Viele Unternehmen sind seit einigen Jahren auf dem Weg der digitalen Transformation. Diese hat durch die diesjährige Pandemie ein nie zuvor dagewesen Geschwindigkeit angenommen. Um den CEO von Microsoft Satya Nadella zu zitieren: „Wir haben in den letzten zwei Monaten eine digitale Transformation im Wert von zwei Jahren erlebt“
Organisationen weltweit passen sich der „neuen Norm“, besonders in einem Digitalen Kontext an und im Zuge dessen verändern sich die Verantwortungen und Plichten der Angestellten, von ganz oben bis ganz unten – und besonders für die CISOs. Von dem Bereitstellen von Möglichkeiten so dass Mitarbeiter sicher & remote arbeiten können, bis zum Kontrollieren der Sicherheit von neuer Software und Applikationen haben die CISOs alle Hände voll zu tun. Lasst uns einen Blick darauf werfen wie so eine „neue Norm“ für die Security Leader aussieht.
Die CISOs haben während der Pandemie unermüdlich daran gearbeitet, um eine neue und remote Arbeitswelt sicherzustellen. CISOs werden in naher Zukunft Wege finden müssen, um für viele verschiedenen Arten von Software, Anwendungen und Devices und für den Zugriff darauf, für den angemessenen Schutz zu sorgen. Es liegt in ihrer Verantwortung, dass die schnell ergriffenen Maßnahmen jetzt robust und auf lange Sicht geeignet sind. Dies erfordert eine Veränderung der Prioritäten, darunter:
Die Sicherheit der Software, die Mitarbeiter am häufigsten verwenden ist stark davon abhängig von wo aus und wie sie bedient wird. Zum Beispiel: Angestellte welche remote arbeiten verwenden fast täglich Video-Konferenz Software um mit ihren Mitarbeitern zu kommunizieren. Angreifer sind bereits darauf aufmerksam geworden und zielen auf Plattformen, welche das Lauschen und Mithören ermöglichen. Ebenso wird auf sensitive Informationen, die seit neuem über das Web ausgetauscht werden gezielt, um diese zu stehlen und vieles mehr. Meetings die zuvor von vier Wänden und einer Tür geschützt waren finden jetzt Online statt und das bietet nachvollziehbarerweise Angriffsflächen. Sich sicher zu sein das die Plattformen für virtuellen Meetings sicher sind hat jetzt hohe Priorität.
Angestellte brauchen einen sicheren Zugriff auf Informationen, besonders wenn sie sich außerhalb des Büros aufhalten. Eine weitere Veränderung, die entscheidend für die Kontinuität von Firmen ist, ist die Implementierung von Cloud basierter Infrastruktur, auf die man von überall zugreifen kann. Viele Organisationen erkennen bereits das Potential von Cloud-Diensten um ihr Wachstum enorm zu beschleunigen und setzten daher eine Vielfalt neuer Dienste ein, besonders in dem Bereich „remotes Arbeiten“. Aber laut KPMG und dem dritten jährlichen „Cloud Threat Report“ von Oracle glauben 92% von IT und Security Spezialisten, das die öffentlichen Cloud-Dienste ihrer Organisation unzureichend vorbereitet und gesichert sind. Wenn man Cloud Computing implementieren möchte muss es ein starkes Security Framework geben, welches in der Lage ist, Firmen Assets, die online aufbewahrt werden, vor Diebstahl zu schützen.
Cybersicherheitsverfahren und -Richtlinien müssen jetzt mehr denn je klar vom CISO kommuniziert werden. Bereiche, die nach der Pandemie, in der dann deutlich virtuelleren Wirtschaft wichtig werden sind „Data at-rest“ und „Data in-transit“ Verfahren. In einem virtuellen Arbeitsumfeld ist es sehr wichtig, an die Mitarbeiter, Leiter, Entwickler und an alle anderen klar zu kommunizieren was und was nicht akzeptable ist. Ist das nicht der Fall, dann besteht das Risiko, dass Organisationen in Bezug auf die Security-Richtlinien zum „Wilden Westen“ werden, in dem jeder seine eigenen Regeln aufstellt. Damit erhöht sich das Risiko das Daten verloren gehen bzw. gestohlen werden deutlich. Dies passiert durch unsichere und inadäquate „Data in-transit“ oder „Data at-rest“ Methoden. Ein erfolgreicher Schutz für Unternehmens- und/oder privaten Netzwerken hängt wesentlich von guten Richtlinien und einer umfassenden internen Ausrichtung neuer, klarer Richtlinien ab.
Die Umstellung zurück zum „physisch im Büro anwesend sein wird wahrscheinlich sehr spät oder gar nicht stattfinden. Viele Mitarbeiter werden einen „Hybrid-Stil“ bevorzugen in dem sie das remote arbeiten mit dem arbeiten vom Büro aus von Woche zu Woche mischen und verbinden. Alle Mitarbeiter sollten in Bezug auf softwarebezogene Sicherheitsbedenken geschult und gut ausgebildet werden, damit sie verstehen, was im Büro und was bei remote Arbeit von zu Hause aus zu Bedenken ist. Eine Art um diese Risiken zu vermindern ist ein spezielles Training für Developer und Security anzubieten. Außerdem ist es ratsam sich die Zeit zu nehmen, um die Wurzel von Software bezogenen Security Problemen anzusehen und anzusprechen. Stichwort: Security Awareness.
Dies kann durch verschiedene Strategien erfolgen, doch eine der effektivsten Strategien ist das Ankurbeln von Cybersecurity Trainingsprogrammen. Verwenden Sie interaktive und gamifizierte Komponenten um Mitarbeiter und Entwickler motiviert zu halten. Setzen Sie auf Lektionen in kurzen aber häufigen Zyklen um die Sicherheit im täglichen Betrieb ständig im Auge zu behalten. Security ist am Ende jedermanns Aufgabe und nicht nur die Aufgabe von ein paar wenigen.
