Da die Sicherheit in digitalen Strategien wieder mehr an Bedeutung gewinnt, verteilen CISOs die Verantwortung für die Sicherheit im gesamten Unternehmen und arbeiten an der Umgestaltung der IT-Kultur. [...]
Vor zwei Jahren war die digitale Transformation in vollem Gange; neue Prozesse und die Produktentwicklung schritten in einem rasanten Tempo voran. Als die IT und das Unternehmen Initiativen wie agile und DevOps zur Verbesserung der Markteinführungsgeschwindigkeit vorantrieben, blieben Sicherheitsaspekte oft im Hintergrund. Damals prognostizierte Gartner, dass 60 % der digitalen Unternehmen bis zum Jahr 2020 größere Serviceausfälle erleiden würden, weil die Sicherheitsteams nicht in der Lage sind, digitale Risiken zu managen.
Hochgradige Sicherheitslücken folgten wie erwartet, obwohl es schwierig ist, festzustellen, ob digitale Projekte dafür die Hauptursache waren. „Unabhängig davon, ob stark publizierte Sicherheitslücken direkt mit der digitalen Transformation zusammenhingen, brachten sie die Verantwortlichen in der Wirtschaft dazu, wieder über Risiken und Lösungen zur Risikominimierung nachzudenken“, so Pete Lindstrom, Vice President of Security Research bei IDC.
Laut einer Marsh & McLennan-Umfrage unter 1.500 Führungskräften zählen heute 79 % der weltweiten Führungskräfte Cyber-Angriffe und -Bedrohungen zu den höchsten Prioritäten des Risikomanagements ihres Unternehmens im Jahr 2020. Insgesamt hat sich die Rolle der Sicherheit bei der digitalen Transformation sowohl in Bezug auf das Bewusstsein als auch auf die Beteiligung in früheren Phasen des Designprozesses verbessert, aber die CISOs kämpfen immer noch mit dem Überblick über die Breite der Projekte in ihren Ökosystemen.
Die Herausforderung der Sicherheit: Schritt halten
IT-Entscheider zählen nicht nur die Cybersicherheit zu ihren wichtigsten Überlegungen bei der digitalen Transformation, sondern sie ist auch ihre zweitgrößte Investitionspriorität (35%), die laut einer aktuellen Altimeter-Umfrage nur knapp unter der Cloud (37%) liegt. Investitionen in transformative Technologien können bedeutungslos sein, wenn sie das Unternehmen, seine Kunden oder andere wichtige Vermögenswerte nicht schützen können, und die Komplexität und Geschwindigkeit der Entwicklung stellt selbst die umfangreichsten Sicherheitsmaßnahmen weiterhin vor eine Herausforderung.
„Die Schlacht, die hier geführt wird, verläuft schneller als unser Entscheidungszyklus. Wenn Sie sich langsamer entwickeln, sind Sie aus der Sicht der Unternehmensführung irrelevant“, erklärt Dr. Abel Sanchez, geschäftsführender Direktor und Forschungswissenschaftler am Labor für Fertigung und Produktivität des Massachusetts Institute of Technology. Agilität, Flexibilität und schnelle Entscheidungsfindung sind sowohl in der Sicherheit als auch in der Entwicklung gefragt.
Beim globalen Energielieferanten Schneider Electric steht die Cybersicherheit im Mittelpunkt der Transformationsstrategie. Aufgrund komplexer Kombinationen von Akquisitionen und den vielen verschiedenen Aktivitäten des Unternehmens – von der Forschung und Entwicklung über die Lieferkette bis hin zu den Dienstleistungen – hat sich Christophe Blassiau, Global CISO, mit der Gewinnung von Visibilität im gesamten Unternehmen auseinandergesetzt. Die Integration von IT und operativer Technologie (OT) bringt auch neue Konnektivität, Datenquellen und potenzielle Schwachstellen mit sich, die geschützt werden müssen. Sein Team hat die Aufgabe, die Verbindung zwischen der Sicherheit des Unternehmens und seinem Ökosystem aus Partnern und Anbietern herzustellen.
„Wir hatten nicht überall die richtige Beteiligung oder Eignung, also begannen wir mit der Gestaltung und Organisation der neuen, unternehmensweit eingerichteten Governance“, sagt Blassiau. „Ich wollte keine größeren Teams aufbauen, weil man damit den Eindruck vermittelt, dass jemand anderes die Sache schon in Ordnung bringt. Hier ist jeder für die Sicherheit verantwortlich.“
Stattdessen verfolgte Schneider einen dualen Ansatz im Bereich Cybersecurity, indem er eine digitale Cybersicherheitspraxis entwickelte und Cyberprofis (digitale Risikomanager und regionale CISOs) in jede Praxis und in das gesamte Unternehmen einbettete, um eine Gemeinschaft von Führungskräften im Cyberbereich zu schaffen, die geschult und auf spezifische Cyberrisiken ausgerichtet sind. Der Wechsel gab Blassiau „ein Gefühl der Kontrolle im digitalen Raum“. Es gibt einen Verantwortlichen im digitalen Raum, der jedem Leiter einer digitalen Praxis untersteht und mir Bericht erstattet“, erklärt er.
