Empfehlungen und Schritte von Rubrik

Maßnahmen für eine sicherheitsorientierte IT-Strategie

, München/Wien/Zürich, Rubrik | Autor: Herbert Wieler

Maßnahmen für eine sicherheitsorientierte IT-Strategie

Mehr als Firewalls und Antivirus

Cyber Security-Bedrohungen werden nicht nur immer häufiger und anspruchsvoller, sie bleiben auch weiterhin ein gravierendes finanzielles Problem für Unternehmen, unabhängig von Region und Branche. Es liegt nun auf den Schultern der IT-Führungskräfte, sich in der technischen Sicherheitslandschaft zurechtzufinden und agile Teams aufzubauen, die dynamisch auf neue Bedrohungen reagieren können. Darüber hinaus müssen diese Führungskräfte aufgrund der finanziellen Auswirkungen von Ausfallzeiten und Security-Vorfällen in der Lage sein, den Geschäftswert der Sicherheit zu abstrahieren, um unternehmensweite Prioritäten zu beeinflussen.

Rubrik erläutert wie CIOs und andere IT-Führungskräfte ihre Teams erfolgreich zu einer sicherheitsorientierten IT-Strategie führen und Stakeholder-Buy-in generieren können

Rubrik, Anbieter von Lösungen für Multi-Cloud Data-Control, erläutert wie CIOs und andere IT-Führungskräfte effektiv eine sicherheitsorientierte Handlungsweise in ihren Unternehmen etablieren und umsetzen können.

Das Sicherheitsereignis im Nachhinein – Durchführung einer ehrlichen Analyse

Für den Fall, dass irgendein Sicherheitsereignis eintritt, sollten IT-Teams zunächst versuchen, es einzudämmen, und dann eine gründliche Analyse des Vorfalls durchführen, um die ausgenutzten Schwachstellen und alle betroffenen Systeme zu identifizieren.

Obwohl diese Schritte offensichtlich erscheinen mögen, sind die langfristigen positiven Ergebnisse des Ereignisses möglicherweise geringer. Eine ehrliche Analyse eines Sicherheitsereignisses kann die Schwachstellen in einem System aufdecken, aber auch den Kontext, in dem das Ereignis stattgefunden hat, aufzeigen und eine strengere Abfrage der bestehenden Sicherheitsmaßnahmen veranlassen.

Ein tiefer Einblick in die bestehende Sicherheitsarchitektur kann beispielsweise ergeben, dass es notwendig ist, die SLAs neu zu bewerten, die RPOs zu verbessern und manuelle Prozesse zu minimieren. Dies kann zu einer ganzheitlichen Neugewichtung der Rolle der Sicherheit im IT-Framework des Unternehmens führen.

Rekonstruktion der Sicherheitsstrategie

Nachdem die Schwachstellen im Security-Framework diagnostiziert und Verbesserungsmöglichkeiten identifiziert wurden, sollte ein Übergang zu einer proaktiven Sicherheitsstrategie folgen. Dazu gehören:

  • Verfügbarkeit: Verbesserung der Transparenz aller Daten und Assets sowie Sicherstellung, dass die Daten sauber und für die Benutzer, die sie benötigen, leicht zugänglich sind.
  • Training: Implementierung von Mitarbeiterschulungsprogrammen, wobei oft externe Referenten und Berater hinzugezogen werden, um zusätzliche Perspektiven zu schaffen.
  • Interne Kommunikation: Regelmäßige und offene Kommunikation mit den Mitarbeitern darüber, welche Prozesse sich ändern und wie der erwartete Zeitplan aussieht, damit diese neuen Prozesse wirksam werden, um Produktivitätsverluste zu minimieren.
  • Tests: Planung regelmäßiger Risikomanagement-Meetings, die Beispiele aus der Praxis für verschiedene Arten von Sicherheitsverletzungen behandeln und die Mitarbeiter durch Simulationsübungen führen.

Welche Verbesserungen bzw. Ergänzungen auch immer vorgenommen werden – der Personalplan wird davon betroffen sein. Unternehmen müssen eine effiziente Lösung finden, die das Team nicht übermäßig belastet. Dies erfordert die Suche nach neuen Technologien.

Es gibt sehr viele Tools, die etwa 75 Prozent ein und des gleichen Dienstes anbieten, aber die restlichen 25 Prozent viel besser erledigen als Tools von anderen Anbietern. Die Herausforderung besteht also darin, die Tools mit den 25 Prozent überlegenen Fähigkeiten zu identifizieren.

