Cyber-Security-Strategie
Cybersicherheit in großen Zusammenhängen denken
Fortsetzung des Artikels von Teil 1
Der Faktor Mensch
Bei der Cyber Security geht es nicht nur um Technik, sondern auch um Beziehungen. Also auch darum, menschliche Schwächen zu verstehen und Anreize für Verhaltensweisen zu schaffen, die Daten und Systeme sicherer machen. Das erhöhte Aufkommen von Spam- und Phishing-Angriffen ist nicht das größte Problem, sondern die erhöhte Anfälligkeit der MitarbeiterInnen für diese Angriffe. Jeder fühlt sich im Moment zusätzlich unter Druck gesetzt – von der Angst vor der Pandemie bis hin zum Tribut, den eine längere soziale Distanzierung mit sich bringt – und Stress kann die Wachsamkeit gegenüber Taktiken wie Phishing beeinträchtigen. Es ist daher anzuraten, dass alle MitarbeiterInnen, unabhängig von ihrer Rolle, die Verantwortung für den Schutz der Cybersecurity des Unternehmens verstehen.
Simulierte Angriffe können beispielsweise genutzt werden, um MitarbeiterInnen zu schulen und Wachsamkeit gegenüber der erhöhten Bedrohung zu fördern. Simulierte Angriffe sollten immer in einem sicheren Umfeld geprobt werden, wo Sicherheitsexperten helfend zur Seite stehen und beraten können. Darüber hinaus ist es auch äußerst wichtig, Incident-Response-Pläne zu testen sowie die Fähigkeit eines Teams, Cyber-Bedrohungen zu erkennen und darauf zu reagieren – wie das Sprichwort sagt: Mach das Training härter als das Spiel.
Die Nachfrage nach Cyber-Fachkräften ist hoch, insbesondere wenn es um Fähigkeiten wie ethisches Hacken geht. Unternehmen sollten starke Talent-Pools aufbauen und darauf vorbereitet sein, die Förderung dieser Fähigkeiten zu unterstützen.
Auch die Behebung eines alten Personalproblems könnte zu positive Ergebnissen führen – der Mangel an Diversität im Bereich Cyber Security. Der Aufbau vielfältigerer Teams mit unterschiedlichen Fähigkeiten, Kulturen, Ethnien und Geschlechtern erhöht die Wahrscheinlichkeit, dass die stärksten, ganzheitlichsten und kreativsten Sicherheitsstrategien zum Einsatz kommen. Diverse Teams sind kreativ, und in der Cyber Security werden alle kreativen Kräfte gebraucht, die man bekommen kann, um die komplexen Herausforderungen von morgen zu lösen.
Die Qualität ist entscheidend
Bei täglich wachsenden Datenmengen, ist die Integrität dieser Daten entscheidend, um sie zu einem nützlichen Asset für das Unternehmen zu machen. Advanced Analytics und KI sind zwei der vielversprechendsten Tools, um die Datenflut, mit der Unternehmen konfrontiert sind, in Werte umzuwandeln – das geht allerdings nur, wenn die Daten zuverlässig und von guter Qualität sind.
KI kann den Sicherheitsteams die nötigen Einblicke liefern, um ihre Aufmerksamkeit auf die dringendsten Bedrohungen zu richten. Diese Tools helfen bei der Bewältigung von Aufgaben wie dem Zusammentragen und Korrelieren einer Vielzahl von Informationsquellen oder dem Erkennen von Trends aus der proaktiven Überwachung und der Analyse von Echtzeit-Datenfeeds. Schneller, als es ein Mensch je könnte. Probleme mit der Datenqualität, wie Konsistenz, Integrität, Genauigkeit oder Vollständigkeit, wirken sich jedoch nachteilig auf die KI-Leistung aus. Die Bewältigung dieses Problems erfordert eine menschliche Lösung. Deshalb sollten MitarbeiterInnen genau verstehen, was von ihnen erwartet wird, wenn es um die Erfassung und Handhabung von Daten geht. Diese Erwartungen müssen ganz klar kommuniziert werden. Eine klare Kommunikation und Transparenz sind hier der Schlüssel. Jede Organisation sollte heute vernünftige, leicht verständliche Rahmenwerke, Richtlinien und Standards implementieren, sonst riskieren sie, das Vertrauen in die Daten, die sie besitzen, zu untergraben.
Was kostet eine Sicherheitslücke?
Effektive Cybersicherheit ist in vielerlei Hinsicht mit einem guten Vereinbarungsprozess vergleichbar und erfordert einen ganzheitlichen Ansatz für Menschen, Abläufe und Technologie. Ohne das Denken in großen Zusammenhängen entstehen Silos, ineffektive Prozesse werden alltäglich, und Risiken vervielfachen sich. Unternehmen können es sich nicht leisten, Cyber Security auf die leichte Schulter zu nehmen, denn die Konsequenzen eines Fehlers sind gravierend. Die EU DSGVO gibt Behörden die Befugnis, Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes eines Unternehmens zu verhängen, je nachdem, welcher Betrag höher ist.
Auch der Ruf eines Unternehmens kann durch einen derartigen Vorfall in Mitleidenschaft gezogen werden. Laut eines Berichts des Ponemon Institute entfallen 36 Prozent der Gesamtkosten einer Sicherheitslücke auf den folgenden Verlust von Aufträgen, da Kunden und Interessenten oft negativ auf die damit zusammenhängende, mediale Berichterstattung reagieren. Eine ausgeklügelte Kommunikationsstrategie, bei der die rechtzeitige und transparente Weitergabe von Informationen im Vordergrund steht, kann dem entgegenwirken, aber auch nur bis zu einem gewissen Punkt.
Die Reaktion auf eine Bedrohung oder einen Cyberangriff sollte nicht Angst sein. Der Umfang und die Schwere der Angriffe haben zugenommen, aber die Werkzeuge zum Schutz vor diesen Angriffen sind stärker denn je. Um sich angemessen gegen moderne Cyberbedrohungen zu verteidigen, benötigen Unternehmen eine effektive Strategie, die in MitarbeiteInnen, Fähigkeiten und Technologien investiert, um Probleme in den Griff zu bekommen. Es ist eine Chance, Ressourcen so auszurichten, dass sie nicht nur vor Bedrohungen schützen, sondern das Unternehmen aktiv voranbringen.
Emily Heath, Chief Trust and Security Officer, DocuSign
- Cybersicherheit in großen Zusammenhängen denken
- Der Faktor Mensch
Lesen Sie mehr zum Thema