Auch Sicherheitsteams müssen sich verändern
Die Herausforderung der Sicherheitsteams bleibt, wie sie die Sicherheit mit der Geschwindigkeit der digitalen Transformation steigern und sicherstellen können, dass sich die Sicherheit auf jeden neu entwickelten internen digitalen Prozess und jedes neu entwickelte externe Produkt oder jede neu geschaffene Internetmöglichkeit erstreckt. Ein Großteil der Lösung hängt von der Kultur der IT- und Sicherheitsabteilungen ab, wie Sanchez erklärt. „Sicherheitsteams müssen auch eine Transformation durchmachen.“ Es ist nicht einfach, warnt er, und viele Arbeiter müssen bereit sein, neue Fähigkeiten zu erlernen, um mit der Unternehmensorganisation interagieren zu können.
Ein Teil davon kann durch Reorganisation erreicht werden, meint Sanchez. So verschwinden zum Beispiel in vielen Fällen die Tester, und das Testen wird jetzt von Software-Ingenieuren durchgeführt. „Wer weiß besser, wie man dieses Projekt sichert, als derjenige, der es erstellt hat?“ Das gleiche könne man auch in anderen Entwicklungsbereichen tun, fügt er hinzu.
„Vielleicht brauchen Sie auch andere Talente, oder das Talent, das Sie besitzen, muss sich ändern. Vielleicht verlieren Sie einen Haufen Leute, aber sie müssen nun mal passen. Man braucht diese Art von Person, die die Innovation durchführen und umsetzen kann“, sagt Sanchez. „Die Welt bewegt sich einfach zu schnell.“
Die gute Nachricht ist, dass die Sicherheitsteams als Ganzes immer zugänglicher und somit Teil des Geschäfts werden, was wiederum zu besseren Verbindungen führt, sagt Matt Handler, CEO von Security for the Americas bei NTT, einem großen globalen Beratungs- und Managed Security Services-Anbieter, der digitale Transformationsservices anbietet.
„Die Sicherheitsteams lernen, dass sie nicht ständig nein sagen können. Sie müssen agil und flexibel sein und als Befähiger statt als Blockierer gesehen werden“, erklärt Handler. „Das ist erst im letzten Jahr so entstanden.“
Auch der CISO muss sich weiterentwickeln und die Rolle eines internen Beraters und Mitarbeiters der Abteilungen übernehmen, die die Anwendungen oder neuen Technologien implementieren, fügt Handler hinzu. „Statt nein, sagen wir ‚lasst uns mal sehen, wie wir das so schnell und sicher wie möglich umsetzen können‘. Dieser Satz allein, denke ich, macht für den CISO schon einen Unterschied.“
Sicherheit festigen
CISOs werben seit Jahren damit, dass die Sicherheit bereits am Anfang des Designprozesses eingefügt werden muss. Jetzt ist dies dank flinken und dynamischen Komponenten leichter zu erreichen. „Insbesondere mit der Cloud“ und den eingebauten Sicherheitsfunktionen, die genutzt werden können, können wir experimentieren, um mögliche Risiken zu vermeiden“, so Lindström, „und wir arbeiten uns immer weiter nach oben – weg von der Netzwerk- und Host-basierten Sicherheit – hin zur Anwendungssicherheit, zur Sicherheit der Datenschichten und zu Identitätsfragen.
Darüber hinaus prognostizieren Investoren, dass Cybersicherheitsunternehmen, die maschinelles Lernen einsetzen, im Jahr 2020 wahrscheinlich herausstechen werden. Dies ist darauf zurückzuführen, dass sich die Anzahl der Nischenanbieter im Bereich der Cybersicherheit festigt, auch wenn sie sich in hohem Maße darauf konzentrieren werden, was genau ihre Technologie leisten kann. Unternehmen mit großen Pools von sicherheitsrelevanten Daten könnten Algorithmen, Analysen und maschinelles Lernen kombinieren, um Bedrohungen blitzschnell zu erkennen und darauf zu reagieren – fast so schnell, wie diese auftreten. Maschinen können nur so gut sein wie die Menschen, die sie bedienen – und nur so gut wie die Daten, die sie nach ihren eigenen Mustern verarbeiten – und das wird Zeit brauchen.
Aus der Perspektive eines CISOs: „Wenn Sie in der Lage sind, Sicherheit schnell zu gewährleisten und dem Unternehmen dabei zu helfen, seine Meilensteine und Ziele zu erreichen, und Sicherheit dabei von Anfang an in den Prozess eingebunden ist, dann ist das ein Homerun. Aber das ist eindeutig ein zukünftiger Stand“, meint Handler.
Sind wir schon da?
Wenn es um die Cybersicherheit bei digitalen Transformationen geht, sind laut Sanchez mehr Unternehmen „jenseits der Mitte“. Sie haben den Prozess der Automatisierung durchlaufen und beginnen, sich mit der KI und der vorausschauenden Modellierung zu beschäftigen.
„Wir sind auf dem richtigen Weg, aber das bedeutet nicht, dass es keine Kompromisse brauchen wird“, erklärt er. „Genauso wie die Softwareentwicklung auf nicht integriert war (vor der digitalen Transformation) und jetzt ist sie es, das gleiche gilt für die Sicherheit. All das muss jetzt zusammenkommen. Das braucht einfach seine Zeit.“
*Stacy Collett ist Autorin bei Computerworld, CSO und Network World und deckt eine Vielzahl von Sicherheits- und Risikothemen ab.
Be the first to comment