Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Cybersecurity und Business in Einklang bringen: Niemand behauptet, es sei einfach

Die schlechte Nachricht ist, dass zwischen Business und Cybersecurity eine Kluft besteht. Die gute Nachricht? Diese beiden Bereiche aufeinander abzustimmen, kann den entscheidenden Unterschied ausmachen.

Wenn Sie schon länger als CISO, CSO oder anderer Cybersecurity-Verantwortlicher tätig sind, wurden Sie vermutlich schon recht häufig von einem CEO, Vorstandsmitglied oder einer anderen Führungskraft gefragt: „Wie sicher sind wir?“ Und Sie wissen auch, dass die Beantwortung dieser Frage nicht so einfach ist, wie es scheinen mag.

In einer Zeit, in der sich Unternehmensrisiken rapide verändern – durch Pandemien, Konjunkturrückgänge und Remote-Arbeit – verstärken die weltweit grassierenden Cyberangriffe und Bedrohungen nicht nur jedes Risiko, sondern haben Cybersicherheit zu einem Thema gemacht, das jetzt auch von der Unternehmensleitung unter die Lupe genommen wird. Diejenigen unter uns, die an vorderster Front stehen, haben jedoch mit einer Vielzahl von Problemen zu kämpfen, die es schwierig machen, den Geschäftsverantwortlichen ein klares Bild von der Cybersecurity-Lage in unserem Unternehmen zu vermitteln.

Mit dem Ziel, einige dieser zentralen Herausforderungen an die Oberfläche zu bringen und Sicherheitsverantwortlichen dabei zu helfen, einen sinnvollen Dialog mit ihren Kollegen in der Geschäftsleitung zu initiieren, beauftragte Tenable Forrester Consulting damit, eine Online-Umfrage unter 416 Sicherheitsverantwortlichen und 425 Wirtschaftsführern durchzuführen und aus den Ergebnissen eine Studie zu erstellen, die Cybersecurity-Strategien und -Praktiken in mittelständischen bis großen Unternehmen untersucht. Diese Studie, Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen, macht deutlich, dass zwischen den Erwartungen der Geschäftsleitung und der Realität, mit der Sicherheitsverantwortliche konfrontiert sind, eine Diskrepanz besteht. Sie zeigt aber auch die vielleicht größte Chance auf, die sich heute für digitale Unternehmen bietet – nämlich die Rolle des CISO auf die gleiche Stufe anzuheben wie andere Führungspositionen.

Die Zukunft gehört Business-orientierten Sicherheitsverantwortlichen

Die Studie zeigt vier zentrale Themen auf:

  • Cybersecurity-Bedrohungen florieren in einem Klima der Ungewissheit, weshalb dieses Thema die Aufmerksamkeit der Unternehmensleitung verdient. Die überwiegende Mehrheit der Unternehmen erlitt in den vergangenen 12 Monaten mindestens einen geschäftsschädigenden1 Cyberangriff oder Sicherheitsverstoß. Ungefähr zwei Drittel (65 %) berichteten, dass bei diesen Angriffen OT-Assets (operative Technologie) betroffen waren.

  • Geschäftsverantwortliche wollen ein klares Bild von der Cybersecurity-Lage in ihren Unternehmen, doch ihre Cybersecurity-Kollegen haben Schwierigkeiten, ihnen dieses zu vermitteln. Nur 4 von 10 Sicherheitsverantwortlichen geben an, die Frage „Wie sicher bzw. gefährdet sind wir?“ mit einem hohen Maß an Zuversicht beantworten zu können.

  • Es gibt eine Diskrepanz in der Art und Weise, wie Unternehmen Cyberrisiken erkennen und managen. Weniger als 50 % der Sicherheitsverantwortlichen definieren die Auswirkungen von Cybersecurity-Bedrohungen im Kontext eines spezifischen Geschäftsrisikos. Lediglich die Hälfte der Sicherheitsverantwortlichen (51 %) melden, dass ihre Sicherheitsabteilung mit geschäftlichen Interessensvertretern zusammenarbeitet, um Kosten-, Leistungs- und Risikominderungsziele mit geschäftlichen Anforderungen abzustimmen. Nur jeder vierte Sicherheitsverantwortliche (43 %) gibt an, die Leistungsmetriken der Sicherheitsabteilung regelmäßig gemeinsam mit Business-Stakeholdern zu prüfen.

  • Cybersecurity muss zu einer Strategie für die Reduzierung des Geschäftsrisikos heranreifen. Das ist jedoch erst dann möglich, wenn Sicherheitsverantwortliche mehr Einblick in ihre Angriffsoberfläche haben. Knapp über die Hälfte der Sicherheitsverantwortlichen geben an, dass ihre Sicherheitsabteilung die gesamte Angriffsoberfläche des Unternehmens umfassend im Blick hat und bewerten kann, und unter 50 % setzen kontextbezogene Bedrohungsmetriken ein, um das Cyberrisiko des Unternehmens zu messen. Das heißt, ihre Fähigkeit, Cyberrisiken zu analysieren und Behebungsmaßnahmen nach geschäftlicher Kritikalität und Bedrohungskontext zu priorisieren und durchzuführen, ist begrenzt.

