Plötzlich ist alles anders. Dass von einem Tag auf den anderen ein Großteil der Belegschaft aus dem Homeoffice arbeitet, war in den meisten Unternehmen bestenfalls ein tollkühnes Gedankenexperiment. Nun ist dieses “Gedankenexperiment” in vielen Unternehmen Praxis und Security-Verantwortliche müssen verschiedenste Herausforderungen bewältigen. Die Experten von Proservia haben die wichtigsten Fragen in einem unterhaltsamen Factsheet zusammengefasst – erkennen Sie sich wieder?
Im trojanischen Krieg wurden die Warnungen der Kassandra nicht ernstgenommen, damit war der Untergang der stolzen Stadt Troja bald besiegelt. Sicherheitsverantwortliche sollten diese Lektion ernstnehmen und nicht immer nur düstere Schreckensbilder an die Wand malen. Niemand mag Kassandrarufe, schon gar nicht solche, die nur Eingeweihte verstehen. Vorstände sehen sich damit oft überfordert und hören gerne weg, wenn eine Sache, die sie ohnehin nur schwer begreifen, zunächst ausschließlich Kosten zu verursachen scheint.
Was haben Security und Hygieneartikel gemeinsam?
Dabei ist Sicherheit eigentlich eine positive Sache, so wie Hygieneartikel. Oft stehen sie ganz hinten auf der Einkaufsliste, aber für die meisten Menschen sind die unverzichtbar, und sei es nur das Shampoo, Duschgel und das Toilettenpapier, von Deo und anderen Düften, Schminke für Frauen und Bartpflegemitteln für Männer ganz zu schweigen. Denn mit einem angenehmen Äußeren verkaufen wir uns im täglichen Miteinander, auf der Arbeit und im privaten Umfeld. Gleichermaßen sollten auch Sie als IT-Sicherheitsbeauftragter oder CISO den Verkäufer in sich entdecken und die vielen Vorteile einer konsequenten IT-Security hervorkehren.
Für Eilige: Hier geht es direkt zum Factsheet – jetzt downloaden!
Malen Sie auch nicht immer gleich den Teufel von Drohkulissen wie Trojaner, Ransomware und Denial of Service an die Wand. Die sind für viele ohnehin nur Fremdworte. Stattdessen tun Sie gut daran, Ihren Aufgabenbereich der IT-Security so wie beim Auto als Schmieröl für den Erfolg des ganzen Unternehmens zu vermarkten. Damit bringen Sie die Geschäftsleitung oder Ihre Vorstandskollegen eher dazu, Ihnen Gehör und der IT-Sicherheit mehr Aufmerksamkeit zu schenken. Die Vorteile der IT-Security sind natürlich das beruhigende Gefühl, gegen alle Gefahren gewappnet zu sein. Nichts ist für ein Unternehmen schlimmer als eine Ausfallzeit in der Produktion, im Online-Shop oder im Customer Relationship Management. Denn zu dem wirtschaftlichen Schaden kommt meist auch der Imageverlust. Aber IT-Security ist noch mehr als Vorbeugen und Abwehr aller Gefahren von innen wie von außen. Mit den richtigen Mitteln und strategischem, unternehmerischen Denken kann IT-Security auch zum echten Business Enabler werden und helfen, veraltete Prozesse zu modernisieren.
