Wenn Sie ein CISO sind, der sich mit der Sicherheitsintegration auseinandersetzt – das ist der höfliche Ausdruck für «Wie bringe ich diese Masse von Dingen, die wir erworben haben, dazu, zusammenzuarbeiten, und wie stopfe ich die Löcher? – dann haben Sie wahrscheinlich von der Standardisierung in der Branche gehört und atmen erleichtert auf.
Von Kris Lovejoy, Global Practice Leaders für Cyber Resiliency, Kyndryl
Das Open Security Schema Framework (OCSF) – ein gemeinsamer Datenstandard für den Austausch von Cybersicherheitsinformationen, der im August von einem Branchenkonsortium führender Technologie- und Sicherheitsunternehmen ins Leben gerufen wurde – klingt wie die Lösung, auf die wir gewartet haben.
Und das wird es auch – wenn es anfängt zu liefern. Das Konsortium hat das richtige Ziel: eine bessere Kommunikation zwischen den Elementen der Sicherheitssuite zu ermöglichen – was wiederum dazu beitragen sollte, Lücken zwischen Anwendungen zu schließen und das gesamte System widerstandsfähiger und reaktionsfähiger zu machen.
Das Problem ist, dass sich die Standardisierung erst nach einiger Zeit auszahlen wird. Und in meinen Gesprächen mit CISOs höre ich immer wieder: Trotz der wirtschaftlichen Ungewissheit, sorgt die digitale Transformation weiterhin für einen starken und unmittelbaren Bedarf an Investitionen in Sicherheit und Ausfallsicherheit.
In Anbetracht des Monats für das Bewusstsein für Cybersicherheit und der Bedeutung dieses Themas sollten wir darüber diskutieren, was wir in der Zwischenzeit tun können. Meine Antwort: Das Haus aufräumen.
Der Kern des Problems ist nicht ein Mangel an Standards, sondern ein Zuviel an Dingen
Wir haben es mit einer vulkanisierten Struktur von Werkzeugen zu tun, die nicht miteinander verbunden sind. Wie ist das? Es ist nicht so, dass Sicherheitsexperten dies beabsichtigt hätten – und das ist ja auch der Punkt. Zunächst hilft es also zu verstehen, wie es zu dieser unübersichtlichen Situation gekommen ist.
Die Lösungen der meisten Unternehmen sind gerade deshalb unverbunden, weil wir als Sicherheitsexperten in den letzten Jahren einen Boom an Angeboten erlebt haben, die wir aber nicht so strategisch angegangen sind. In der alltäglichen Realität der Unternehmenssicherheit reagierte das Sicherheitsteam auf Krisen, erfüllte die Bedingungen jeder gesetzlichen Vorschrift oder Compliance-Anforderung – und tat dies, indem es in jeder Situation die günstigste, am engsten definierte Lösung erwarb. Oder sie bekamen die Lösung als Teil eines Pakets, und sie wurde vielleicht implementiert, vielleicht aber auch nicht. In jedem Fall ist der Sicherheitsstapel zu häufig das Ergebnis einer Reihe solcher Entscheidungen, die unter Druck und oft ohne Beteiligung des CISO getroffen wurden.
Aus diesen Gründen finden sich die Unternehmen heute in einem komplexen Flickenteppich von Tools wieder, die nicht miteinander verbunden, bzw. zu nischenhaft sind. Und es gibt einen drastischen Mangel an Mitarbeitern, die für die Nutzung dieser Tools geschult sind. Das ist das Sicherheitsäquivalent zu einem Haus, das mit schönen Geräten die wir gekauft haben vollgestopft ist, und die sich nun stapeln. Brauchen wir wirklich den Cuisinart, den wir nie benutzen? Andererseits, scheinen wir keinen kompletten Messersatz zu haben.
Die Küchenmetapher verharmlost das Problem, aber die Folgen sind ernst – Löcher und blinde Flecken stellen eine echte, unmittelbare Bedrohung für das Herzstück unserer Unternehmen dar. Führungspersönlichkeiten sind sich des Problems nur allzu bewusst und erkennen ihre Verantwortung auf Vorstandsebene an. Laut einer Gartner-Umfrage, sehen achtundachtzig Prozent der Vorstände die Cybersicherheit inzwischen eher als Geschäftsrisiko denn als Technologierisiko. Mit anderen Worten: Ad-hoc-Lösungen haben ein strategisches Problem geschaffen.
Die Standardisierung ist die langfristige Lösung. Die OCSF ist ein Grund zum Feiern. Sie bestätigt das Problem und stellt die Weichen für eine bessere Interoperabilität, bessere Kontrolle und weniger Lücken.
Aber in der Gegenwart haben wir immer noch ein mit Geräten vollgestopftes Haus. Wir müssen es entrümpeln.
Sicherheit auf eine solide Basis stellen, rationalisieren, optimieren – und die Spreu vom Weizen trennen
Jetzt ist es an der Zeit, einen kritischen Blick nach innen zu werfen, unsere Gewohnheiten beim Kauf von Sicherheitslösungen zu bewerten und sie nachdrücklich zu ändern. Das bedeutet, dass wir unser derzeitiges Sicherheitspaket überprüfen, Lücken und Redundanzen identifizieren und dann einen Plan für die Zukunft erstellen, der den Vorsatz enthält, nicht mehr so viel oder so taktisch zu kaufen, sowie eine Reihe methodischer Schritte zur Kurskorrektur.
Und während wir die wirtschaftliche Ungewissheit rund um den Globus im Auge behalten – ich weiß, dass viele von uns das schon einmal erlebt haben – können wir diese Zeit nutzen, um den nötigen Spielraum für die Analyse und die Durchführung dieser Verbesserungen zu finden. Wir müssen unsere verbleibenden Instrumente integrieren und strategische Ergebnisse ermitteln, die mit dem Wachstumsplan des Unternehmens verknüpft sind.
Wenn die Sicherheitssuite rationalisiert und gestärkt ist, werden wir in einer wesentlich besseren Position sein, wenn die Normen Gestalt annehmen.
Die Zukunft ist eine Zeit zunehmender Bedrohungen. Begegnen Sie sie mit einem optimierten Arbeitsstapel
Für Teammitglieder, die den Wert der Bemühungen in Frage stellen könnten, liegt die Antwort darin, was auf dem Spiel steht. Das derzeitige chaotische, improvisierte Durcheinander von Sicherheitslösungen stellt ein Risiko für Unternehmen dar. Geopolitische Spannungen und das daraus resultierende Auftauchen böswilliger staatlicher Akteure erhöhen das Risiko zusätzlich. Es geht wirklich um das Überleben des Unternehmens.
Mein Rat ist also: Warten Sie nicht auf die Standardisierung. Handeln Sie jetzt. Arbeiten Sie hart – und arbeiten Sie intelligent – um Ihr Sicherheitshaus in Ordnung zu bringen. So sind Sie bereit, die Vorteile der Standardisierung zu nutzen und sicherzustellen, dass Ihr Unternehmen gut geschützt ist, wenn die Bedrohungen kommen. (Kyndryl/mc/hfu)