Ist das nicht ironisch? Cybersicherheitsbewusstsein ist jeden Monat angebracht

by Rob Treacey, Senior Director Professional Services & Head of EMEA Security Practice, Rackspace Technology

Rackspace-Blog-Image-Isnt-It-Ironic-Cybersecurity

Letzten Monat habe ich den Klassiker „Ironic“ von Alanis Morrisette im Radio gehört. Genau da wurde mir klar: Nur weil der Oktober – Cybersecurity Awareness Month – vorbei ist, bedeutet das nicht, dass wir uns jetzt im November entspannt zurücklehnen sollten.

Jede Stunde und jeden Tag, 12 Monate im Jahr, müssen wir alle Maßnahmen ergreifen, um zu gewährleisten, dass unser Leben online sicher und geschützt ist.

Cybersicherheit sieht für unterschiedliche Unternehmen auch unterschiedlich aus. Deshalb ist es unerlässlich, genau zu definieren, wie sich Cybersicherheitsbedrohungen auf Ihres auswirken. Bedenken Sie, wie sich Ihr Unternehmen in Zukunft entwickelt und welche neuen Sicherheitsrisiken dadurch entstehen, insbesondere durch:

  • Einführung neuer Produkte und Services
  • Betrieb an neuen Standorten
  • Migration von lokalen Geschäftsräumen zu einer Cloud-Umgebung
  • Umstellung auf eine papierlose Umgebung und
  • Outsourcing von Dienstleistungen an Dritte

 

Sieben Ironien der Cybersecurity

1. Cybersicherheitsbewusstsein endet nicht im Oktober. Da Hacker Organisationen weiterhin rund um die Uhr und das ganze Jahr über angreifen, sollte Ihr Unternehmen Schulungen und Sensibilisierungsmaßnahmen zur Cybersicherheit nicht nur einmal im Jahr durchführen, sondern kontinuierlich. Wenn Unternehmen Ihre Angestellten jährlich zu einer obligatorischen Sicherheitsschulung verpflichten, wissen wir doch alle, dass der Großteil die Schulung einfach nur durchziehen möchte, damit sie auf keinem Abschlussbericht rot als „nicht abgeschlossen“ erscheint.

Machen Sie Sicherheit zu einem „Modus Operandi“ in Ihrem Unternehmen, bei dem alle Angestellten verstehen, welche Rolle sie beim Schutz von Assets spielen – und das Richtige tun.

 

2. Auf den Link klicken. Wir hören täglich, dass wir niemals auf einen verdächtigen Link klicken sollen. Und dann – während des Cybersecurity Awareness Month – werden wir dazu aufgefordert, auf Links zu Artikeln über die sichere Überprüfung verdächtiger Links zu klicken! (Um mehr über die zweite Ironie zu erfahren, klicken Sie bitte auf den Link. Wenn ich schon einmal Ihre Aufmerksamkeit habe …)

 

3. Wenn ein Unternehmen verkündet, dass Cybersicherheit hohe Priorität hat und dann enthüllt, dass das jährliche Budget bei 100 US-Dollar liegt. Ich übertreibe natürlich, aber Sie verstehen, worauf ich hinaus will! Cybersicherheit war schon vor COVID‑19 wichtig – und ist es jetzt wahrscheinlich umso mehr. Eine Umfrage von Deloitte aus dem Jahr 2020 hat ergeben, dass die Ausgaben steigen. Aber stehen sie auch im Verhältnis zum tatsächlichen Bedarf? Auch wenn zahlreiche Artikel im Internet besagen, dass Unternehmen etwa 15-20 % ihres jährlichen Budgets für Security ausgeben sollten, liegen die durchschnittlichen Ausgaben im Bereich von 7-10 %.

Die entscheidende Erkenntnis dabei ist, dass jedes Unternehmen anders ist. Ihr Sicherheitsaufwand sollte in einem angemessenen Verhältnis zu den Assets stehen, die Sie schützen. Es könnte sein, dass Sie ein kleines Unternehmen sind, das ein beträchtliches Volumen an personenbezogenen Daten oder Daten einer besonderen Kategorie verarbeitet, oder ein großes Unternehmen, das ein relativ geringes Volumen personenbezogener Daten verarbeitet. Ziel ist es, ein angemessenes Verhältnis zur Risikoexposition anzustreben. Würde eine Sicherheitsverletzung zu einer irreparablen Rufschädigung, erheblichen Kundenverlusten oder zur Nichteinhaltung gesetzlicher Vorschriften führen, benötigen Sie wahrscheinlich ein anständiges Sicherheitsbudget.

