Investition Cybersicherheit

Cybersicherheit sollte als strategische Investition betrachtet werden

Cybersicherheit sollte als strategische Investition betrachtet werden

Betriebswirtschaftliche Perspektive der IT-Security

Über die grundsätzliche Notwendigkeit von Cyber Security in Unternehmen besteht weitgehend Einigkeit, aber wenn es um konkrete Details geht herrscht oft Unklarheit. Wie können Unternehmen den Wert Ihrer Investition in Cybersicherheit messen? Wie spiegelt sich dieser Wert in der Art und Weise wieder, wie Cybersicherheit in ihre Führungsstruktur und Unternehmenskultur integriert wird? Diese kritischen Fragen beantwortet Palo Alto Networks auf der Grundlage aktueller Erfahrungen und Beobachtungen.

  1. Der Chief Financial Officer eines Unternehmens beschrieb seine Investition in Cyber Security als „sunk cost“. Seine Position war, dass das Unternehmen viel Geld für Cybersicherheit bezahlt hatte, aber „nichts vorzuweisen hatte“.
  2. Die Website Krebs on Security hat eine Analyse der Top 100 Unternehmen weltweit durchgeführt und festgestellt, dass nur fünf Prozent einen Chief Information Security Officer oder Chief Security Officer im Executive-Führungsteam des Unternehmens aufgeführt haben.

Während es sich auf den ersten Blick um zwei scheinbar unzusammenhängende Ereignisse handelt, sind sie nach Meinung von Palo Alto Networks dennoch eng miteinander verflochten. Wenn ein Unternehmen Cybersicherheit nicht als strategische Investition betrachtet, behandelt es die für Cybersicherheit verantwortlichen Personen nicht als Teil des strategischen Teams. Umgekehrt, wenn Cybersicherheitsverantwortliche nicht Teil des Führungsteams sind, wird das Unternehmen nicht das Wissen und die Verpflichtung haben, Cybersicherheit als strategische Investition zu behandeln.

Es ist ein Teufelskreis. Wenn ein Unternehmen die Cybersicherheit immer noch als in den Sand gesetzte Kosten betrachtet, ist es an der Zeit, diese Einstellung zu ändern. Und wenn der Cybersicherheitsverantwortliche noch nicht in der Führungsetage willkommen geheißen wurde, ist es an der Zeit, den sprichwörtlichen roten Teppich auszurollen.

Keine verlorenen Kosten

Als „sunk cost“ werden finanzielle Aufwendungen bezeichnet, die bereits angefallen sind und nicht wieder eingetrieben werden können. Wenn ein Unternehmen die Cybersicherheit derart betrachtet, läuft es Gefahr, den Wert der Investition anhand der Höhe der Ausgaben zu messen, anstatt anhand der Vorteile, die diese Investition für das Unternehmen mit sich bringt.

Das größte Risiko, Cybersicherheit als verlorene Investition zu betrachten, ist nach Erfahrung von Palo Alto Networks Untätigkeit. Mit anderen Worten, zu denken, dass man sicher ist, weil man noch keinen größeren Sicherheitsvorfall erlitten hat. Hier hilft eine Erinnerung an die Maxime: Jeder ist verwundbar. Dies bedeutet, nicht zu denken, dass Cybersicherheitsausgaben eine reine Versicherungspolice sind, die das Unternehmen vor Katastrophen schützt. In der heutigen datengesteuerten, globalen, mobilen, ständig vernetzten Wirtschaft ist Cybersicherheit eine grundlegende Technologie, die es Unternehmen überhaupt ermöglicht, Geschäfte zu tätigen.

Viele Unternehmen entwickeln neue Anwendungen, die die Vorteile von Big-Data-Analytik nutzen, um das Kundenerlebnis zu verbessern. Diese Anwendung bringt nur dann einen Mehrwert, wenn sich die Kunden bei der Nutzung sicher fühlen. Wenn das Unternehmen Public-Cloud-Ressourcen nutzt, um Entwicklungszyklen zu beschleunigen und IT-Kosten zu senken, funktioniert dies nur, wenn keine zusätzlichen Sicherheitsrisiken bestehen.

Die Realität ist, dass Cybersicherheit nicht nur ein Kostenfaktor für die Geschäftstätigkeit ist, sondern ein wesentliches Element für Geschäftsinnovationen und digitale Veränderungen. Man denke an jedes Unternehmen, das Technologien eingesetzt hat, um eine etablierte Branche in Unruhe zu versetzen: Uber, Airbnb und Netflix, um drei der offensichtlichen Beispiele zu nennen. Ohne ein konstantes, kontinuierliches und strategisches Engagement für Cybersicherheit würden deren Geschäftsmodelle einfach nicht funktionieren.

Die Investition nutzen

Ein weiteres Risiko, Cybersicherheit als verlorene Kosten zu betrachten, ist das Potenzial für verpasste Chancen und verschwendete Ressourcen. Viele Unternehmen kaufen bestimmte Sicherheitstechnologien, um eine Compliance- oder Auditpflicht zu erfüllen. Die Sunk-Cost-Mentalität ist: „Wir haben dieses Compliance-Problem gelöst, lasst uns weitermachen.“ Das Risiko bei dieser Vorgehensweise besteht darin, dass sie möglicherweise nicht den vollen Wert der getätigten Investition operationalisieren. Compliance ist nicht gleich Sicherheit und wenn die Investitionen strikt unter dem Aspekt der Compliance betrachtet wird, nutzen Unternehmen möglicherweise nur 10 oder 15 Prozent der Möglichkeiten ihrer Lösungen. Das ist eine unnötige Verschwendung.

Stattdessen können sie einen ergebnisorientierten Ansatz für ihre Cybersicherheitsinvestitionen wählen. Zum Beispiel, will ein Unternehmen seinen Kunden durch fortschrittliche Analysen verbesserte mobile Fähigkeiten bieten. Wenn dies das Ziel ist, wie hilft die Investition in Cybersicherheit dem Unternehmen, dieses Ziel zu erreichen? Welche Investitionen in Menschen, Prozesse und Technologien sind notwendig, um das Unternehmen in diese Richtung voranzubringen?

Mit einem ergebnisorientierten Ansatz können Unternehmen enger mit ihren Technologiepartnern zusammenarbeiten, um ihre Cybersicherheitsziele und damit Geschäftsziele zu erreichen. Wird Cybersicherheit mit verlorenen Kosten gleichgesetzt, wird der Lösungspartner nur für eine Standardlösung herangezogen. Wenn Cybersicherheit jedoch eine laufende Investition in die Zukunft ist, dann kann der Lösungspartner helfen, die Funktionen der eingesetzten Lösungen zu maximieren.

Der Partner verfügt über Erfahrung in einer Vielzahl von Branchen und hat ein großes Interesse daran, sicherzustellen, dass die Cybersicherheitsinvestitionen einen maximalen Geschäftswert liefern.

Aufbau einer Kultur der Cybersicherheit

Schließlich, wenn Cybersicherheitsverantwortliche immer noch nicht als Kernstück des Executive-Management-Teams angesehen werden, ist es nach Meinung von Palo Alto Networks an der Zeit, die Lage neu zu bewerten. Sicherheitsexperten sollten heutzutage auf einer strategischer höheren Ebene zum Erfolg des Unternehmens beitragen können. All dies ist Teil des Aufbaus einer Kultur der Cybersicherheit im Unternehmen und der Erkenntnis, dass es bei Investitionen in Cybersicherheit nicht um verlorene Kosten geht, sondern um Investitionen in die Zukunft des Unternehmens.