Zurück 
Als die COVID-19-Pandemie die USA heimsuchte, ergriffen die Unternehmen alle Hebel in Bewegung, um ihren Betrieb aufrechtzuerhalten. Den Mitarbeitern in allen Organisationsstrukturen wurde gesagt, sie sollten von zu Hause aus arbeiten, und die IT-Teams wurden damit beauftragt, dies zu ermöglichen. Der Zeitplan war eng und die Genehmigungsprozesse gingen schnell voran, was bedeutete, dass Änderungen am Netzwerkzugriff und an der Sicherheit schneller und in manchen Fällen willkürlicher vorgenommen wurden als in einer „normalen“ Situation.
Wir haben getan, was in diesem Moment getan werden musste, und jeder von uns hat sich bemüht, die Homeoffice-Anforderungen unseres Unternehmens zu erfüllen. Aber jetzt sind wir aus dem Krisenmodus raus. CISOs müssen tief durchatmen, sich umsehen und beurteilen, ob ihre Netzwerk- und Sicherheitsinfrastrukturen optimiert sind, um das Geschäft langfristig zu unterstützen. Es waren sehr herausfordernde 18 Monate, aber es gab auch nie einen besseren Zeitpunkt zur Optimierung.
Seien Sie zunächst realistisch
Die erste Frage, die der CISO beantworten sollte, ist, wie die nächsten Jahre aussehen werden. Werden Homeoffice- und Direkt-Internet-Prozesse in ihrer Organisation zu dauerhaften Änderungen der Unternehmensabläufe führen? Oder handelt es sich dabei bloß um Modeerscheinungen, die wieder vorübergehen, sobald wir COVID endgültig hinter uns gelassen haben?
Als wir zum ersten Mal in die Pandemie eintraten, behaupteten einige Skeptiker, dass Remote-Mitarbeiter nicht produktiv sein könnten. Was die Manager jedoch festgestellt haben, ist, dass viele Arbeitnehmer im Homeoffice sogar noch produktiver sind. Grund dafür sind Veränderungen im Lebensstil, die eine größere Flexibilität bei der Arbeitsweise ermöglichen, als dies selbst in fortschrittlichen Konzernbüros möglich ist. Ich habe zwar keine Kristallkugel, bin aber der Meinung, dass die meisten Unternehmen keinen Bezug zur Realität haben, wenn sie darauf wetten, dass das Netzwerk irgendwann wieder in den Zustand vor COVID zurückkehrt. Wir kehren nicht alle ins Büro zurück und ich würde argumentieren, dass wir aufhören sollten, Remote- und Cloud-basierte Arbeitsabläufe als die „neue Normalität“ zu bezeichnen. Dadurch fühlt es sich trendig und vielleicht vorübergehend an und entspricht nicht der Realität, in der jeder CISO von nun an arbeiten muss. Da wir gerade die Anforderungen der Pandemie hinter uns lassen, sollten Sicherheitsverantwortliche diesen Moment nutzen, um zu beurteilen, wie sie die Sicherheit und den Datenschutz ihres Unternehmens am effizientesten und effektivsten skalieren können, um die kürzlich veränderte Angriffsfläche zu schützen.
Weniger Reibungsverluste für Endbenutzer
Ein Bereich, auf den sich CISOs konzentrieren sollten, ist die Endbenutzererfahrung, die in vielen Unternehmen dringend optimiert werden muss. Um die immer größer werdende Angriffsfläche schnell abzusichern, musste vor einem Jahr viel mehr Benutzern als zuvor VPN-Zugriff gewährt und kritische Daten und Anwendungen mit einer Multi-Faktor-Authentifizierung (MFA) gesperrt werden. Ziel war es, Vermögenswerte so sicher wie möglich zu machen. Manchmal war das Ergebnis das Gegenteil.
Ich kenne ein Unternehmen im Gesundheitswesen, das MFA eingeführt hat, damit Benutzer eine Verbindung zu Outlook 365 herstellen können. Wenn sie dann SharePoint verwenden wollten, mussten sie Outlook beenden und den MFA-Prozess erneut durchlaufen. Um wieder zum E-Mail-Dienst zurückzukehren, müssten Sie SharePoint beenden und eine weitere Multi-Faktor-Authentifizierung starten. Wenn die Sicherheit so viel Reibung verursacht, verringert sich die Produktivität der Endbenutzer – oder sie sind gezwungen, nach Wegen zu suchen, die Unternehmensvorgaben zu umgehen. Wenn CISOs modernste Tools auf alle von uns kontrollierten Anwendungen und Daten anwenden, die Leute aber auf Cloud-basierte Alternativen zurückgreifen, um ihre Arbeit zu erledigen, ist unsere Sicherheitsstrategie nicht erfolgreich. Die beste Sicherheit ist die Sicherheit, von der niemand weiß, dass sie genutzt wird.
Ein weiteres Beispiel ist der Backhauling-Verkehr. Viele Unternehmen verlangen von ihren Benutzern nach wie vor, dass sie ein VPN nutzen und den gesamten Datenverkehr über das Rechenzentrum zurückleiten, selbst wenn sie für die Cloud bestimmte Anwendungen verwenden. Das Problem besteht darin, dass sie sich auf Geräte verlassen, die sie bereits vor der Pandemie im Einsatz hatten, als nur ein sehr kleiner Teil der Belegschaft außerhalb des Unternehmens arbeitete. Ihre Systeme sind für dieses Volumen an Remote-Arbeit nicht ausreichend dimensioniert. Sie könnten diese Diskrepanz beheben, indem sie jeden, der inaktiv ist, aus dem VPN werfen. Ein Mitarbeiter, der sich dann jedoch entfernt, um sich eine Tasse Kaffee nachzuschenken, muss möglicherweise eine neue VPN-Sitzung starten. Und wieder einmal beeinträchtigt die Sicherheit die Produktivität der Mitarbeiter, und die Mitarbeiter könnten versucht sein, Workarounds zu finden. Und wir müssen uns fragen: Hat dies unsere Sicherheitslage verbessert? Möglicherweise haben wir versehentlich mehr Zugriff auf die Vermögenswerte gewährt, die wir schützen möchten, als erforderlich.