 

4. Wenn die Anzahl der Cyberangriffe weiter zunimmt und der CISO im Team der Geschäftsleitung immer noch nichts zu sagen hat. Laut einer Umfrage von Deloitte aus dem Jahr 2020 bei großen Finanzinstituten unterstehen CISOs in der Regel dem CIO oder CTO ihres Unternehmens. CISOs werden nicht nur innerhalb des Unternehmens nach unten gedrängt und haben keine Position in der Geschäftsleitung inne, sie werden auch immer noch fälschlicherweise als IT-Personal eingestuft.

Die Informationssicherheit, zu der auch die Cybersicherheit gehört, hat sich von der einfachen Verwaltung von IT-Kontrollen weiterentwickelt. Sie ist jetzt eine umfassende Funktion im Unternehmen und die Dateneigentümer befinden sich innerhalb des Unternehmens. Daher muss ein CISO Einfluss haben, strategisch denken können und die Fähigkeit besitzen, mit verschiedenen Interessengruppen wie Personalmanagement, Risiko und Compliance, Geschäftsleitung, Marketing, externen Lieferanten und der Unternehmensführung in Kontakt zu treten. Er oder sie muss so sicherstellen, dass Daten-Assets geschützt bleiben und bestehende, neue oder aufkommende Gefahren angemessen gehandhabt werden.

Die Aufgabe des CISO und des gesamten Sicherheitsteams besteht darin, alle Mitarbeiter zu schulen. Ein CISO muss der „Kleber“ sein, der allen Beteiligten die Sicherheitsanforderungen in leicht verständlicher Sprache vermittelt.

 

5. Wenn der Unternehmensvorstand, einschließlich der nicht geschäftsführenden Mitglieder, einen stärkeren Fokus auf Cybersicherheit verkündet, und dann persönliche E-Mail-Adressen verwendet, um das Unternehmen zu führen. Das ist etwas, das ich viel zu oft beobachtet habe – das Versenden und Empfangen vertraulicher Geschäftsdokumente, einschließlich Protokolle von Vorstandssitzungen, über persönliche Hotmail- und Google-Konten. Geben Sie diesen wichtigen Akteuren ein geschäftliches E-Mail-Konto und stellen sie sicher, dass sie es nutzen. Sicherheit beginnt an der Spitze und wandert nach unten, und niemand sollte von der Einhaltung der Sicherheitsrichtlinien und -verfahren einer Organisation ausgenommen sein.

 

6. Wenn jemand fragt: „Können Sie eine Lösung anbieten, die alle Cyberangriffe unterbindet?“ Nur wenn Sie die Verbindung zum Internet unterbrechen können. Aber im Ernst, wenn ein Kunde fragt, ob er vollständig vor Cyberangriffen geschützt ist, lautet die Antwort: „Wenn es ein Produkt gäbe, das jemanden vor jedem einzelnen Angriff schützt, würde es jeder kaufen und Hacker würden dann versuchen, es zu umgehen.“

Cybersicherheit ist ein vielseitiger und vielschichtiger Ansatz, der sich ständig verändern wird. Unternehmen müssen stets wachsam bleiben. Zwar gibt es kein Patentrezept, aber Ihr Unternehmen kann sich durch folgendes Verhalten selbst helfen:

  • Proaktives Handeln
  • Einbindung der Sicherheit in alle Ihre Aktivitäten, und zwar nicht nur im Nachhinein
  • Mitarbeiterschulung und Fokus auf Menschen, Prozesse und Technologie

 

7. Wenn sich eine Organisation in erster Linie auf den Schutz vor Cyberangriffen konzentriert, aber immer noch in einer überwiegend papierbasierten Umgebung arbeitet. Ich habe zum Beispiel mit einer Organisation zusammengearbeitet, in der sich der geschäftliche Schwerpunkt um Cybersicherheit dreht. Und dennoch bewahrte die Organisation unzählige Mengen an Papierdatensätzen in einem gemeinsam genutzten Keller auf, neben einem Raum voller Gasflaschen, in unverschlossenen Aktenschränken und mit den meisten Stammdaten auf dem Boden verteilt. Es geht also nicht nur um elektronische Daten. Ihre physischen Dokumente müssen Sie genauso schützen!

 

Um Alanis zu paraphrasieren, ist es nicht ironisch, dass Cybersicherheit – sowohl der „Monat“ als auch das Thema selbst – voller Paradoxe steckt?

Wir würden Sie gerne auf Ihrem Weg zu mehr Sicherheit begleiten, damit Sie Ihr Unternehmen beruhigt weiterentwickeln können.