Für die heutigen Herausforderungen in der Cyber-Sicherheit werden Experten benötigt, die wissen, was sie schützen und warum
Die Cyber-Sicherheitsbranche und ihre Experten sind traditionsgemäß technisch versiert und verlassen sich hochgradig auf Technologie-Tools und -Lösungen. Das funktionierte auch gut, solange sich das gesamte Unternehmen mit all seinen Daten und Mitarbeitern noch im sicheren Büro befand und das Unternehmensnetzwerk verwendet wurde. Risikobewertung und -abwägung waren nicht notwendig. Mit der digitalen Transformation vor 2020 geriet dieses Modell bereits ins Wanken, und jetzt ist es vor dem Hintergrund der COVID-19-Krise völlig überholt.
The Current and Future State of Cybersecurity
Report lesenCISOs in modernen Unternehmen können sich zum ersten Mal nicht mehr auf die strengen Kontrollen ihres Sicherheitsprogramms verlassen. Dadurch, dass Mitarbeiter nun massenhaft im Home-Office arbeiten, sind nicht verwaltete Sicherheitsrisiken entstanden. Gleichzeitig intensivieren Angreifer ihre bösartigen Aktivitäten – Phishing-Angriffe stiegen in der ersten Hälfte dieses Jahres um mehr als 667 %. Datenschutzverletzungen können Unternehmen heutzutage sehr teuer zu stehen kommen, im Durchschnitt belaufen sich die Kosten auf 3,92 Millionen US-Dollar. Die Höhe der Kosten hängt davon ab, wie schnell eine Datenschutzverletzung erkannt und behoben wird. Der Schaden kann sowohl hohe Strafen als auch Umsatzverluste sowie Verlust des Markenvertrauens und geistigen Eigentums umfassen und den Wettbewerbsvorteil eines Unternehmens auf Dauer beeinträchtigen.
Daher ist es wichtiger als je zuvor, dass die Mitarbeiter, die sich mit der Cyber-Sicherheit in Ihrem Unternehmen befassen und verstehen, wie Ihr Unternehmen funktioniert. Nur so wissen sie, wie sie es am besten schützen können. Die jüngste WSJ CEO/CISO-Umfrage von Forcepoint, Der C-Suite-Bericht: Die aktuelle und zukünftige Situation in der Cyber-Sicherheit, bekräftigt diesen Punkt: 63 % der führenden Cyber-Sicherheitsexperten geben an, dass CEOs und CISOs häufig nicht dieselbe Terminologie verwenden und es dadurch schwierig ist, die wichtigsten organisatorischen Prioritäten festzulegen, und 53 % sagen, dass dies auch technische Entscheidungen erschwert. Es ist bezeichnend, dass doppelt so viele führende Unternehmen angeben, dass der Aufsichtsrat die Wichtigkeit von Cyber-Sicherheit erkennt und sie zu einem zentralen Bestandteil der Geschäftsstrategie gemacht hat.
Als CISO von Comcast konnte ich selbst feststellen, welche Chancen sich bieten, wenn sich die Sicherheitsstrategie eher an den betriebswirtschaftlichen Aspekten orientiert. Daher habe ich eine neue Rolle geschaffen, den Business Information Security Officer (BISO). Die Sicherheitsexperten in diese Rolle bauten Beziehungen mit Geschäftsbereichsleitern auf, um die Ziele des Geschäftsbereichs besser zu verstehen und herauszufinden, was zum Erfolg notwendig und schutzbedürftig ist.
Unsere BISOs mussten sich nicht nur gut mit den neuesten Cyber-Sicherheitsbedrohungen und -technologien auskennen, sondern auch hervorragende Kommunikationsfähigkeiten und eine schnelle Auffassungsgabe haben. Wenn dies bei Antritt ihrer Rolle noch nicht der Fall war, konnten sie sich schnell mit den betriebswirtschaftlichen Grundsätzen und der Terminologie vertraut machen. Diesen Lernvorgang beschleunigte ich, indem ich sie mehrere Monate lang im entsprechenden Geschäftsbereich „stationierte“. Darüber hinaus bot ich Weiterbildungsmöglichkeiten an, um ihren Geschäftssinn zu schulen. Dies kam nicht nur dem Unternehmen zugute, sondern auch ihrer persönlichen Karriereentwicklung. Es öffnete ihnen die Augen für die geschäftlichen Anforderungen und Sichtweisen und machte sie insgesamt zu besser ausgebildeten Mitarbeitern und Führungskräften. Auch von der anderen Seite bieten sich Möglichkeiten: technisch versierte Mitarbeiter der Geschäftsbereiche können vorübergehend in der Sicherheitsabteilung mitarbeiten, um ihre Sichtweise und Kenntnisse zu erweitern. Dieser intensive Austausch auf allen Ebenen verbessert das gegenseitige Verständnis und macht der Sicherheitsabteilung deutlich, was auf dem Spiel steht.
Ich freue mich darauf, dieses Konzept weiterzuführen, um die betriebswirtschaftlichen Kompetenzen der Sicherheitsteams bei Forcepoint durch ähnliche funktionsübergreifende Einsätze auszubauen. Die erfolgreichsten Sicherheitsexperten, die ich kenne, haben in operativen Rollen gearbeitet. Beim Management ihrer Teams waren sie sehr auf die betriebswirtschaftliche Komponente und die Berücksichtigung der Geschäftsbilanz bedacht. Ich denke, es liegt daran, dass ihnen bewusst ist, warum wir das Unternehmen schützen müssen. Mit anderen Worten: Sie kennen das Geschäftsziel. Denn wenn man nicht weiß, was man aus betriebswirtschaftlicher Sicht schützen muss, kann man auch keine sinnvolle risikobasierte Analyse durchführen. Dieses Verständnis bildet die Grundlage für unsere Tätigkeit.
