Wie stark ist Ihr Sicherheitsprogramm? Diese zehn Indikatoren werden Ihnen helfen, die Qualität der Sicherheit in Ihrem eigenen Unternehmen zu erkennen, und als Leitfaden dafür dienen, wonach Sie bei einem Partner Ausschau halten sollten. [...]
CISOs haben mehrere Möglichkeiten, ihre Arbeit zu quantifizieren, von der Zählung der Anzahl der vereitelten Bedrohungen bis zur Anzahl der durchgeführten Patches. Einige dieser Metriken beziehen sich auf den Umfang der geleisteten Arbeit, während andere – wie z.B. die mittlere Erkennungszeit und die mittlere Reaktionszeit – Einblicke in die Effektivität der Mitarbeiter, Prozesse und Technologie der Abteilung gewähren.
Obwohl es wichtig ist, geben einige Sicherheitsexperten an, dass sie sich anderen Indikatoren zuwenden, um die Gesamtstärke ihrer Cybersicherheitsabteilung zu bestimmen. Sie gehen über eine einzelne Momentaufnahme der Leistung des Sicherheitsteams in einem bestimmten Bereich hinaus und sprechen stattdessen von der Gesamtleistung innerhalb des Unternehmens.
Im Folgenden teilen CISOs und Sicherheitsberater, was sie als Zeichen für ein gutes Cybersicherheitsprogramm betrachten würden.
Unaufgefordertes Lob
Die alteingesessene Sicherheitsbeauftragte Mary Gardner betrachtet unaufgefordertes Lob für sicherheitsrelevante Projekte, insbesondere für solche, die anfänglich auf Widerstand stießen, als aufrichtige Anerkennung dafür, dass das Unternehmen die Bemühungen der Sicherheitsabteilung schätzt.
Gardner, jetzt CISO bei F5 Networks, hatte eine Multifaktor-Authentifizierungsinitiative bei einer Gesundheitsorganisation geleitet, bei der sich Kliniker zunächst gegen die Sicherheitsmaßnahme sträubten, weil sie befürchteten, sie würde den Zugriff auf Anwendungen verlangsamen. Sie und ihr Sicherheitsteam trafen sich jedoch mit den Mitarbeitern und versicherten ihnen, dass die Initiative ihren Nutzen haben würde. Wichtiger ist, dass die neue Sicherheitsmaßnahme genau dies tat. Und als die Kliniker erkannten, dass die Multi-Faktor-Authentifizierung sogar eine noch schnellere Anmeldung ermöglichte als der vorherige Prozess und ihnen den mobilen Zugriff auf mehr Anwendungen erlaubte, gaben sie freiwillig ihr Lob ab. „Ich bevorzuge dieses spontane Feedback, denn das bedeutet, dass wir etwas so gut gemacht haben, dass sie das Bedürfnis hatten, dazu Stellung zu nehmen“, erklärt Gardner.
Hilfe bei der Deckung der Sicherheitskosten
Das Budget des Sicherheitsteams deckt einen Großteil der Sicherheitsausgaben ab, insbesondere für Kernstücke wie die Firewall und die Antiviren-Software. Aber Sicherheitsteams befürworten oft zusätzliche Investitionen, die an bestimmte Geschäftsinitiativen gebunden sind, nur um festzustellen, dass ihre Geschäftskollegen sich scheuen, diese zusätzlichen Sicherheitsebenen einzuführen – geschweige denn dafür zu bezahlen. John Pescatore, Direktor für aufkommende Sicherheitstrends beim SANS Institute, einer Schulungsorganisation für Cybersicherheit, sagt jedoch, er habe gesehen, wie Sicherheitsteams effektiv mit ihren Geschäftskollegen zusammenarbeiteten, um zu zeigen, wie Sicherheitsmaßnahmen ihre Ziele so weit voranbringen können, dass die Geschäftseinheit die Rechnung übernimmt.
