Studien zeigen, dass die meisten CISOs glauben, dass sie eine Lücke in den Sicherheitsmaßnahmen haben, aber ein tieferes Eintauchen in die Thematik offenbart eine viel komplexere Dynamik. [...]
CISOs befürchten eine mögliche Sicherheitslücke in den Tools, die sie zum Schutz ihres Unternehmens benötigen, und den Tools, die sie tatsächlich verwenden.
Eine 2020 durchgeführte Umfrage bei über 300 Sicherheitsexperten des Sicherheitssoftware-Herstellers LogRhythm ergab, dass 93% der Befragten der Meinung waren, es fehle ihnen an den notwendigen Tools, um bekannte Bedrohungen zu erkennen, und 92% gaben an, es fehle ihnen an geeigneten präventiven Lösungen, um Sicherheitslücken zu schließen.
Ein im Jahr 2019 veröffentlichter Bericht von AttackIQ und dem Ponemon Institute deckte ähnliche Bedenken über Sicherheitstools im Unternehmen auf: 53% der 577 befragten IT- und IT-Sicherheitsexperten gaben an, sie wüssten nicht, wie gut ihre Sicherheitstools funktionieren, und mehr als die Hälfte gab an, dass sie nicht den vollen Nutzen aus ihren Sicherheitsinvestitionen ziehen.
Diese Statistiken erzählen jedoch nicht die ganze Geschichte, wie mehrere Sicherheitsexperten sagten. Sie stimmen zu, dass einigen CISOs in der Tat ausreichend Tools fehlen könnten, um ihre Unternehmen adäquat abzusichern, aber sie betonen, dass es in Wirklichkeit nicht darum geht, zu wenige Technologien zu haben, um diese Aufgabe zu erfüllen. Vielmehr sagen sie, dass solche Erhebungen tatsächlich auf ein größeres, komplexeres Problem hindeuten, bei dem CISOs vor einer Sicherheitslücke stehen, weil sie über die falschen Tools für das Risikoprofil ihres eigenen Unternehmens und dessen Risikobereitschaft verfügen.
Finden Sie Ihre Lücke
„Wir haben sicherlich genug Tools, um die Arbeit zu machen; wir haben eine Menge Tools. Die Frage ist also nicht, ob wir genügend Werkzeuge haben, sondern ob sie richtig konfiguriert sind. Und werden sie von klugen Augen überwacht, die aus den unzähligen Datenpunkten etwas herauslesen können? Das ist viel wichtiger als die Anzahl der Tools“, meint Curt Dalton, Geschäftsführer und globaler Leiter der Sicherheits- und Datenschutzpraxis bei der Management-Beratungsfirma Protiviti.
Dalton zufolge verfügen einige Sicherheitsteams über eine Vielzahl von Tools, die die gleiche Aufgabe erfüllen, während andere über Technologien verfügen, die sie nie implementiert haben. Manche Teams verfügen über Sicherheitsprodukte, die sie zwar implementiert haben, für deren Anwendung sie ihre Mitarbeiter aber nie geschult haben. Diese Szenarien, fügt er hinzu, sind viel wahrscheinlicher als – noch genauso schädlich – eines, in dem das Sicherheitsteam nicht genügend Technologie zur Verfügung hat.
Aber Dalton und andere weisen darauf hin, dass die CISOs in diesen Unternehmen möglicherweise ihre Sicherheitstools bewerten und zu dem Schluss kommen, dass es ihnen an Technologien mangelt, was zu Berichten über eine Lücke in den Sicherheitstools führt. Und, so sagen Experten, diese CISOs hätten in vielen Fällen Recht, Bedenken zu äußern, weil sie letztlich mit Tools arbeiten, die nicht ihren Bedürfnissen entsprechen, und so eine Sicherheitslücke schaffen.
„Insofern gibt es in der Tat eine Lücke bei den Tools“, fügt Kory Patrick, Leiter der Risiko- und Sicherheitspraxis beim IT-Service-Management-Unternehmen TEKsystems, hinzu. „Aber es ist nicht immer eine Lücke in der Verfügbarkeit der Tools, es ist oft eine Lücke in der Strategie. Es gibt einige Unternehmen, denen es ernsthaft an den richtigen Tools mangelt, aber häufiger ist es so, dass sie nicht über die richtige Strategie verfügen; es geht darum, zu verstehen, was Sie brauchen und was Sie haben, und es auf Ihre Strategie abzustimmen und seinen Wert zu maximieren.
