Der Chief Information Security Officer (CISO) ist ein relativ neuer Posten in der F¨¹hrungsriege eines Unternehmens. Es ist eine Schl¨¹sselrolle f¨¹r Unternehmen und Organisationen, die ¨¹ber die notwendigen Ressourcen verf¨¹gen und die Notwendigkeit eines robusten Sicherheitsprogramms erkennen. Wenn er richtig eingesetzt wird, nimmt der CISO eine F¨¹hrungsposition ein, die ein wesentlicher Bestandteil der F¨¹hrungsebene eines Unternehmens ist.?
Doch nicht jede Unternehmensf¨¹hrung versteht die Rolle des CISO. Die Aufgabe des CISO besteht nicht darin, alle Risiken zu beseitigen. In der heutigen modernen Cybersecurity-Landschaft ist dies ein unm?gliches Unterfangen. Der CISO muss stattdessen die Risiken, denen ein Unternehmen ausgesetzt ist, ganzheitlich verstehen und dann eine Sicherheitsstrategie entwickeln, die diese Risiken auf ein Niveau reduziert, das der Risikobereitschaft des Unternehmens entspricht.?
Eine wichtige Komponente dieser Aufgabe ist die ?bersetzung und Kommunikation des Schweregrads der Hauptrisiken an die anderen Mitglieder der F¨¹hrungsetage. Nur durch diese Art von proaktiver, klarer und umsetzbarer Kommunikation kann ein CISO die volle Zustimmung des restlichen F¨¹hrungsteams erlangen, um Priorit?ten zu setzen und die Sicherheit in die Unternehmenskultur zu integrieren.
Wie sich die Sicherheitslandschaft verschiebt?
In den letzten zehn Jahren hat sich die Art und Weise, wie Cyberkriminelle Angriffe durchf¨¹hren, massiv ver?ndert. Vor zehn Jahren war es noch viel schwieriger, Geld von Organisationen zu erpressen. Was jedoch einst nur talentierten Bedrohungsakteuren vorbehalten war, die gezielte Angriffe auf gro?e Unternehmen durchf¨¹hrten, hat sich zu einem Markt entwickelt, auf dem selbst die laienhaftesten Bedrohungsakteure einen erfolgreichen Cyberangriff durchf¨¹hren k?nnen, dank dem Aufstieg von Ransomware-as-a-Service und anderen Formen von standardisierter krimineller Infrastruktur.
Es gibt jetzt kriminelle Dienste und Bedrohungsakteure zum Anheuern. Ein angehender Angreifer kann nun mit jedem zusammenarbeiten ¨C und von jedem lernen ¨C von Initial Access Brokers ¨¹ber Payload-Experten bis hin zu L?segelderpressern. Unter Kryptow?hrung hat es Cyberkriminellen exponentiell erleichtert, ihre Angriffe zu finanzieren.??
Diese ?nderungen haben nicht nur das Feld f¨¹r Bedrohungsakteure geebnet, sondern auch f¨¹r Unternehmen, die sich vor Angriffen sch¨¹tzen wollen. Jeden Tag werden Cyberangriffe auf Unternehmen jeder Gr??e und jeder Branche durchgef¨¹hrt. In den kommenden zehn Jahren werden Bedrohungsakteure lernen, KI zu nutzen, um ihre Angriffe zu automatisieren und deren Effektivit?t zu erh?hen, der Markt f¨¹r Cyberkriminalit?t wird weiter kommerzialisiert, und das Wettr¨¹sten zwischen Bedrohungsakteuren und Sicherheitsteams wird weitergehen. ?
Dies ist das zunehmend schwierige und gef?hrliche Umfeld, mit dem sich CISOs konfrontiert sehen. Um sich wirksam gegen diese Angreifer zu verteidigen, m¨¹ssen CISOs die solide Unterst¨¹tzung der ¨¹brigen F¨¹hrungsebene haben.?
Wie ein CISO die Zustimmung der F¨¹hrungsebene erhalten kann?
Die Aufgabe, die Unterst¨¹tzung der F¨¹hrungsetage zu gewinnen, beginnt beim CEO. Letztlich tr?gt der CEO den gr??ten Teil des Risikos f¨¹r das Unternehmen auf seinen Schultern. Die Hauptaufgabe des CISO besteht also darin, dem CEO dabei zu helfen, zu verstehen, wie diese Risiken durch ein proaktives Sicherheitsprogramm behandelt und abgeschw?cht werden k?nnen. Der CEO kann dann die Unterst¨¹tzung und Hilfe der ¨¹brigen Mitglieder der Gesch?ftsleitung gewinnen, um den CISO in die Lage zu versetzen, das Sicherheitsprogramm umzusetzen. Um diese Aufgabe zu bew?ltigen, m¨¹ssen die Risikoinformationen f¨¹r den CEO und die F¨¹hrungsebene, denen es oft an Ausbildung und Erfahrung im Bereich Cybersecurity fehlt, verst?ndlich und nachvollziehbar sein.??
Eine der besten Methoden, um ¹ó¨¹³ó°ù³Ü²Ô²µ²õ°ì°ù?´Ú³Ù±ð²Ô und anderen Mitarbeitern die Risiken eines Unternehmens n?her zu bringen, ist Storytelling. Eine Vorstandssitzung, in der das Risiko durch die Analyse eines realen Vorfalls oder die realistische Darstellung eines hypothetischen, aber bedeutsamen Sicherheitsvorfalls konkretisiert wird, weckt die Aufmerksamkeit des Vorstandsvorsitzenden und der Unternehmensleitung und macht die einst abstrakte Idee der Cybersecurity f¨¹r sie real.?
