Hürden bei der Vorbereitung von Zero Trust
Der Weg zu Zero Trust kann steinig sein, doch ist er auf jeden Fall lohnenswert. Die Verantwortlichen müssen mit dem Ergebnis einer umfassenden Risikobewertung aller Assets den Vorstand von der Umsetzung überzeugen. Einige Best Practices dazu.
Save to Folio
Der Wechsel zu einem Zero-Trust-Konzept kann technische Schwierigkeiten mit sich bringen, z. B. bei er Integration älterer Systeme, infolge der Komplexität der Implementierung oder bei der Gewährleistung einer nahtlosen Integration der Sicherheitstechnologie. Zudem ist eine solche Umstellung wegen der Anfangskosten und der laufenden Wartung, Aktualisierung und Schulung mit hohen Investitionen verbunden. Auch muss mit dem Widerstand der Mitarbeiter, mangelndem Verständnis oder mangelnder Schulung und einer erhöhten Verantwortung für die Sicherheit gerechnet werden.
Trotz dieser Herausforderungen ist Zero Trust aufgrund seiner Vorteile - vor allem in Bezug auf die verbesserte Sicherheit und das Risikomanagement - eine lohnende Investition. Zu erwähnen wäre die Interoperabilität mit Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA) sowie die Einbeziehung von Attack Surface Management und XDR in eine einzige Plattform, alles Fakten, die beispielsweise die Belastung der IT-Teams mindern und eine einzige Quelle der Erkenntnisse für die Risikobewertung innerhalb des aktuellen Sicherheits-Stacks schaffen, einschließlich Integrationen und APIs von Drittanbietern.
Mit sorgfältiger Planung, der Zustimmung der wichtigsten Stakeholder, einschließlich der Geschäftsführung, entsprechenden Schulungen und der Investition in kompatible Technologien lassen sich diese Herausforderungen erfolgreich meistern und Zero Trust effektiv umsetzen.
Die Bedeutung von Risikoüberprüfungen
Es ist nicht immer möglich, eine Sicherheitsverletzung zu vermeiden - vor allem, weil die Ziele von Unternehmensleitung und Cybersicherheits-Teams nur selten übereinstimmen -, aber Security Teams müssen sich dennoch mit den Herausforderungen der sich ausbreitenden digitalen Angriffsfläche befassen und eine schnellere Erkennung und Reaktion auf Bedrohungen ermöglichen.
Cybersecurity-Risikobewertungen bieten eine grundlegende Analyse der digitalen Angriffsfläche und des Risikos für das Unternehmen. Sie prüfen, bewerten und priorisieren kontinuierlich die einzelnen Assets, um einen aktuellen Überblick über die digitalen Ressourcen zu geben. Auf Basis einer Vielzahl von Daten, einschließlich des Benutzerverhaltens, der Logs von Sicherheitsprodukten und der Aktivität von Cloud-Apps, können diese Assessments einschätzen, ob die Ressourcen für einen Angriff anfällig sind, und einen Risikowert sowie umsetzbare und nach Prioritäten geordnete Aufgaben zur besseren Absicherung der digitalen Angriffsfläche liefern.
Bei einer Cybersecurity-Risikobewertung wird die Anfälligkeit des Unternehmens für Schwachstellen, Fehlkonfigurationen und verdächtige Aktivitäten oder Datenzugriffe untersucht und mit den bestehenden Sicherheitsrichtlinien und der regulatorischen Compliance abgeglichen. Außerdem werden erkannte Bedrohungen und Schwachstellen identifiziert und priorisiert sowie Identitäten, SaaS-Anwendungen und Netzwerkinhalte analysiert, um präzise die Schwachpunkte in der digitalen Angriffsfläche zu ermitteln.
Diese Bewertungen sind daher für die Verringerung des Cyber-Risikos eines Unternehmens und die Aufrechterhaltung einer sicheren Umgebung unerlässlich, auch als Grundlage für die Erstellung von Richtlinien und für Zugangskontrollmaßnahmen.