Effektives Change-Management erfordert von IT-Führungskräften, dass sie nicht nur neue Prozesse einbinden und ihre Teams durch reibungslose Übergangsphasen führen, sondern auch Entscheidungen treffen, die darauf basieren, wo man künftig stehen will – und nicht darauf, wo man heute steht. Auf diese Weise können Führungskräfte ihren Teams helfen, die Stabilität aufrechtzuerhalten, die sie benötigen, um ihre Ziele in einem größeren Bild zu erreichen.

Sicherung des Executive Buy-In

Die Formulierung einer neuen Strategie ist nur die halbe Miete. Wichtig ist nach Erfahrung von Rubrik auch die Einbindung von Stakeholdern.

Die Sicherung des Executive Buy-In für eine Investition in mehr Sicherheit ist verständlicherweise viel einfacher, nachdem es einen Sicherheitsvorfall im Unternehmen gab oder über einen spektakulären Fall in den Medien berichtet wurde. Die eigentliche Herausforderung besteht jedoch darin, diesen Executive Buy-In aufrechtzuerhalten, auch wenn das akute Bedrohungsbewusstsein zu schwinden beginnt.

Um sicherzustellen, dass die Sicherheit für sein Unternehmen eine ständige Priorität bleibt, muss die Wahrnehmung der Sicherheit als unternehmerischen Mehrwert und nicht nur als technisches Anliegen gefördert werden. In der Kommunikation mit Führungskräften oder Vorstandsmitgliedern empfiehlt sich, drei Schwerpunkte zu setzen:

  • Branchenspezifische Angriffe: Durch die Kenntnis der häufigsten Angriffstypen einer Branche und die Bereitstellung von Statistiken aus der Praxis sowie von Beispielen für Ereignisse in ähnlichen Unternehmen können IT-Führungskräfte die Aufmerksamkeit von Interessengruppen auf sich ziehen. So verhindern Sie, dass die Wahrscheinlichkeit, selbst ein Schadensereignis zu erleben, heruntergespielt wird.
  • Reputation des Unternehmens: Angesichts von Sicherheitskrisen, die überall in den Nachrichten zu finden sind, ist Vertrauen alles. Der Ruf eines Unternehmens ist eines seiner wertvollsten Güter, und eine sicherheitsbewusste Haltung gibt den Kunden das Vertrauen, dass ihre Daten gut geschützt sind und dass das Unternehmen ein zuverlässiger Partner ist. Dieses Vertrauen wiederum kann zu einer gesunden, stabilen und loyalen Kundenbasis führen – was in einer wettbewerbsorientierten Geschäftslandschaft den entscheidenden Unterschied ausmacht.
  • Geschäftskontinuität: Ein Security-First-Ansatz bedeutet, dass die IT-Abteilung gut gerüstet ist, um auf ein Sicherheitsereignis zu reagieren, wenn es eintritt, ohne den regulären Teambetrieb erheblich zu stören. Wenn die Sicherheit jedoch erst nachrangig behandelt wird, sind die Teams gezwungen, sich um Ad-hoc-Lösungen zu bemühen. Diese Art von „Feuertaufen“ sind nicht nur zeitaufwändig und frustrierend, sondern lenken die Teams auch von ihren langfristigen Zielen ab. Ausfallzeiten können auch Funktionen außerhalb der IT beeinträchtigen, indem sie andere Beteiligte an der Arbeit hindern und so die Gesamtproduktivität des Unternehmens beeinträchtigen.

Indem die IT-Führungskräfte ihre Sicherheitsstrategie an die Auswirkungen auf das Unternehmen anpassen, sorgen sie dafür, dass die Stakeholder die Bedeutung der Investition von Zeit und Ressourcen in eine sicherheitsorientierte Haltung verstehen. Zudem können sie den Executive Buy-In aufrechtzuerhalten, auch wenn sich das Potenzial eines Sicherheitsereignisses nicht besonders greifbar anfühlt.

Insgesamt sollten IT-Verantwortliche nach Meinung von Rubrik ihre Sicherheitsstrategie als Ausdruck der Vision ihres Unternehmens, der Prioritäten ihres Teams und der Unternehmenskultur betrachten. Der Wechsel zu einer sicherheitsorientierten Haltung ist für praktisch alle Organisationen langfristig unerlässlich, um den guten Ruf als zuverlässiges, anpassungsfähiges und zukunftsorientiertes Unternehmen zu bewahren.