Die Studie zeigt, dass Security- und Business-Leader signifikante, nachweisbare Ergebnisse liefern, wenn sie sich an gemeinsam vereinbarten Daten zum Unternehmensrisiko orientieren. Bei Business-orientierten Sicherheitsverantwortlichen ist es achtmal wahrscheinlicher, dass sie das Sicherheits- bzw. Risikoniveau des Unternehmens quantifizieren können, als bei Fachkollegen, die eher isoliert arbeiten. Im heutigen Wirtschaftsklima ist dies noch bemerkenswerter, da ein weltweiter Wirtschaftsabschwung Unternehmen dazu veranlasst, ihre Ausgaben zu überdenken: 85 % der Business-orientierten Sicherheitsverantwortlichen verfügen über Metriken, um den Cybersecurity-ROI und die Auswirkungen auf die Geschäftsentwicklung zu verfolgen, im Vergleich zu nur 25 % ihrer eher reaktiv und isoliert handelnden Fachkollegen.

Dan Bowden, CISO bei Sentara Healthcare, äußerste sich bereits letztes Jahr in einem Interview mit Tenable dazu: „Heutzutage wird in der Gesellschaft sehr darauf geachtet, wie gut Unternehmen Risiken managen – Führungsteams und Vorstände in jedem Unternehmen wollen Teil der Lösung sein, wenn es darum geht, das Problem zu beseitigen. Wenn Sie ihnen verlässliche Daten über die Gefährdung geben können sowie dazu, was wirklich unbedingt getan werden muss, können sie mit den Daten etwas anfangen. Sie möchten ihren Teil beitragen sein und Sie dabei unterstützen, Risiken besser im Griff zu haben.“

Um die erforderliche Abstimmung von Sicherheit und Business zu erreichen, benötigen CISOs und andere Sicherheitsverantwortliche die richtige Kombination von Technologien, Daten, Prozessen und Mitarbeitern. Beispielsweise verfügt die überwiegende Mehrheit von Unternehmen (80 %), in denen Sicherheit und Business eng kooperieren, über einen Business Information Security Officer (BISO) oder eine ähnliche Rolle, verglichen mit nur 35 % der in dieser Hinsicht weniger koordinierten Unternehmen. Die Studie ergab außerdem, dass Business-orientierte Sicherheitsverantwortliche bei der Automatisierung wichtiger Vulnerability Assessment-Prozesse um +49 bis +66 Prozentpunkte besser abschneiden als ihre eher reaktiv und isoliert agierenden Fachkollegen.

In den kommenden Wochen werden wir diese und andere Ergebnisse aus der Studie in einer Reihe von Blog-Beiträgen näher untersuchen. In unserem nächsten Beitrag befassen wir uns eingehender mit den vielen Herausforderungen, vor denen Sicherheitsverantwortliche bei der Beantwortung der Frage „Wie sicher sind wir?“ stehen. In nachfolgenden Beiträgen geht es um Strategien zur Reaktion auf COVID-19 sowie um die Herausforderungen, die damit verbunden sind, die richtigen Technologien, Daten und Prozesse für Ihr Unternehmen zu finden und zu implementieren.  Wir erörtern, wie eine Business-orientierte Cybersecurity-Praxis aussieht und wie Sie damit beginnen können, eine solche in Ihrem Unternehmen aufzubauen. Darüber hinaus geben wir Tipps und Empfehlungen, wie Sie Ihre eigene Rolle in die eines Business-orientierten Cybersecurity-Leaders transformieren können.

1„Geschäftsschädigend“ bezieht sich auf einen Cyberangriff oder Sicherheitsverstoß, der zu folgendem geführt hat: Verlust von Kunden-, Mitarbeiter- oder anderen vertraulichen Daten, Unterbrechung des normalen Geschäftsbetriebs, Auszahlung von Lösegeld, finanzieller Verlust/Diebstahl und/oder Diebstahl von geistigem Eigentum.

Mehr erfahren

  • Weitere wichtige Erkenntnisse aus der Studie finden Sie hier
  • Weitere Informationen erhalten Sie auf unserer Website hier
  • Laden Sie die komplette Studie „Jetzt schlägt die Stunde der Business-orientierten Sicherheitsverantwortlichen“ hier herunter
  • Mehr über die Bemühungen von Sentara Healthcare, konstruktivere Gespräche mit C-Level-Führungskräften und dem Vorstand zu führen, können Sie hier nachlesen.

Verwandte Artikel

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

2.275,00 USD

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.