Pescatore berichtet zum Beispiel, er habe erlebt, wie eine Marketingabteilung eine empfohlene Sicherheitslösung für soziale Medien finanzierte, und die DevOps-Teams die Kosten für das Hinzufügen von Sicherheitstools in den frühen Teil des Entwicklungsprozesses übernahmen, weil sie wussten, dass dies den Entwicklungszyklus verkürzen würde. „Wenn Sie sehen, wie Unternehmen solche Schritte vorwärts machen, ist das ein Zeichen für ein fortschrittliches Sicherheitsprogramm“, fügt er hinzu. „Ein Sicherheitsteam ist dann erfolgreich, wenn es gefragt ist und das Unternehmen bereit ist, für die Sicherheitsmaßnahmen zu bezahlen; das bedeutet, dass es den Nutzen erkennt.“
Nachweis von Effizienz
CISOs sind daran gewöhnt, Kennzahlen wie die mittlere Erkennungszeit zu ermitteln und zu präsentieren, um die Effektivität der Sicherheitsabteilung zu messen, aber laut Pescatore beginnen starke Sicherheitsprogramme auch damit, die Effizienz zu messen. Er betont, dass solche Messwerte denjenigen nachempfunden sind, die von CIOs verwendet werden, um die Effizienz des IT-Teams zu quantifizieren, wie z.B. die IT-Ausgaben als Prozentsatz der Einnahmen der Organisation.
„Gute CIOs mussten lernen, wie man das macht“, so Pescatore, der hinzufügt, dass er Maßnahmen zur Sicherheitsnutzung wie die SOC-Mitarbeiterzahl pro Knoten, die Sicherheitsmitarbeiterzahl als Prozentsatz der IT-Mitarbeiterzahl und die durchschnittliche Zeit zur Genehmigung einer sicherheitsbezogenen Anfrage als Maß für die Effizienz ansieht. „Der Schlüssel liegt darin, sowohl effektiver als auch effizienter zu werden“, erklärt er. Er meint, dass CISOs Verbesserungen bei solchen Maßnahmen als Zeichen dafür ansehen könnten, dass die Sicherheitsabteilung gute Arbeit leistet, um das Unternehmen so schnell wie nötig voranzubringen.
Ersuchen um Beratung
CISOs möchten als vertrauenswürdige Geschäftspartner angesehen werden, aber Gardner weiß, dass sie dieses Ziel erst erreicht hat, wenn ihre Kollegen sie oder ihre Teammitglieder um Rat fragen. Sie verweist auf einen Austausch mit einem ihrer früheren Arbeitgeber als typisches Beispiel: Die dortigen Entwickler waren durch den Anmeldemechanismus einer Anwendung, die sie entwickelten, beunruhigt und wandten sich an das Sicherheitsteam, um sich beraten zu lassen. „Wenn sie etwas sehen, das nicht in Ordnung ist, und sich an uns wenden, um uns danach zu fragen, bedeutet das, dass sie wissen, wer wir sind, und dass sie sich wohl dabei fühlen, zu uns zu kommen“, erklärt sie. „Sie haben Vertrauen in uns, und sie erwarten, dass wir ihnen helfen.“
Gute Beziehungen zu Vorstandsmitgliedern und anderen Führungskräften
In ähnlicher Weise sieht Gardner eine positive Beziehung zu Vorstandsmitgliedern und anderen Führungskräften als Indikator für ein starkes Sicherheitsprogramm. „Wenn Sie regelmäßig mit den Vorstands- und Aufsichtsratsmitgliedern und den Führungskräften sprechen, bedeutet das, dass Sie als vertrauenswürdiger Berater angesehen werden“, sagt sie.
Unter solchen Umständen tut der CISO mehr als die anderen nur zu informieren; der CISO bringt seine oder ihre Perspektiven ein, bietet Ratschläge an und hilft bei der Ausarbeitung einer Strategie. „Das gilt für jeden in meiner Organisation, nicht unbedingt nur für den CISO. Wenn die Führung weiß, wer mein Team ist, wenn sie das Team erkennt, dann weiß ich umso mehr, dass ich es unter Dach und Fach habe“, fügt Gardner hinzu.
Gute Ergebnisse bei Reifegradmessungen
Führende Sicherheitsexperten sagen, dass eine gute Bewertung im Vergleich zu bestehenden Sicherheitsrahmen, wie dem von NIST und dem ISO/IEC 27001 IS-Standard, ein Zeichen für etablierte, ausgereifte Programme ist. Caleb Sima stimmt dem zu. Sima, Vizepräsident für Sicherheit bei Databricks, entwickelte ein Reifegradmodell für seine Sicherheitsfunktion unter Verwendung von Industriestandards einschließlich der NIST-Matrix. Er baute ein Raster auf, um festzustellen, wie ausgereift das Sicherheitsprogramm seines Unternehmens ist, und um seine Verbesserungen im Laufe der Zeit zu verfolgen. „[Ich kann sagen:] ‚Hier sind wir, hier wollen wir in einem Jahr sein. So stellen wir fest, ob wir eine gute Sicherheitsstruktur haben und ob wir Fortschritte machen“, sagt er und bemerkt, dass es ihm hilft, nicht nur seinen Mitarbeitern, sondern auch den Führungskräften und anderen Mitarbeitern des Unternehmens zu zeigen, wie es um die Sicherheit bestellt ist. „Es ist ein sehr taktischer, technologieorientierter Ansatz“.
