Da sich die Risiken der Digitalisierung weiterentwickeln und die Bedrohungen für die Cybersicherheit zunehmen, gibt es für Sicherheits- und Risikoverantwortliche nur einen Weg, das Unternehmen effektiv zu schützen — die Einrichtung eines kontinuierlichen, nachhaltigen Sicherheitsprogramms. Allzu oft geben Unternehmen dem Abhaken des Compliance-Kästchen den Vorrang gegenüber der Errichtung effektiver, risikobasierter Kontrollen.
- Gartner-Kunde? Log in und personalisierte Ergebnisse entdecken.
Aufbau eines abwehrfähigen Cybersicherheitsprogramms in 3 Schritten
18. September 2020
Verfasserin: Samantha Grasso
Um ein abwehrfähiges Sicherheitsprogramm zu entwickeln, sollten Sie den Schutz mit der Notwendigkeit, das Geschäft zu führen, miteinander in Einklang bringen.
„Führungskräfte sind eher bereit, sich einer Vision anzuschließen, wenn die Komponenten und Ziele relevant sind und in nicht-technischen Begriffen formuliert werden.“
Das Ergebnis? Die Programme sind auf Unternehmensebene nicht vertretbar, was zu Misstrauen führt und es schwieriger macht, angemessene Unterstützung und Investitionen zu erhalten.
„Führungskrafte behandeln Sicherheit weiterhin als Geschäftshemmnis, da es kein vertretbares Sicherheitsprogramm gibt, das mit den Geschäftsergebnissen verknüpft ist“, bemerkt Tom Scholtz, Distinguished VP Analyst, Gartner.
Um ein vertretbares Informationssicherheitsmanagementprogramm zu erreichen, müssen die Führungskräfte im Bereich Sicherheit und Risikomanagement das Geschäft mit einbeziehen während sie die Governance etablieren und die Fähigkeit entwickeln, Risiken effektiv zu bewerten und zu interpretieren.
Legen Sie die Verantwortlichkeit mit einer Sicherheitscharta fest
Ein wichtiger Aspekt der Vertretbarkeit ist das Vorhandensein der richtigen Dokumentation und Prozesse, um risikobasierte Kontrollentscheidungen zu ermöglichen.
Um die Grundlage Ihres Sicherheitsprogramms zu bilden, erstellen Sie eine Unternehmenssicherheitscharta. Dieses kurze, in einfacher Sprache verfasste Dokument legt eine klare Verantwortlichkeit des Eigentümers für den Schutz von Informationsressourcen fest und gibt dem CISO (oder einer gleichwertigen Person) das Mandat, das Sicherheitsprogramm einzurichten und zu pflegen.
Die Geschäftsleitung muss die Satzung lesen, verstehen, sichtbar befürworten und jährlich überprüfen und sicherstellen, dass Rollen, Umfang und Verantwortlichkeiten abgezeichnet werden.
Richten Sie einen Lenkungsausschuss für Informationssicherheit ein, um sicherzustellen, dass Entscheidungen nicht im teilweise lebensfernen Vakuum des Sicherheitsteams getroffen werden. Beziehen Sie die direkte, geschäftsbereichs- und funktionsübergreifende Vertretung der Entscheidungsfindung mit ein.
Durch die Schaffung eines Ortes für kontinuierliche Beiträge und Unterstützung für Sicherheitsprogramme von leitenden Führungskräften sind andere Führungskräfte in der Lage, die Risiken nicht nur für ihre eigene Geschäftseinheit, sondern für das gesamte Unternehmen zu erkennen.
Legen Sie eine klare Vision für Sicherheitsprogramme fest
Die geschäftliche Unterstützung des Sicherheitsprogramms durch das Unternehmen hängt von der Vermittlung einer klaren Vision ab, die den einzigartigen Geschäftskontext des Unternehmens widerspiegelt. Gab es vor kurzem Kostensenkungen? Wo steht das Unternehmen auf seiner digitalen Reise? Welche regulatorischen Anforderungen haben sich geändert?
Führungskräfte sind eher bereit, sich einer Vision anzuschließen, wenn die Komponenten und Ziele relevant sind und in nicht-technischen Begriffen formuliert werden. Die Vision sollte die mittel- und langfristigen Geschäftsanforderungen an die Sicherheit widerspiegeln.
Lesen Sie hier mehr: Wie sich Führungskräfte für Security & Risk auf reduzierte Budgets vorbereiten können
Erstellen Sie eine nach Prioritäten geordnete Roadmap, die Projekte und Korrekturmaßnahmen eindeutig mit Risiken, Schwachstellen und den relevanten geschäftlichen, technologischen und umweltbezogenen Faktoren verknüpft.
Demonstrieren Sie eine schnelle Reaktion auf sich ändernde Bedrohungen
Sicherheit ist ein „bewegliches Ziel“, und Führungskräfte stehen unter dem Druck zu belegen, dass das Unternehmen mit den sich ändernden Bedrohungen umgehen kann. Indem Programme auf die Vorwegnahme und Reaktion auf häufige, unerwartete Änderungen ausgerichtet werden, zeigen Führungskräfte im Bereich Sicherheit und Risikomanagement ihre Fähigkeit, das Unternehmen zu schützen – unabhängig davon, was im Geschäftsumfeld passiert.
