Reduzierung von Geschäftsrisiken durch eine verbesserte Cybersecurity-Entscheidungsfindung

Steigern Sie die Effizienz Ihres Sicherheitsprogramms: Identifizieren Sie Metriken, die den richtigen Kontext bieten, um die Entscheidungsfindung auf strategischer und taktischer sowie der Führungsebene Ihres Unternehmens zu unterstützen.

In Anbetracht von sich ständig verändernden Umgebungen sowie Angreifern, die sich die Geschwindigkeit und Skalierbarkeit von modernen IT-Umgebungen zunutze machen, nehmen die Herausforderungen für Sicherheitsteams weiter zu. Durch das Tempo und die Komplexität dieser Veränderungen beginnt ein neues Kapitel in der Entwicklung von Informationssicherheitsteams: Heutzutage müssen Sicherheitsteams auch Experten für Risikomanagement sein. Ganz gleich, ob Sie auf sich allein gestellt sind oder in einem großen Team arbeiten – Sie müssen Entscheidungen auf mehreren Ebenen des Unternehmens treffen, um Risiken effektiver zu mindern. 

In unserem neuesten Whitepaper, Die drei Ebenen der Entscheidungsfindung bei unternehmerischen Sicherheitsfragen, befassen wir uns im Detail mit den drei Ebenen von Entscheidungsstrategien, die Sicherheitsteams berücksichtigen müssen: 

• Führungsebene

• strategische Ebene 

• taktische Ebene 


Der Entscheidungsfindungsprozess ist auf jeder dieser Ebenen mit zahlreichen Nuancen verbunden und kann sehr komplex sein. Nachfolgend gehen wir auf einige Beispiele für die verschiedenen Arten von Entscheidungen ein, die auf jeder Ebene notwendig sind. Außerdem erklären wir, wie Sie die Entscheidungsfindung mithilfe der richtigen Tools und Metriken auf allen drei Ebenen verbessern können, um die Wirksamkeit Ihres Sicherheitsprogramms zu steigern. 

Entscheidungen auf Führungsebene

Auf Führungsebene haben Sicherheitsverantwortliche mit zwei verschiedenen Teilbereichen zu tun, die die Entscheidungsfindung unterstützen: Zum einen müssen sie Informationen und Metriken zur Sicherheits- und Risikolage des Unternehmens an ihre Business-Kollegen auf Vorstandsebene weitergeben, zum anderen müssen ihre eigenen Entscheidungen auf Führungsebene die Richtung für das Sicherheitsteam vorgeben und dieses unterstützen. 

Zur Unterstützung ihrer C-Level-Kollegen fragen Sicherheitsverantwortliche ihre Sicherheitsteams in der Regel nach einer Vielzahl von Informationen, die Entscheidungen mit geschäftlichem Bezug sowie im Zusammenhang mit Umsätzen und Haftungsfragen erleichtern und das gesamte Unternehmen betreffen. Um die Entscheidungsfindung auf dieser Ebene zu verbessern, müssen die durch das Sicherheitsteam zur Verfügung gestellten Metriken risikobasiert und auf geschäftliche Faktoren abgestimmt sein.

Da Sicherheitsinformationen beispielsweise im breiteren Kontext der Unternehmensziele an Geschäftsverantwortliche kommuniziert werden müssen, werden diese mit der bloßen Anzahl der durch Endpoint Protection-Software blockierten Malware-Programme oder mit der Gesamtzahl der im laufenden Monat gepatchten Schwachstellen nicht viel anfangen können. Hierbei handelt es sich um numerische Angaben zur Gesamtmenge ohne jeglichen geschäftlichen Kontext. Stattdessen sollten Sicherheitsverantwortliche es in Erwägung ziehen, den Prozentsatz der erkannten Schwachstellen mit kritischem Risiko zu betrachten, die innerhalb des im Service Level Agreement (SLA) festgelegten Zeitraums beseitigt wurden – oder auch den Trendverlauf der Risikoreduzierung aufgeschlüsselt nach zentraler Geschäftsfunktion, wie etwa auf der primären E-Commerce-Website des Unternehmens oder im Hauptrechenzentrum in New York.

Durch eine erweiterte Betrachtung der Sicherheitsperformance sind Sicherheitsverantwortliche in der Lage, geschäftlichen Führungskräften wertvolle Kontextinformationen zur Verfügung zu stellen. Dadurch können diese sich ein Bild davon machen, wie effektiv das Sicherheitsprogramm ist, und entscheiden, ob in bestimmten Bereichen zusätzliche Ressourcen aufgewendet werden müssen, um das Risiko im Unternehmen weiter einzudämmen und zu reduzieren.

Bei alleiniger Betrachtung aus Perspektive des Sicherheitsteams stehen diese Metriken für sämtliche Bemühungen, die von allen Mitgliedern und Entscheidungsebenen des Teams ausgehen. Auf diese Weise können CISOs und andere Sicherheitsverantwortliche der Führungsebene durch Messungen ermitteln, ob die Vision für das Sicherheitsteam durch andere Teammitglieder tatsächlich verwirklicht wird und Entscheidungen auf strategischer und taktischer Ebene effektiv zu einer konkreten Reduzierung des Risikos führen. Wenn diese Metriken auf einen Abwärtstrend hindeuten, sind Sicherheitsverantwortliche natürlich in der Lage, den eingeschlagenen Kurs zu korrigieren und Bereiche zu identifizieren, die mehr Unterstützung durch das Management erfordern, damit Hindernisse beseitigt, weitere Ressourcen akquiriert, mehr Mitarbeiter eingestellt oder zusätzliche externe Hilfestellungen in Anspruch genommen werden können. 