Digitale Transformation sticht IT-Security
Hier sind Sie als CISO gefordert und sollten Sie gemäß der „Strategic Planning and Budget Essentials“ des US-Marktforschungsinstituts Gartner Ihrem Verantwortungsbereich im Unternehmen auch mehr Gewicht verleihen. In vielen Organisationen berichtet der CISO oder Sicherheitsverantwortliche an den CIO. Doch der ist oft zu sehr damit beschäftigt, die Digitale Transformation und andere Innovation voranzutreiben und diese gegenüber der Geschäftsführung zu vermarkten. Die IT-Sicherheit kommt dabei in den Reports oft etwas kurz. Umso wichtiger ist daher, dass der CISO „den Draht nach oben“ findet oder mit dem CIO so harmoniert, dass die IT-Security das nötige Gewicht im Unternehmen erhält und alle Abteilungen durchdringt. Viele sehen den Security-Verantwortlichen nur als Mahner in der Wüste und flüchten sich dann doch in die Schatten-IT oder gehen allzu leicht Spam und ähnlichen Hackerangriffen auf den Leim. Dabei muss jedem im Unternehmen – angefangen von den Führungskräften – klar gemacht werden, dass eine konsequente IT-Security für eine nahtlose Business Continuity sorgt. Mehr noch ebnet eine Software-gestützte IT-Security-Lösung wie die von Trend Micro auch den Weg in die Digitalisierung.
Testen Sie den Reifegrad Ihrer IT mit einem unterhaltsamen Factsheet für CISOs – direkt zum Download!
Große Unternehmen sind diesbezüglich meist schon weiter und gehören laut PricewaterhouseCoopers (PwC) zu den Vorreitern in Sachen Digitalisierung und IT-Security. 65 Prozent der Vorreiter sind einer Digital Trust Insights genannten PwC-Umfrage zufolge überzeugt, dass ihr Cybersicherheitsteam in das Geschäft und die Geschäftsstrategien des Unternehmens eingebettet ist, 77 Prozent, dass ihr Cybersicherheitsteam ausreichend mit den Führungskräften zusammenarbeitet, um ein Verständnis für die Risikobereitschaft des Unternehmens zu entwickeln, berichtet Security Insider. Kleine Unternehmen hingegen tun sich oft noch etwas schwer damit, werden aber mit den richtigen Argumenten und Kennzahlen konfrontiert, auch auf den Zug springen.
Mit den richtigen KPIs bei der Geschäftsführung punkten
Security-Metriken sind bei den CISOs dem Artikel zufolge gleichermaßen beliebt und gehasst. Dabei komme es aber darauf an, die richtigen Metriken oder Kennzahlen (KPIs) ins Feld zu werfen, um in den Chefetagen für mehr Anstrengungen und Budget für IT-Security zu werben. Das Risiko der Betriebsunterbrechung durch Ransomware und dergleichen sind schlagende Argumente. Aber ebenso wichtig kann es auch sein, nicht nur Schwachstellen ausfindig zu machen, sondern auch zu belegen, in wie kurzer Zeit sich so eine Lücke schließen lässt. Dabei kommt die First-Time-Fix-Rate ins Spiel, die jenseits der üblichen Kennzahlen wie Scan Rate, Flaw Density (Fehlerdichte) und der neuerdings im DSGVO-Strom viel beachteten Compliance oft noch zu wenig beachtet wird.
Man darf es Ihrem Unternehmen nicht wünschen, aber das beste Argument für die IT-Sicherheit und Sie als CISO ist ein Angriff oder eine andere Gefahrenquelle, die Sie rechtzeitig gebannt haben. Dabei wissen viele Unternehmen gar nicht, welche Hard- und Software bei ihnen im Einsatz sind und welche potenziellen Gefahren dabei lauern. Daher sollten Sie zusammen mit der IT-Abteilung eine Bestandaufnahme machen, um mögliche Schwachstellen zu erkennen und zu beseitigen.
Moderne IT-Sicherheitssoftware kann darüber hinaus auch helfen unnötig hohe Kostenblöcke in der IT zu identifizieren. Das ist oft sogar das bessere Argument gegenüber der Geschäftsführung als der Aufbau von Drohkulissen und verleiht Ihnen als CISO möglicherweise mehr Gewicht im Unternehmen.
Wenn Sie wissen wollen, wie es mit dem Reifegrad Ihrer IT und Ihrem eigenen als CISO aussieht und wo Sie ansetzen können, um noch besser zu werden, laden Sie sich folgende Factsheet herunter. Sie erhalten wertvolle Tipps, wie Sie sich im Unternehmen noch besser positionieren können.
Quelle Titelbild: unsplash
[plista]