Aus dem Gleichgewicht geraten
Nach Ansicht von Forscher/innen und Managementberater/innen enden CISOs aus einem oder mehreren typischen Gründen mit der falschen Sammlung an Tools.
Einige Sicherheitsabteilungen konfigurieren Lösungen nicht richtig oder investieren nicht in die richtige Ausbildung des Personals, um die eingesetzten Lösungen optimal zu nutzen.
Denken Sie an die Geschichte, die von der Cybersicherheitsberaterin und vCISO Gina Yacone erzählt wird. Sie arbeitete mit einem Unternehmen zusammen, das eine Lösung für das Management von Sicherheitsvorfällen und Ereignissen (SIEM) einführte, diese aber nur mit Protokollen aus einer begrenzten Anzahl von Quellen fütterte, wodurch die Wirksamkeit des Tools eingeschränkt wurde und das Team zu der Annahme veranlasste, dass es für seine Bedürfnisse nur unzureichende Tools zur Verfügung hatte.
Yacone arbeitete auch mit einem Unternehmen zusammen, das in eine Technologie mit mehreren Funktionen, einschließlich einer Antivirus-Funktion, investierte, sich aber für einen separaten Virenschutz entschied, weil ein Mitarbeiter lieber den älteren eigenständigen Virenschutz verwendete. „Der Betrieb beider [Antivirus-Funktionen] verursachte mehr Lärm, kostete mehr Geld und beanspruchte mehr Ressourcen“, erklärt Yacone, ein Mitglied von Women in Cybersecurity (WiCyS).
Inzwischen wissen manche CISOs nicht, was sie haben (was wiederum durch verschiedene Faktoren verursacht wird). Patrick erzählt, er habe mit einem Kunden-CISO gearbeitet, der herausfand, dass sein Unternehmen 500.000 Benutzerlizenzen für ein Sicherheitstool besaß, das seit zwei Jahren unbenutzt war.
Sicherheit endet mit den falschen Tools, weil CISOs und ihre Teams manchmal immer noch von dem Versprechen von etwas Neuem und Glänzendem verführt werden.
„Viele dieser Technologien sind das Ergebnis von: ‚Lasst uns etwas beschaffen, das uns hilft, X, Y und Z zu erfüllen‘, erklärt Sam Olyaei, ein Direktor bei Gartner Research, wo er Teil der Gruppe für Risiko- und Sicherheitsmanagement ist.
Und oft enden CISOs mit den falschen und/oder unzureichenden Tools, sagt Olyaei, weil sie nicht strategisch genug sind; sie entwerfen nicht erst eine Strategie und wählen dann die Tools – sowie die Personen und Prozesse – aus, die sie unterstützen.
„Viele CISOs greifen auf Tools und Technologien zurück, um ein Problem zu lösen, während sie in Wirklichkeit eine zusätzliche Person einstellen müssen, um das Problem zu lösen, oder einen bestimmten Prozess ausreifen müssen, um das Problem zu lösen“, erklärt Olyaei.
Er fügt hinzu: „Ich möchte auch klarstellen: Ohne Technologie kommt man nirgendwo hin; Technologie ist notwendig. Aber man braucht die richtige Balance. Es kommt alles darauf an, dafür zu sorgen, dass die Menschen, der Prozess und die Technologie richtig zusammenwirken“.
Überprüfen und überarbeiten
Sushila Nair, CISO von NTT DATA Services, berichtet, dass auch sie gesehen habe, wie Sicherheitsteams Tools akkumulierten, die nicht ganz den Bedürfnissen des Unternehmens entsprachen – entweder waren die Tools nie ganz auf das Unternehmensrisiko abgestimmt oder weil sie es einmal taten, aber nicht mehr tun. Die Sicherheitsteams halten jedoch oft an all diesen Tools fest, was Ressourcen für Investitionen in die Entwicklung und Umsetzung einer Strategie verschwendet, die darauf beruht, die richtige Anzahl der richtigen Tools mit entsprechend geschultem Personal zu haben.