Um die Implementierung und den täglichen Betrieb der agilen Sicherheitsplanung zu steuern, sollten Sie gemeinsam mit den Geschäftspartnern eine Reihe von vereinbarten Prinzipien entwickeln. Beispiele für Prinzipien sind:
Unterstützung von Geschäftsergebnissen anstatt nur den Schutz der Infrastruktur
Berücksichtigung des menschlichen Elements beim Entwurf und der Verwaltung von Sicherheitskontrollen
Durchführung regelmäßiger/periodischer Schwachstellenbewertungen der Unternehmensumgebung
Diese Grundsätze können Ihnen dabei helfen, die Effektivität und Effizienz von Sicherheitskontrollen kontinuierlich zu verbessern und gleichzeitig auf Veränderungen zu reagieren. „Führungskräfte behandeln Sicherheit weiterhin wie ein Geschäftshemmnis, da es kein vertretbares Sicherheitsprogramm gibt, das mit Geschäftsergebnissen verknüpft ist“, so Tom Scholtz, Distinguished VP Analyst, Gartner.
Um ein vertretbares Informationssicherheitsmanagementprogramm zu erreichen, müssen die Führungskräfte im Bereich Sicherheit und Risikomanagement das Geschäft mit einbeziehen während sie die Governance etablieren und die Fähigkeit entwickeln, Risiken effektiv zu bewerten und zu interpretieren.
Legen Sie die Verantwortlichkeit mit einer Sicherheitscharta fest
Ein wichtiger Aspekt der Vertretbarkeit ist das Vorhandensein der richtigen Dokumentation und Prozesse, um risikobasierte Kontrollentscheidungen zu ermöglichen.
Um die Grundlage Ihres Sicherheitsprogramms zu bilden, erstellen Sie eine Unternehmenssicherheitscharta. Dieses kurze, in einfacher Sprache verfasste Dokument legt eine klare Verantwortlichkeit des Eigentümers für den Schutz von Informationsressourcen fest und gibt dem CISO (oder einer gleichwertigen Person) das Mandat, das Sicherheitsprogramm einzurichten und zu pflegen.
Die Geschäftsleitung muss die Satzung lesen, verstehen, sichtbar befürworten und jährlich überprüfen und sicherstellen, dass Rollen, Umfang und Verantwortlichkeiten abgezeichnet werden.
Richten Sie einen Lenkungsausschuss für Informationssicherheit ein, um sicherzustellen, dass Entscheidungen nicht im teilweise lebensfernen Vakuum des Sicherheitsteams getroffen werden. Beziehen Sie die direkte, geschäftsbereichs- und funktionsübergreifende Vertretung der Entscheidungsfindung mit ein.
Durch die Schaffung eines Ortes für kontinuierliche Beiträge und Unterstützung für Sicherheitsprogramme von leitenden Führungskräften sind andere Führungskräfte in der Lage, die Risiken nicht nur für ihre eigene Geschäftseinheit, sondern für das gesamte Unternehmen zu erkennen.
Legen Sie eine klare Vision für Sicherheitsprogramme fest
Die geschäftliche Unterstützung des Sicherheitsprogramms durch das Unternehmen hängt von der Vermittlung einer klaren Vision ab, die den einzigartigen Geschäftskontext des Unternehmens widerspiegelt. Gab es vor kurzem Kostensenkungen? Wo steht das Unternehmen auf seiner digitalen Reise? Welche regulatorischen Anforderungen haben sich geändert?
Führungskräfte sind eher bereit, sich einer Vision anzuschließen, wenn die Komponenten und Ziele relevant sind und in nicht-technischen Begriffen formuliert werden. Die Vision sollte die mittel- und langfristigen Geschäftsanforderungen an die Sicherheit widerspiegeln.
Erstellen Sie eine nach Prioritäten geordnete Roadmap, die Projekte und Korrekturmaßnahmen eindeutig mit Risiken, Schwachstellen und den relevanten geschäftlichen, technologischen und umweltbezogenen Faktoren verknüpft.
Demonstrieren Sie eine schnelle Reaktion auf sich ändernde Bedrohungen
Sicherheit ist ein „bewegliches Ziel“, und Führungskräfte stehen unter dem Druck zu belegen, dass das Unternehmen mit den sich ändernden Bedrohungen umgehen kann. Indem Programme auf die Vorwegnahme und Reaktion auf häufige, unerwartete Änderungen ausgerichtet werden, zeigen Führungskräfte im Bereich Sicherheit und Risikomanagement ihre Fähigkeit, das Unternehmen zu schützen – unabhängig davon, was im Geschäftsumfeld passiert.
Um die Implementierung und den täglichen Betrieb der agilen Sicherheitsplanung zu steuern, sollten Sie gemeinsam mit den Geschäftspartnern eine Reihe von vereinbarten Prinzipien entwickeln. Beispiele für Prinzipien sind:
Unterstützung von Geschäftsergebnissen anstatt nur den Schutz der Infrastruktur
Berücksichtigung des menschlichen Elements beim Entwurf und der Verwaltung von Sicherheitskontrollen
Durchführung regelmäßiger/periodischer Schwachstellenbewertungen der Unternehmensumgebung
Das Festlegen dieser Prinzipien kann Ihnen dabei helfen, die Effektivität und Effizienz von Sicherheitskontrollen kontinuierlich zu verbessern und gleichzeitig auf Veränderungen zu reagieren.