Einbindung von ¹ó¨¹³ó°ù³Ü²Ô²µ²õ°ì°ù?´Ú³Ù±ð²Ô mit einer Tabletop-?bung?
Tabletop-?bungen sind ein wirksames Mittel, um Risikoszenarien in realistische Situationen zu ¨¹bersetzen, auf die Ihr CEO und die F¨¹hrungsebene reagieren m¨¹ssen. Diese sollten sich jedoch weit weniger technisch anf¨¹hlen als die Art von ?bungen, die ein CISO mit seinem eigenen Sicherheitsteam durchf¨¹hren k?nnte. Tabletop-?bungen auf F¨¹hrungsebene werden ?hnlich wie ein Rollenspiel durchgef¨¹hrt, bei dem die gesamte F¨¹hrungsetage um einen Tisch versammelt ist, diskutiert und Entscheidungen trifft, w?hrend der CISO sie Schritt f¨¹r Schritt durch einen plausiblen Cyberangriff auf ihr Unternehmen f¨¹hrt. Im Folgenden finden Sie einige Tipps f¨¹r die Durchf¨¹hrung einer ?bung, die zu einer Kultur der Cybersecurity von oben nach unten f¨¹hren wird.?
1. Ein benutzerdefiniertes Szenario erstellen
Um die Tabletop-?bung so effektiv wie m?glich zu gestalten, m¨¹ssen Sie sie greifbar machen. Die Mitarbeiter m¨¹ssen es f¨¹hlen k?nnen. Dazu wird ein individuelles Szenario erstellt, das die St?rken und Schw?chen Ihres Unternehmens ber¨¹cksichtigt. Die Cybersecurity & Infrastructure Security Agency (CISA) an, die jede Organisation als Vorlage oder als Ausgangspunkt f¨¹r ihre eigene, ma?geschneiderte ?bung verwenden kann. Wenn Sie diese Pakete nutzen und sie an Ihr Unternehmen und Ihr Szenario anpassen, maximieren Sie den Realismus und verbessern die Ergebnisse.??
2. Ein Ergebnis im Sinn haben?
Um m?glichst effektiv zu sein, sollten Sie sich ein Ziel setzen. Es ist eine Verschwendung von Zeit, M¨¹he und Ressourcen, so etwas wie eine Tabletop-?bung mit Ihrer F¨¹hrungsebene ohne ein definiertes Endziel durchzuf¨¹hren. Nehmen wir zum Beispiel an, Sie m?chten ein Budget f¨¹r einen Identit?tsanbieter f¨¹r Single Sign-On (SSO) sichern. Da Sie wissen, dass zur¨¹ckzuf¨¹hren sind, sollten Sie die ?bung auf eine Account-?bernahme ausrichten und darauf aufbauen. Die Chancen stehen gut, dass Sie in Echtzeit beobachten k?nnen, wie sich die Augen der F¨¹hrungskraft vor ?berraschung und Schock weiten, wenn sie begreift, wie leicht diese Hypothese Wirklichkeit werden k?nnte, und Sie k?nnen diese Reaktion nutzen, um ein substanzielles Gespr?ch ¨¹ber das ben?tigte Budget zu f¨¹hren.?
3. Die Situation f¨¹r alle Personen anschaulich darstellen?
Formulieren Sie das Risiko in Begriffen, die jede F¨¹hrungskraft verstehen kann. Sprechen Sie mit Ihrem Chief Financial Officer ¨¹ber Geld und mit Ihrem Chief Marketing Officer ¨¹ber Ansehen. Ihr Ziel ist es nat¨¹rlich, den CEO mit ins Boot zu holen, aber die ?bertragung von Risiken auf die einzelnen Mitglieder Ihres F¨¹hrungsteams kann einen Schneeballeffekt ausl?sen, der dazu f¨¹hrt, dass jedes Mitglied den Teil des Risikos, der auf es entf?llt, erkennt und selbst tr?gt, wodurch verhindert wird, dass es Sicherheitsentscheidungen auf den CISO abw?lzt, und schlie?lich seine Stimme in den Chor einbringt, der Ihrem CEO proaktiven Schutz predigt.???
Diese Personalisierung des Risikos f¨¹r jede F¨¹hrungskraft hat auch einen kaskadierenden Effekt, der ihnen hilft, den Anteil ihrer Abteilung am Risiko an ihr gesamtes Team zu kommunizieren, was eine st?rkere Kultur der organisatorischen Sicherheit schaffen wird.?
Zus?tzliche Ressourcen?
R¨¹sten Sie Ihre F¨¹hrungskr?fte mit den 9 Fragen zur Cybersecurity aus, die in jeder F¨¹hrungsetage gestellt werden m¨¹ssen.
Erfahren Sie, wie Sie Ihre Security Operations mit diesem On-Demand-Webinar verbessern k?nnen.?
Entdecken Sie die Merkmale einer ausgereiften organisatorischen Sicherheit mit dem Leitfaden zur Umsetzung von MDR f¨¹r Sicherheitsexperten.
