Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Reduzierung von Geschäftsrisiken durch eine verbesserte Cybersecurity-Entscheidungsfindung

Steigern Sie die Effizienz Ihres Sicherheitsprogramms: Identifizieren Sie Metriken, die den richtigen Kontext bieten, um die Entscheidungsfindung auf strategischer und taktischer sowie der Führungsebene Ihres Unternehmens zu unterstützen.

In Anbetracht von sich ständig verändernden Umgebungen sowie Angreifern, die sich die Geschwindigkeit und Skalierbarkeit von modernen IT-Umgebungen zunutze machen, nehmen die Herausforderungen für Sicherheitsteams weiter zu. Durch das Tempo und die Komplexität dieser Veränderungen beginnt ein neues Kapitel in der Entwicklung von Informationssicherheitsteams: Heutzutage müssen Sicherheitsteams auch Experten für Risikomanagement sein. Ganz gleich, ob Sie auf sich allein gestellt sind oder in einem großen Team arbeiten – Sie müssen Entscheidungen auf mehreren Ebenen des Unternehmens treffen, um Risiken effektiver zu mindern. 

In unserem neuesten Whitepaper, Die drei Ebenen der Entscheidungsfindung bei unternehmerischen Sicherheitsfragen, befassen wir uns im Detail mit den drei Ebenen von Entscheidungsstrategien, die Sicherheitsteams berücksichtigen müssen: 

  • Führungsebene

  • strategische Ebene 

  • taktische Ebene 


Der Entscheidungsfindungsprozess ist auf jeder dieser Ebenen mit zahlreichen Nuancen verbunden und kann sehr komplex sein. Nachfolgend gehen wir auf einige Beispiele für die verschiedenen Arten von Entscheidungen ein, die auf jeder Ebene notwendig sind. Außerdem erklären wir, wie Sie die Entscheidungsfindung mithilfe der richtigen Tools und Metriken auf allen drei Ebenen verbessern können, um die Wirksamkeit Ihres Sicherheitsprogramms zu steigern. 

Entscheidungen auf Führungsebene

Auf Führungsebene haben Sicherheitsverantwortliche mit zwei verschiedenen Teilbereichen zu tun, die die Entscheidungsfindung unterstützen: Zum einen müssen sie Informationen und Metriken zur Sicherheits- und Risikolage des Unternehmens an ihre Business-Kollegen auf Vorstandsebene weitergeben, zum anderen müssen ihre eigenen Entscheidungen auf Führungsebene die Richtung für das Sicherheitsteam vorgeben und dieses unterstützen. 

Zur Unterstützung ihrer C-Level-Kollegen fragen Sicherheitsverantwortliche ihre Sicherheitsteams in der Regel nach einer Vielzahl von Informationen, die Entscheidungen mit geschäftlichem Bezug sowie im Zusammenhang mit Umsätzen und Haftungsfragen erleichtern und das gesamte Unternehmen betreffen. Um die Entscheidungsfindung auf dieser Ebene zu verbessern, müssen die durch das Sicherheitsteam zur Verfügung gestellten Metriken risikobasiert und auf geschäftliche Faktoren abgestimmt sein.

Da Sicherheitsinformationen beispielsweise im breiteren Kontext der Unternehmensziele an Geschäftsverantwortliche kommuniziert werden müssen, werden diese mit der bloßen Anzahl der durch Endpoint Protection-Software blockierten Malware-Programme oder mit der Gesamtzahl der im laufenden Monat gepatchten Schwachstellen nicht viel anfangen können. Hierbei handelt es sich um numerische Angaben zur Gesamtmenge ohne jeglichen geschäftlichen Kontext. Stattdessen sollten Sicherheitsverantwortliche es in Erwägung ziehen, den Prozentsatz der erkannten Schwachstellen mit kritischem Risiko zu betrachten, die innerhalb des im Service Level Agreement (SLA) festgelegten Zeitraums beseitigt wurden – oder auch den Trendverlauf der Risikoreduzierung aufgeschlüsselt nach zentraler Geschäftsfunktion, wie etwa auf der primären E-Commerce-Website des Unternehmens oder im Hauptrechenzentrum in New York.

Durch eine erweiterte Betrachtung der Sicherheitsperformance sind Sicherheitsverantwortliche in der Lage, geschäftlichen Führungskräften wertvolle Kontextinformationen zur Verfügung zu stellen. Dadurch können diese sich ein Bild davon machen, wie effektiv das Sicherheitsprogramm ist, und entscheiden, ob in bestimmten Bereichen zusätzliche Ressourcen aufgewendet werden müssen, um das Risiko im Unternehmen weiter einzudämmen und zu reduzieren.

Reduzierung von Geschäftsrisiken durch eine verbesserte Cybersecurity-Entscheidungsfindung_1

Bei alleiniger Betrachtung aus Perspektive des Sicherheitsteams stehen diese Metriken für sämtliche Bemühungen, die von allen Mitgliedern und Entscheidungsebenen des Teams ausgehen. Auf diese Weise können CISOs und andere Sicherheitsverantwortliche der Führungsebene durch Messungen ermitteln, ob die Vision für das Sicherheitsteam durch andere Teammitglieder tatsächlich verwirklicht wird und Entscheidungen auf strategischer und taktischer Ebene effektiv zu einer konkreten Reduzierung des Risikos führen. Wenn diese Metriken auf einen Abwärtstrend hindeuten, sind Sicherheitsverantwortliche natürlich in der Lage, den eingeschlagenen Kurs zu korrigieren und Bereiche zu identifizieren, die mehr Unterstützung durch das Management erfordern, damit Hindernisse beseitigt, weitere Ressourcen akquiriert, mehr Mitarbeiter eingestellt oder zusätzliche externe Hilfestellungen in Anspruch genommen werden können. 

