![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2018\/10\/25165716\/ciso-report-featured1.jpg\")
Lassen Sie uns zun\u00e4chst auf die Einsch\u00e4tzung der wichtigsten Leistungsindikatoren eines CISOs eingehen. Es ist kaum \u00fcberraschend, dass eine Vielzahl der Befragten sagte, dass ihr wichtigstes Jobkriterium die Qualit\u00e4t und Geschwindigkeit des Incident-Response-Handlings ist. In modernen Unternehmen werden Cyber-Vorf\u00e4lle mittlerweile nicht mehr als Versagen der Sicherheit betrachtet. Es ist sch\u00f6n zu sehen, dass die meisten Spezialisten zu verstehen beginnen, dass Vorf\u00e4lle unvermeidlich, und in den meisten F\u00e4llen sogar normal sind. Beim Thema Cybersicherheit geht es heutzutage vor allem um das \u00dcberleben <\/em>des Unternehmens.<\/p>\nMit \u201e\u00dcberleben\u201c meine ich in diesem Fall ein gewisses Schutzniveau, das garantieren kann, dass sich Unternehmen, im Falle eines APT-Angriffs<\/a>, eines Datenlecks oder eines massiven DDoS-Angriffs, ohne ernsthafte Folgesch\u00e4den selbst wiederherstellen k\u00f6nnen, oder nicht mehr als ein bereits vordefiniertes Verlustminimum erfahren m\u00fcssen. Mit anderen Worten: die heutigen CISOs konzentrieren sich haupts\u00e4chlich auf die Incident Response (Vorfallsreaktion).<\/p>\n Einerseits sind das wirklich gro\u00dfartige Neuigkeiten. Denn noch vor ein paar Jahren herrschte im Bereich der Cybersicherheit eine \u201eZero-Incident\u201c-Einstellung und Unternehmen waren der Meinung, dass CISOs in der Lage sein sollten, die Infrastruktur einer Firma hundertprozentig vor jeglichen Vorf\u00e4llen sch\u00fctzen zu k\u00f6nnen. Andererseits ist auch die momentane Einstellung, sich ausschlie\u00dflich auf reaktive Technologien zu konzentrieren, nicht ideal. Aus meiner Sicht m\u00fcssen CISOs ein ausgewogenes Gleichgewicht finden, denn alle Elemente der adaptiven Sicherheitsarchitektur<\/a> sind wichtig: Pr\u00e4vention, Erkennung, Reaktion und Prognose.<\/p>\n Die meisten CISOs sind sich einig, dass der Reputationsverlust, nach einem Datenleck, das gr\u00f6\u00dfte Risiko f\u00fcr ein Unternehmen darstellt. In diesem Punkt stimme auch ich mit meinen Kollegen \u00fcberein. Reputationssch\u00e4den sind die Grundlage aller anderen Vorfallsfolgen \u2013 fehlendes Kundenvertrauen, ausbleibende Verk\u00e4ufe, fallende Aktien, usw.<\/p>\n Der m\u00f6gliche Reputationsverlust einer Organisation ist der wahre Grund, weshalb wir oftmals nichts von vielen Sicherheitsvorf\u00e4llen mitbekommen. Wenn ein Unternehmen einen Cyber-Vorfall verbergen kann, tut es das \u2013 obwohl es in einigen L\u00e4ndern Gesetze gibt, die Unternehmen dazu verpflichten, ihre Aktion\u00e4re oder Kunden \u00fcber Sicherheitsprobleme zu informieren.<\/p>\n Offenbar gibt es f\u00fcr CISOs gewisse Unterschiede zwischen den Motiven von Cyberkriminellen, staatlich gef\u00f6rderten Angriffen und profitorientierten Straftaten. Meiner Meinung nach sollten Letztere an erster Stelle stehen. Wenn es um Verluste jeglicher Art geht, stellen diese eindeutig die gr\u00f6\u00dfte Gefahr dar \u2013 und die Erfahrung hat gezeigt, dass ein unehrlicher Mitarbeiter potenziell mehr Schaden anrichten kann als ein externer \u00dcbelt\u00e4ter.<\/p>\n Es war besonders interessant zu sehen, wie Sicherheitsdirektoren an gesch\u00e4ftlichen Entscheidungen beteiligt sind und ich war \u00fcberrascht zu erfahren, dass sich nicht alle f\u00fcr ausreichend involviert hielten. Aber was genau bedeutet \u201eausreichend\u201c f\u00fcr sie?<\/p>\n Im Wesentlichen gibt es zwei Strategien. Die Sicherheitsbeauftragten k\u00f6nnen jeden Schritt des Unternehmens kontrollieren und genehmigen oder alternativ als Berater dienen, wobei das Unternehmen die Grundlagen legt.<\/p>\n Auf den ersten Blick scheint die totale Kontrolle effektiver zu sein \u2013 und das w\u00e4re es auch, wenn die Cybersicherheit ein alleiniges Ziel f\u00fcr sich w\u00e4re. In Wirklichkeit erfordert dieser Ansatz aber deutlich mehr Personal und verlangsamt die Gesch\u00e4ftsentwicklung. Das kann besonders f\u00fcr innovative Unternehmen eine Herausforderung sein, die Gesch\u00e4ftsprozesse nutzen, die noch nicht \u00fcber Best Practices zum Unternehmensschutz verf\u00fcgen.<\/p>\n Die Antworten auf die Frage \u201eWie rechtfertigen Sie Ihr Budget ohne einen klar strukturierten ROI?\u201c haben mich ehrlich gesagt ver\u00e4rgert. Es scheint, dass Panikmache als g\u00e4ngigste Rechtfertigungsmethode gilt \u2013 Berichte \u00fcber Sicherheitsverst\u00f6\u00dfe und Schadenseinsch\u00e4tzungen, die das Unternehmen durch fr\u00fchere Angriffe erfahren hat. Ja, das funktioniert \u2013 ein Mal, oder vielleicht auch ein zweites Mal. Aber beim dritten Mal wird die Antwort dann eher \u201eWie wird das Ganze von anderen gehandhabt?\u201c lauten.<\/p>\n F\u00fcr Unternehmen ist es wichtiger, mehr \u00fcber die Erfahrungen anderer Firmen zu erfahren. Leider rangierten \u201eBenchmarks und Best Practices der Branche\u201c lediglich auf Platz sieben der Argumentenliste, obwohl derartige Informationen kinderleicht zu finden sind. Unser IT-Security-Calculator<\/a> ist beispielsweise ein sehr n\u00fctzliches Tool.<\/p>\nM\u00f6gliche Risiken<\/h2>\n
Einfluss auf Unternehmensentscheidungen<\/h2>\n
Rechtfertigung des Budgets<\/h2>\n