Entscheidungen auf strategischer Ebene

Weiter unten im Organigramm des Sicherheitsteams müssen Entscheidungsträger der strategischen Ebene (üblicherweise Direktoren, Teamleiter oder andere Manager der mittleren Ebene, mitunter aber auch leitende technische Experten oder Analysten) die Teams der Führungsebene dabei unterstützen, bessere Entscheidungen hinsichtlich der Gesamtausrichtung des Unternehmens zu treffen. Parallel dazu müssen sie Teams der taktischen Ebene zu größerer Effizienz und Effektivität bei Behebungsmaßnahmen verhelfen, um Risiken zu reduzieren. 

Risikopriorisierung ist der Schlüssel, um Teams der taktischen Ebene bestmöglich zu unterstützen. Hier sind die täglichen operativen Entscheidungen von kritischer Bedeutung, um sicherzustellen, dass das Unternehmen seine Ressourcen auf die wichtigsten Bereiche fokussiert, in denen Behebungsmaßnahmen die größte Wirkung haben. Bei Ihren Bemühungen, geschäftliche Anforderungen in die operative Umsetzung einzubinden, ist die Asset-Kritikalität von entscheidender Bedeutung. Diese Metrik verdeutlicht nicht nur, wo die kritischsten Risiken für das Unternehmen insgesamt gesenkt werden müssen, sondern verhilft operativen Teams auch zu einer effizienteren und effektiveren Priorisierung des Arbeitsaufwands. 

Wenn Sie sich die geschäftliche Kritikalität der Assets in Ihrem Unternehmen vor Augen führen, ob geordnet nach Asset-Standort, Zugänglichkeit über das Internet, Gerätetyp, unterstützter Geschäftsfunktion oder beliebigen anderen Faktoren, können Sie bei Ihren Remediation-Workflows zu einem stärker risikobasierten Ansatz übergehen.    

Für das allgemeine Management Ihres Sicherheitsprogramms ist es auch wichtig, zu verstehen, ob die Richtlinien, Prozesse und Verfahren wie erwartet funktionieren und dazu beitragen, den Reifegrad allmählich zu erhöhen. Entscheidungen auf strategischer Ebene müssen die anderen beiden Ebenen der Entscheidungsfindung unterstützen. Durch eine kontinuierliche Verfeinerung und Verbesserung des Sicherheitsprogramms mithilfe von besseren strategischen Entscheidungen kann aufgezeigt werden, dass das Programm effektiv ist und sich kontinuierlich verbessert. Für Entscheidungsträger der Führungsebene ist dies ein wichtiger Indikator für geschäftlichen Wert. Wenn Führungskräfte nachvollziehen können, dass Ihre Maßnahmen zur Verbesserung des Sicherheitsprogramms mit geschäftlichem Wert verbunden sind, ist dies nicht nur für den Erfolg des Teams entscheidend. Diese Erkenntnis kann bei Anträgen auf die Bewilligung von zusätzlichen Budget- und Personalressourcen unterstützend eingesetzt werden. Die Messung der Effektivität Ihrer Bewertungs- und Behebungsverfahren unter dem Gesichtspunkt des Reifegrads versetzt Entscheidungsträger der strategischen Ebene an dieser Stelle nicht nur in die Lage, Ressourcen je nach Bedarf umzuschichten, um diese Workflows zu verbessern. Sie unterstützt auch die allgemeinen geschäftlichen Anforderungen, Risiken kontinuierlich zu reduzieren und den ROI durch Effizienz- und Prozessverbesserungen zu steigern.

Entscheidungen auf taktischer Ebene

Ob das Sicherheitsteam in die operative Umsetzung von aktiven Behebungsmaßnahmen direkt eingebunden ist oder nicht – es spielt eine entscheidende Rolle dabei, die Durchführung der täglichen Patching- und Behebungsaufgaben effektiv und effizient zu unterstützen. 

Durch eine Umwandlung von Sicherheitsergebnissen in spezifische Empfehlungen kann das Sicherheitsteam es den Operations-Teams erleichtern, sich schnell ein Bild von den erforderlichen Maßnahmen zu machen und auf effiziente Weise die richtigen Workflows zu entwickeln, um die notwendigen Behebungsschritte durchzuführen. Eine nahtlosere Integration zwischen den Sicherheits- und Betriebsprozessen würde hier zu einer insgesamt erhöhten Wirksamkeit des Programms führen, was die Wertschöpfung verbessert und noch mehr konkrete Risiken für das Unternehmen senkt.

Jede Ebene bringt ganz eigene Herausforderungen für die Entscheidungsfindung mit sich. Doch gewappnet mit den richtigen Erkenntnissen und Sichtweisen können Sie die Wirksamkeit des Programms konkret verbessern – und diese Verbesserungen auch nachweisen.

Mehr erfahren 

• Whitepaper lesen: Die drei Ebenen der Entscheidungsfindung bei unternehmerischen Sicherheitsfragen
• Zum Webinar anmelden (auf Englisch):  Improve Your Security Strategy: Master the 3 Levels of Decision Making
• Videos ansehen: Messung der Programmwirksamkeit mit Tenable Lumin