Darüber hinaus erklärt Nair, dass sie sich, wie alle CISOs, dazu verpflichten müsse, ihre Tools regelmäßig zu überprüfen und zu überarbeiten, wenn neue Optionen auf den Markt kommen und wenn sich die organisatorischen Risiken ändern.
Nair zufolge sei ihr Unternehmen, wie so viele andere auch, aufgrund der COVID-19-Pandemie zu mehr virtueller Arbeit und digitalem Engagement übergegangen und habe daher eine entsprechende Veränderung in seiner Risikolandschaft gesehen. Nair führt aus, dass der Wandel sie dazu veranlasste, ihre Sicherheitstools neu zu bewerten, um festzustellen, welche nach wie vor dem neuen Risikoprofil des Unternehmens entsprachen, welche in den Ruhestand gehen sollten und welche neuen Instrumente erforderlich waren, um die neuen Bedürfnisse zu erfüllen.
„Mit der Pandemie verfügen wir alle über eine andere Risikolandschaft, und unsere Tools sollten auf unser Risiko abgestimmt sein, so dass Unternehmen ihre Toolsets anschauen und fragen müssen, ob sie noch mehr einkaufen müssen“, sagt Nair. „Theoretisch ist jede größere Veränderung ein Grund, diese Bewertung vorzunehmen; eine Veränderung, die eine Risikobewertung auslösen sollte.
Die Lücke schließen
Unabhängig davon, wie und warum es dazu kam, hat eine Lücke in den Tools erhebliche Auswirkungen auf die Unternehmenssicherheit. Sie schafft Ineffizienz und Ineffektivität. Sie treibt Kosten und Komplexität in die Höhe. Sie zieht Ressourcen von den fortschreitenden strategischen Zielen und ausgereiften Prozessen ab, die beide dazu beitragen, das Unternehmen besser zu sichern. Und sie schränkt Möglichkeiten ein, wie z.B. die Hinzufügung von Automatisierung zur Verbesserung der eigenen Sicherheitslage; wie Patrick hervorhebt, wird es für ein Sicherheitsteam, das seine Tools nicht gut beherrscht, schwierig sein zu wissen, welche davon gute Kandidaten für die Automatisierung sind.
Viele CISOs arbeiten jetzt daran, eine bessere Bestandsaufnahme zu machen, indem sie die ihnen zur Verfügung stehenden Tools bewerten, was zum Teil durch COVID-bezogene Veränderungen in ihrem Unternehmen veranlasst wurde, sagt Olyaei. Umfragen von Gartner zeigen, dass etwa 25 % der CISOs derzeit an der Konsolidierung von Tools und der Harmonisierung von Anbietern arbeiten, während etwa 60 % planen, diese Anstrengungen im Jahr 2021 zu unternehmen.
„Sie gehen die Tools durch und finden heraus, wo die Überschneidungen liegen und wo sie eingesetzt werden oder nicht“, berichtet er.
Sicherheitsbeauftragte bieten einige Ratschläge an, um jede Lücke zu schließen, die zwischen den derzeit eingesetzten Tools und denjenigen besteht, die tatsächlich benötigt werden, um das Unternehmen effektiv und effizient zu sichern:
Beginnen Sie mit einer Bewertung der vorhandenen Tools und ihrer Fähigkeiten, einschließlich der in Cloud-Technologien eingebetteten Sicherheitstools. „[Cloud-Anbieter] bauen einige sehr robuste Tools in ihren Umgebungen auf; sie stellen einen Mehrwert dar, der inbegriffen ist, und Unternehmen sollten sich darum bemühen, diese Tools wann immer möglich einzusetzen“, sagt Patrick.
Dann stellen Sie sicher, dass die Sicherheitsstrategie bestimmt, welche Tools und Technologien benötigt werden. „Wenn Sie ein ausgereiftes risikobasiertes Sicherheitsprogramm haben, lassen Sie es nicht von der Technologie bestimmen“, meint Olyaei. „Sie definieren das Risiko und die erforderlichen Kontrollen, und dann definieren Sie die Technologien, Prozesse und Talente, die Sie brauchen.“
* Mary K. Pratt ist freiberufliche Journalistin mit Sitz in Massachusetts.
Be the first to comment