pathdoc - stock.adobe.com
Security-Strategie basiert oft auf Reaktion und Spekulation
Sicherheitsverantwortliche sollten den Fachjargon in einen geschäftlichen Kontext stellen. Dies erlaubt eine bessere Kommunikation mit der Geschäftsführung und solidere Strategien.
Seit Jahren drängt die Cybersicherheitsbranche die Unternehmensführung, Cyberbedrohungen als Unternehmensbedrohungen anzuerkennen. Heute scheinen die Entscheidungsträger der meisten Unternehmen zuzuhören, denn im Jahr 2021 stiegen die durchschnittlichen Gesamtkosten einer Datenschutzverletzung um fast 10 Prozent auf 4,24 Millionen US-Dollar.
Dies hat zu einem weltweiten Anstieg der Ausgaben für Cybersicherheit geführt, die zwischen 2021 und 2025 voraussichtlich 1,75 Billionen US-Dollar übersteigen werden. Doch trotz der Investitionen in die Cybersicherheit nehmen sowohl die Häufigkeit als auch die finanziellen Auswirkungen von Sicherheitsverletzungen weiter zu. Im Oktober wurden bereits mehr Sicherheitsverletzungen im Jahr 2021 gemeldet als im gesamten Vorjahr.
Für die meisten Unternehmensleiter besteht die aktuelle Herausforderung nicht darin, wie viel das Unternehmen für die Sicherheit ausgibt, sondern darin, dass sie keinen Überblick darüber haben, wie gut sie es ausgeben. Sicherheitschefs brauchen ein Kriterium, um die Wirksamkeit von Cybersicherheitsinitiativen in eine Sprache zu übersetzen, die der Vorstand versteht. Der CEO, der Vorstand und die externen Stakeholder müssen in der Lage sein, sich ein Bild von den Auswirkungen der Investitionen zu machen.
Sicherheitsstrategien werden von Angst und Vermutungen bestimmt
Allzu oft sind Cyberstrategien eine unglückliche Kombination aus Reaktion und Spekulation. Unternehmen werden dazu veranlasst, in neue Sicherheitslösungen zu investieren, wenn sie von Sicherheitsverletzungen bei anderen Unternehmen erfahren, insbesondere wenn es sich um Sicherheitsverletzungen in ihrem Sektor handelt. Sicherlich ist es wichtig, sich an neue Angriffe anzupassen, doch wenn man sich auf allein diese Denkweise verlässt, bedeutet dies, dass die Unternehmen immer einen Schritt hinter ihren Gegnern zurückbleiben und sich eher auf die Bedrohungen der Vergangenheit als auf die der Zukunft vorbereiten.
Außerdem haben Unternehmen oft nur eine recht begrenzte Vorstellung von ihren eigenen Risiken. Auch führen ihre Investitionen möglicherweise nicht zu einer Verbesserung der Sicherheit. Eine gängige Methode ist das auf einer Heatmap basierender Rot-Gelb-Grün-System. Dies erscheint zwar oberflächlich betrachtet proaktiv und eignet sich für eine attraktive Präsentation vor dem Vorstand, ist aber viel zu vage, um von strategischem Wert zu sein.
Wenn ein Chief Information Security Officer (CISO) und ein Vorstandsmitglied zusammen in einem Aufzug sitzen, sollte der CISO in der Lage sein, die Echtzeit-Cyberrisikolage des Unternehmens allein in dieser Aufzugsfahrt zu erläutern und nicht mit einer einstündigen Präsentation, bei der sich jeder aufgrund der unternommenen Aktivitäten einigermaßen sicher, aber nicht absolut sicher fühlt. Das Risiko muss in realen, quantifizierbaren Begriffen gemessen werden, die sich auf präzise Datenpunkte und die finanziellen Auswirkungen einer Datenschutzverletzung beziehen, die durch rationelle Investitionen und Initiativen abgewendet werden könnten. Wie man so schön sagt: Geld regiert die Welt.
Hier kommt die Quantifizierung von Cyberrisiken ins Spiel. Dabei handelt es sich um ein Modell, das mehrere Datenpunkte in einem Dashboard integriert, um einen greifbaren Wert des Risikos für jeden Vermögenswert im Unternehmen zu schaffen, der in Echtzeit dargestellt wird. Außerdem lässt sich das Risiko leicht in die potenziellen finanziellen Auswirkungen einer Datenpanne umrechnen, eine Kennzahl, die jeder im Unternehmen verstehen kann - von Sicherheitsanalysten bis hin zu Vorstandsmitgliedern oder CEOs.
Die Daten in die Praxis umsetzen
Ein ausgereiftes Unternehmen hat heute aus Sicht der Cybersicherheit mehrere Verteidigungsebenen, wobei der CEO, der Vorstand und die Interessengruppen die Risikoverantwortlichen sind - die oberste Ebene der Cybersicherheit. Der CTO und der CIO verwalten die Cyberrisiken, während der CISO und der CSO die Führungskräfte befähigen, die Risiken zu erkennen und zu verwalten. In einem solchen Szenario ist das Wissen über die Sicherheitsrisiken auf einer Need-to-Know-Basis angesiedelt. Die Tiefe, in der ein CEO die Cybersicherheit verstehen muss, ist nicht so technisch wie die eines CISO, so dass die Verantwortung für die Risikoerklärung beim CISO liegt.
Die gemeinsame Sprache, die jeder im Vorstand versteht, ist die finanzielle Auswirkung, die eine Datenschutzverletzung auf ein Unternehmen haben kann. Der Vorstand wird sehr daran interessiert sein zu erfahren, um wie viel dieser Wert durch geeignete Cybersicherheitsstrategien gesenkt werden kann. Anstatt zu erklären, warum eine bestimmte Cybersicherheitsrichtlinie dazu beiträgt, die Cyberrisikoposition zu verbessern, sollte ein CISO erklären, um wie viel die finanziellen Auswirkungen des Cyberrisikos durch die Richtlinie verringert werden.
„Die gemeinsame Sprache, die jeder im Vorstand versteht, ist die finanzielle Auswirkung, die eine Datenschutzverletzung auf ein Unternehmen haben kann.“
Saket Modi, Safe Security
Informationen sind kontextabhängig, und im Falle der Cybersicherheit müssen die Risikoverantwortlichen (CISO, CSO) den Fachjargon in einen geschäftlichen Kontext stellen, um bessere, robustere Cybersicherheitsstrategien zu ermöglichen. Die Quantifizierung von Cyberrisiken bringt den fehlenden geschäftlichen Kontext in Sicherheitsgespräche ein, und zwar durch den einen Wert, der für die Entscheidungsfindung wichtig ist - die Auswirkungen auf den endgültigen Geldwert.
Cybersicherheitsrisiken können heute gekonnt gemeistert werden. Besonders geeignet ist dabei mit Sicherheit ein breitgefächerter Ansatz, der prophylaktisch ausgerichtet ist und die „quantifizierende“ Komponente nicht unterschlägt.
Über den Autor:
Saket Modi ist Mitbegründer und CEO von Safe Security, einer Plattform für Cybersicherheit und die Quantifizierung von digitalen Geschäftsrisiken. Der studierte Informatik-Ingenieur gründete Safe Security im Jahr 2012. Das Unternehmen schützt die digitale Infrastruktur mehrerer Fortune-500-Unternehmen auf der ganzen Welt mit seiner Plattform zur Messung und Minderung von Cyberrisiken.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.