Berichte über positive Benutzererfahrungen
Laut Sima ist ein weiteres Kennzeichen für ein erfolgreiches Sicherheitsprogramm, wie gut es die Erwartungen der Benutzer erfüllt und ob es eine positive Benutzererfahrung bietet. Er befragt die Mitarbeiter des Unternehmens, um festzustellen, ob sein Sicherheitsteam gute Arbeit leistet, wobei er drei Umfragen für drei verschiedene Benutzergruppen (Produktingenieure, IT und den Rest der Belegschaft) durchführt. „Wenn wir unser Programm reifen lassen und gleichzeitig das richtige Beziehungsfeedback haben, dann sind das gute Indikatoren für ein gutes Programm“, sagt er.
Zustimmung von Drittanbietern
Der Stempel der Zustimmung von externen Agenturen bleibt ein wichtiger Maßstab für den Erfolg, so Matthew Ferrante, Practice Leader für Cyber- und Informationssicherheitsdienste bei Withum, einem Anbieter von technischen Dienstleistungen. „Sie brauchen eine wirklich unabhängige Prüfung mit einer Drittfirma, und diese Firma muss angemessen ausgewählt werden“, sagt er und fügt hinzu, dass der CISO diejenigen meiden sollte, die „freundliche Ergebnisse“ liefern, und stattdessen nur diejenigen wählen sollte, die eine strenge Prüfung der Sicherheitsrichtlinien, Prozesse, Verfahren und Technologien anbieten.
„Die Einholung der Ansicht eines Dritten hilft zu zeigen, dass Ihre Sicherheit richtig ausgerichtet ist und dass sie korrekt funktioniert“, sagt er. In ähnlicher Weise bemüht sich Bruce Beam, CIO bei der Sicherheitsorganisation (ISC)2, um bestimmte Zertifizierungen wie den PCI DDS, die darauf hinweisen, dass ein Dritter die Arbeit des Sicherheitsteams überprüft und genehmigt hat. Er sucht diese Zertifizierungen auch in den Unternehmen, mit denen er geschäftlich zu tun hat, bevor er ihnen erlaubt, sich mit dem Netzwerk seiner Organisation zu verbinden.
Ein positiver ROI
Michael Coden, Geschäftsführer und globaler Leiter der Cybersicherheitspraxis bei BCG Platinion, Teil der Boston Consulting Group, erklärt, dass Sicherheitsteams, die eine positive Kapitalrendite messen und nachweisen können, ein starkes Unternehmensprogramm vorweisen können. Seiner Meinung nach sollte ein Unternehmen sein Risiko um einen höheren Betrag verringern als den Betrag, den es in Sicherheitstechnologien, Prozesse, Verfahren und Schulungen investiert. „Wenn wir also 10 Millionen Dollar für die Implementierung der Multifaktor-Authentifizierung oder die Implementierung eines neuen Schulungsprogramms ausgeben und unser Risiko um 1 Milliarde Dollar verringert wird, ist das eine ziemlich gute Kapitalrendite“, meint er und erklärt, dass seine Firma ein automatisiertes Tool namens Cyber Doppler zur Quantifizierung des Risikos verwendet, das dann zur Berechnung der Kapitalrendite verwendet werden kann.
Eine allgegenwärtige Sicherheitsauffassung
Einmal, als er das Sicherheitsteam eines früheren Arbeitgebers leitete, wollte Beam mehrere Mitarbeiter für ihre großartige Arbeit belohnen. Er schickte jedem von ihnen eine elektronische Geschenkkarte im Wert von 50 Dollar. Aber die Mitarbeiter weigerten sich, auf den Link zu klicken, da sie dachten, es handele sich um einen Phishing-Versuch. In gewisser Weise, so Beam, sollte er von ihrer Reaktion nicht überrascht sein, da sie zeigt, dass das Unternehmen eine starke Sicherheitskultur pflegt. Dies sei genau das, was er sich wünsche: Sicherheit, die fest in die Unternehmenskultur eingewoben ist, so dass die Mitarbeiter in allen Abteilungen eine Sicherheitsdenkweise teilen, die an erster Stelle steht.
*Mary K. Pratt ist freiberufliche Journalistin mit Sitz in Massachusetts.
Be the first to comment