Entscheidungen auf strategischer Ebene

Weiter unten im Organigramm des Sicherheitsteams müssen Entscheidungsträger der strategischen Ebene (üblicherweise Direktoren, Teamleiter oder andere Manager der mittleren Ebene, mitunter aber auch leitende technische Experten oder Analysten) die Teams der Führungsebene dabei unterstützen, bessere Entscheidungen hinsichtlich der Gesamtausrichtung des Unternehmens zu treffen. Parallel dazu müssen sie Teams der taktischen Ebene zu größerer Effizienz und Effektivität bei Behebungsmaßnahmen verhelfen, um Risiken zu reduzieren. 

Risikopriorisierung ist der Schlüssel, um Teams der taktischen Ebene bestmöglich zu unterstützen. Hier sind die täglichen operativen Entscheidungen von kritischer Bedeutung, um sicherzustellen, dass das Unternehmen seine Ressourcen auf die wichtigsten Bereiche fokussiert, in denen Behebungsmaßnahmen die größte Wirkung haben. Bei Ihren Bemühungen, geschäftliche Anforderungen in die operative Umsetzung einzubinden, ist die Asset-Kritikalität von entscheidender Bedeutung. Diese Metrik verdeutlicht nicht nur, wo die kritischsten Risiken für das Unternehmen insgesamt gesenkt werden müssen, sondern verhilft operativen Teams auch zu einer effizienteren und effektiveren Priorisierung des Arbeitsaufwands. 

Wenn Sie sich die geschäftliche Kritikalität der Assets in Ihrem Unternehmen vor Augen führen, ob geordnet nach Asset-Standort, Zugänglichkeit über das Internet, Gerätetyp, unterstützter Geschäftsfunktion oder beliebigen anderen Faktoren, können Sie bei Ihren Remediation-Workflows zu einem stärker risikobasierten Ansatz übergehen.    

Reduzierung von Geschäftsrisiken durch eine verbesserte Cybersecurity-Entscheidungsfindung_2

Für das allgemeine Management Ihres Sicherheitsprogramms ist es auch wichtig, zu verstehen, ob die Richtlinien, Prozesse und Verfahren wie erwartet funktionieren und dazu beitragen, den Reifegrad allmählich zu erhöhen. Entscheidungen auf strategischer Ebene müssen die anderen beiden Ebenen der Entscheidungsfindung unterstützen. Durch eine kontinuierliche Verfeinerung und Verbesserung des Sicherheitsprogramms mithilfe von besseren strategischen Entscheidungen kann aufgezeigt werden, dass das Programm effektiv ist und sich kontinuierlich verbessert. Für Entscheidungsträger der Führungsebene ist dies ein wichtiger Indikator für geschäftlichen Wert. Wenn Führungskräfte nachvollziehen können, dass Ihre Maßnahmen zur Verbesserung des Sicherheitsprogramms mit geschäftlichem Wert verbunden sind, ist dies nicht nur für den Erfolg des Teams entscheidend. Diese Erkenntnis kann bei Anträgen auf die Bewilligung von zusätzlichen Budget- und Personalressourcen unterstützend eingesetzt werden. Die Messung der Effektivität Ihrer Bewertungs- und Behebungsverfahren unter dem Gesichtspunkt des Reifegrads versetzt Entscheidungsträger der strategischen Ebene an dieser Stelle nicht nur in die Lage, Ressourcen je nach Bedarf umzuschichten, um diese Workflows zu verbessern. Sie unterstützt auch die allgemeinen geschäftlichen Anforderungen, Risiken kontinuierlich zu reduzieren und den ROI durch Effizienz- und Prozessverbesserungen zu steigern.

Reduzierung von Geschäftsrisiken durch eine verbesserte Cybersecurity-Entscheidungsfindung_3

Entscheidungen auf taktischer Ebene

Ob das Sicherheitsteam in die operative Umsetzung von aktiven Behebungsmaßnahmen direkt eingebunden ist oder nicht – es spielt eine entscheidende Rolle dabei, die Durchführung der täglichen Patching- und Behebungsaufgaben effektiv und effizient zu unterstützen. 

Durch eine Umwandlung von Sicherheitsergebnissen in spezifische Empfehlungen kann das Sicherheitsteam es den Operations-Teams erleichtern, sich schnell ein Bild von den erforderlichen Maßnahmen zu machen und auf effiziente Weise die richtigen Workflows zu entwickeln, um die notwendigen Behebungsschritte durchzuführen. Eine nahtlosere Integration zwischen den Sicherheits- und Betriebsprozessen würde hier zu einer insgesamt erhöhten Wirksamkeit des Programms führen, was die Wertschöpfung verbessert und noch mehr konkrete Risiken für das Unternehmen senkt.

Reduzierung von Geschäftsrisiken durch eine verbesserte Cybersecurity-Entscheidungsfindung_4

Jede Ebene bringt ganz eigene Herausforderungen für die Entscheidungsfindung mit sich. Doch gewappnet mit den richtigen Erkenntnissen und Sichtweisen können Sie die Wirksamkeit des Programms konkret verbessern – und diese Verbesserungen auch nachweisen.

Mehr erfahren 

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support hinzufügen