Ich plädiere sicherlich nicht dafür, sämtliche Sicherheitsmaßnahmen aufzuheben. Es gibt ein für Benutzer akzeptables Maß an Reibung, und das richtige Maß ist von Unternehmen zu Unternehmen unterschiedlich – es gibt keine Zauberformel für die Reibungstoleranz. Doch wenn wir uns der Realität stellen, liegt es an den CISOs, zu bestimmen, wie viel Reibung für ihre Organisation angemessen ist, und Schritte zu unternehmen, um die Reibung unterhalb dieses Niveaus zu halten.
Vermeidung von Verschwendung
Ein Hauptziel der Sicherheitsoptimierung nach COVID ist die Auswahl von Kontrollen, die sowohl wirksam als auch minimal invasiv sind. Dies gilt auch für die Gewährleistung, dass IT-Investitionen gut angelegt sind.
Während die Gesundheitsämter versuchen, die Pandemie entschieden zu beenden, geraten die Sicherheitsfunktionen erneut unter Budgetdruck. CISOs müssen bewerten, wie sie die Tools nutzen, die ihnen derzeit zur Verfügung stehen. Sie sollten Lösungen aussortieren, die in der Realität nach der Pandemie nicht mehr wirksam sind, und diejenigen optimieren, die sie weiterhin nutzen werden.
Reichen die Tools, die vor zwei Jahren gut funktionierten, aus, um die stark vergrößerte Angriffsfläche des Unternehmens mit seinen über die ganze Welt verteilten Mitarbeitern zu schützen? Um diese Frage zu beantworten, müssen Sie die Sicherheitsstrategie des Unternehmens den spezifischen Kontrollen zuordnen, die zur Umsetzung dieser Strategie erforderlich sind. Anschließend sollten die Sicherheitsteams ihren Lösungsbestand anhand dieser Kontrollliste bewerten.
Wie bringt jedes Produkt oder jede Dienstleistung in der Technologie-Lieferkette des Unternehmens die Organisation voran? Der CISO muss sich besonders darum bemühen, alle Zusammenhänge in seiner Umgebung zu verstehen. Dies ist nicht die Art von Aufgabe, die mit Markierungen auf einer Compliance-Checkliste endet. Stattdessen sollte der CISO aus diesem Prozess mit einem umfassenden Wissen darüber herausgehen, inwiefern jede Lösung für das Unternehmen wertvoll ist. Diejenigen, die keinen ausreichenden Wert mehr bieten, sollten entfernt werden.
Höhere Sicherheit
Das Ziel von CISOs sollte Zero-Trust-Sicherheit in der gesamten Technologiearchitektur sein, wobei das Prinzip der geringsten Privilegien eine Schlüsselkomponente darstellt. Ich weiß, das ist leichter gesagt als getan, aber eine verstärkte Konzentration auf diesen Schwerpunkt wird zweifellos der Schlüssel zur Weiterentwicklung des Unternehmens sein. Für CISOs, die die Sicherheitsfunktionen eines Unternehmens bewerten, ist es daher von entscheidender Bedeutung, zu verstehen, welche Benutzer Zugriff auf welche Ressourcen benötigen. Eine zentrale Herausforderung für CISOs wird in Zukunft darin bestehen, in der neuen Geschäftsgröße Zero-Trust-Sicherheit für alle Daten und Anwendungen des Unternehmens zu erreichen, ohne die Benutzerproduktivität zu beeinträchtigen.
Schließlich sollen durch die Evaluierung der aktuellen Unternehmenslösungen etwaige Sicherheitslücken aufgedeckt werden. Kommen wir nun zum Thema Sicherheit: CISOs können zusätzliche Lösungen in Betracht ziehen, die diese Lücken möglicherweise schließen können, und dann die Investitionen priorisieren. Bei der sorgfältigen Prüfung potenzieller Infrastrukturerweiterungen müssen CISOs über die in Marketingmaterialien aufgeführten prognostizierten Ergebnisse und Schnickschnack hinausgehen, da diese den Eindruck erwecken können, dass alle Lösungen gleich sind. Stattdessen sollten sich Produktbewertungen auf die spezifischen Funktionen der Lösung konzentrieren, um zu verstehen, wie diese Funktionen die Sicherheitsanforderungen des Unternehmens unterstützen und wie sie mit dem Unternehmen skalierbar sind. CISOs sollten mit vertrauenswürdigen Personen in vergleichbaren Unternehmen sprechen, um herauszufinden, ob die einzelnen Lösungen halten, was sie versprechen.
Angesichts der immer höheren Sicherheitsanforderungen der Unternehmen wird der Aufbau eines erfolgreichen Sicherheitsbetriebs eine große Herausforderung sein. Aber es ist eine Herausforderung, die CISOs nicht ignorieren können. Während der Pandemie nahmen die Angriffe zu. Im gleichen Tempo stiegen auch die Risiken. Das Erreichen einer effektiven und effizienten Sicherheit, die auch die Geschäfts- und Benutzerproduktivität unterstützt, muss das COVID-Endziel des CISO sein.
Der Artikel erschien ursprünglich bei Sicherheitsinfo-Watch.
Den Blog lesen