch starke Betrugspräventionsmethoden zu verbessern.
3. Es fehlt eine echte Sicherheitskultur
Kultur verschmilzt Überzeugungen, Werte und Verhaltensweisen. Daraus folgt, dass eine Cybersicherheitskultur in erster Linie von den Menschen im Unternehmen bestimmt wird.
Der beste Weg, eine solche Kultur aufzubauen, besteht darin, sie in der Praxis zu demonstrieren. Sie muss über ehrgeizige Missionserklärungen oder ausgefallene Präsentationen hinausgehen, sagt Sourya Biswas, technischer Direktor für Risikomanagement und Governance bei der NCC Group.
„Ein Unternehmen, das die richtigen Überzeugungen hinsichtlich Sicherheit verfolgt, die richtigen Werte teilt und Anreize für das richtige Sicherheitsverhalten schafft, kann die richtige unternehmensweite Cybersicherheitskultur aufbauen“, erklärt der Supervisor. Ohne die richtige Kultur würden auch die besten Sicherheitsstrategien scheitern.
Da eine Cybersicherheitskultur in erster Linie von den Menschen bestimmt wird, sollte sie laut Biswas von den obersten Führungskräften innerhalb der Unternehmenshierarchie vorgelebt werden: „Mit anderen Worten, die Kultur sollte nicht die Verantwortung der Sicherheitsorganisation sein, sondern die des gesamten Vorstands und der Geschäftsführung.“
Seiner Meinung nach ist der „Ton an der Spitze“ entscheidend, um eine sinnvolle Cybersicherheitskultur zu fördern. Wenn die Mitarbeiter sehen, dass ihre Führungskräfte nicht das tun, was sie selbst predigen, werden sie sich wahrscheinlich daran ein Beispiel nehmen.
Cybersicherheit und Risikomanagement: Hand in Hand zur Resilienz
Was CISOs von Moschusochsen lernen können
4. Die Safety für besser halten, als sie ist
Der größte Fehler, den CISOs begehen können, ist zu glauben, sie hätten die vollständige Kontrolle. Sie verlassen sich auf ihre Sicherheitspläne und vertrauen darauf, dass eine Reihe von Branchenzertifizierungen ihr Unternehmen vor Cyberbedrohungen schützen könnten, mahnt Howard Taylor, CISO bei Radware.
Cybersicherheit ist komplex und entwickelt sich ständig weiter, meint der Safety-Experte. Es gebe immer wieder neue Angreifer, neue Ansätze oder Neuauflagen alter Angriffe mit einer neuen Wendung. „Wachsam und vorbereitet zu bleiben, ist der einzige Weg, das Risiko wirklich zu beherrschen.“
„Wenn Sie Ihre Kontrollumgebung nicht regelmäßig verbessern und überprüfen, werden Sie feststellen, dass Ihr Unternehmen ungeschützt ist“, warnt Taylor. Die Bedrohungslandschaft befinde sich in ständigem Wandel und Sicherheitslösungen, die bei ihrer ersten Implementierung noch als sicher galten, werden mit der Zeit schwächer.
Noch schlimmer schätzt Taylor ein, dass CISOs oft Entscheidungen treffen, die auf einem falschen Sicherheitsempfinden beruhen. Sie investierten so viel Geld und Zeit, um Cyberabwehr zu verbessern und ihre Groups zu schulen, dass sie glauben, alles andere als ein vollständiger Schutz sei unmöglich. „In Wirklichkeit sollte die einzige wirkliche Antwort auf die Frage ‚Sind wir sicher?‘ immer die gleiche sein – ein klares Nein“, sagt er.
5. Checkbox-Mentalität
CISOs konzentrieren sich oft darauf, Vorschriften und Requirements einzuhalten, anstatt die tatsächlichen Risiken für ihr Unternehmen zu bewerten und zu managen, urteilt Jeff Orr, Forschungsdirektor für digitale Technologie beim Beratungsunternehmen ISG.
Dieser Fokus könne zu einer „Checkbox-Mentalität“ führen, ergänzt Orr, bei der sich das Unternehmen zu stark auf Vorschriften konzentriert und darüber vernachlässigt, reale Bedrohungen zu bewerten und abzufangen. „Infolgedessen können Schwachstellen bestehen bleiben und zu Sicherheitsverletzungen und Datenverlusten führen, die durch einen strategischeren, risikobasierten Ansatz hätten verhindert werden können“, so der Berater.
Ein reaktiver Ansatz nach dem Motto „Alles oder nichts“ funktioniert laut Orr nicht nachhaltig. Er kann zu veralteten Sicherheitsrichtlinien und -kontrollen führen, die den aktuellen Bedrohungen nicht mehr gerecht werden.
6. Keine effektiven Metriken und Governance-Modelle
Erez Tadmor, Discipline CTO bei Tufin, rät CISOs, ihre Sicherheitstools mit starken, kontinuierlichen Mess- und Governance-Modellen zu unterlegen: „CISOs können die Sicherheitslage ihres Unternehmens erheblich verbessern, indem sie diese Frameworks priorisiert entwickeln und regelmäßig überprüfen“, erklärt Tadmor.
Effektive Mess- und Governance-Modelle helfen, die Sicherheitsrichtlinien konsistent mit den gesetzlichen Anforderungen, den Finest Practices der Branche und den spezifischen Anforderungen eines Unternehmens abgestimmt zu halten. „Eine klare und konstante Transparenz ermöglicht es den Groups, Fehlkonfigurationen in der Infrastruktur zu erkennen, bevor sie zu Sicherheitsverletzungen führen können“, stellt Tadmor fest. Ohne aussagekräftige Metriken und Governance werde es jedoch schwierig, den Erfolg von Sicherheitsinitiativen zu messen und aktuelle, effektive Richtlinien aufrechtzuerhalten.
7. Keinen Plan für betriebliche Ausfallsicherheit
Ein operativer Resilienz-Plan betrachtet das gesamte Ökosystem eines Unternehmens. Er zeigt auf, wie der Geschäftsbetrieb bei Störungen aufrechterhalten werden kann, sagt Jim Doggett, CISO bei Semperis. „Indem CISOs die operative Widerstandsfähigkeit in den Vordergrund stellen, können sie die Notwendigkeit des Schutzes vor kritischen Sicherheitsrisiken mit dem Enterprise Continuity Administration in Einklang bringen.“
Mit einer sorgfältigen Planung können Unternehmen bei einem Angriff Stillstände eindämmen, sich schneller erholen und die negativen Auswirkungen auf ihr Geschäft reduzieren, sagt Doggett: „Ohne einen Plan für betriebliche Ausfallsicherheit ist Ihr gesamtes Ökosystem, einschließlich Lieferanten, Partnern und Anbietern, gefährdet“.
Die Kehrseite der Medaille ist, dass die Bemühungen um betriebliche Ausfallsicherheit in der Regel scheitern, wenn ein Unternehmen intern nicht vernetzt ist. Doggett: „Als Führungskräfte ihres Unternehmens sind CISOs dafür verantwortlich, Sicherheitsinitiativen voranzutreiben, aber die operative Ausfallsicherheit erfordert eine unternehmensweite Beteiligung.“ Man könne das nicht einfach einer einzelnen Abteilung oder einem Crew überlassen – alle müssten mit anpacken. (jd)
Mit unseren Safety-Newslettern bleiben Sie immer auf dem Laufenden: Zur Bestellung