Übermittlung des Wertes von Zero Trust auf Vorstandsebene
Eine umfassende Risikoprüfung liefert ein klares Ergebnis, das dem Vorstand bei der Begründung für die Implementierung und Umsetzung von Zero Trust präsentiert werden kann. Vorstände wissen heute besser Bescheid über die finanziellen Auswirkungen der Cybersicherheit. Das Wichtigste, worauf sie im Zusammenhang mit Risiken schauen, sind die wirtschaftlichen Auswirkungen, einschließlich der Compliance-Lücken, gefolgt von der langfristigen Entwicklung des Risikos einer Sicherheitsverletzung.
Bei der Präsentation der finanziellen Auswirkungen der Risikoanalyse sollten die Verantwortlichen einige Best Practices beachten:
1. Nutzen Sie nicht nur Untergangsszenarien. Stellen Sie mehrere klar umrissene Szenarien mit unterschiedlichen Auswirkungen auf. Ein unternehmensweiter Erpressungsversuch muss mit Ransomware in einem kleinen Segment des Betriebs gekoppelt sein.
2. Wählen Sie Ihre Zahlen sorgfältig. Die Cybersicherheit hat eine lange Tradition von wirklich schrecklichen Prognosen der finanziellen Auswirkungen. Legen Sie den Zahlen die Finanzdaten des Unternehmens zugrunde, aber wählen Sie nur aussagekräftige taktische Zahlen, die Sie mit Ihren Unternehmensdaten verknüpfen. Verwenden Sie beispielsweise eine konkrete Fallstudie, um die potenziellen Kosten einer Nichteinhaltung der Compliance-Vorschriften zu verdeutlichen. Das ist besser als eine vage „durchschnittliche Kosten einer GDPR-Strafe“, die nicht auf bestimmte Branchen, Unternehmensgrößen oder die Art des Verstoßes eingeht. Bitten Sie Ihr Finanzteam um Unterstützung: Machen Sie es zu einem Verbündeten, nicht zu einem Gegner.
3. Gehen Sie davon aus, dass Sie Ihre Annahmen begründen müssen, wie z. B. die genannte Wiederherstellungszeit. Sollten Sie Ihre Annahmen und Daten nicht klar vortragen können, lassen Sie sie weg oder führen Sie sie mit einem Vermerk auf deren Unzulänglichkeit an.
4. Seien Sie realistisch hinsichtlich der potenziellen Kosten der Umsetzung von Schutzmaßnahmen. Untertreiben Sie die potenziellen Endkosten nicht. Jedes Vorstandsmitglied weiß, dass IT-Projekte das Budget überschreiten und dass Sicherheit teuer ist. Es ist besser, von Anfang an ehrlich zu sein, als später das Budget deutlich zu überschreiten.
5. Brechen Sie Ihre Zahlen in einer Art und Weise auf, die die Vorstandsmitglieder erwarten. Eine einzelne große Zahl wird nur dazu führen, dass sie dann im Mittelpunkt steht und die eigentliche Diskussion über das Risiko auf der Strecke bleibt. Stellen Sie Ihre Berechnungen vor und schlüsseln Sie sie über die Zeit auf. Produktkosten im ersten Jahr, Wartung und Support über fünf Jahre, Implementierung, Erweiterungskosten, falls Ihr Unternehmen wächst, zusätzliche Module und Upgrades, Personalkosten (d. h. nicht nur das Gehalt), Schulung und Zertifizierung, und fügen Sie einen gesunden Prozentsatz für die üblichen Implementierungsprobleme hinzu.
6. Fügen Sie die finanzielle Bewertung in Form von Anhängen bei, dann aber sollten Sie immer Zusammenfassungen vorlegen.
7. Beziehen Sie die Auswirkungen auf den Aktienkurs nur dann mit ein, wenn Sie bereit sind, sich dieser Diskussion zu stellen. Seien Sie darauf vorbereitet, die Frage zu beantworten, warum der Aktienkurs des Unternehmens X nach einem Hacking-Angriff hochgegangen ist.
Je nach dem gewählten Risikobewertungsmodell werden entsprechende Begriffe zur Risikobestimmung verwendet. Diese haben nicht automatisch eine Bedeutung für den Vorstand - oder zumindest wird nicht jedes Vorstandsmitglied solche Begriffe auf dieselbe Weise interpretieren. Doch wenn es um Geld geht, hat dies für alle Anwesenden dieselbe Bedeutung.
Bei der Übermittlung der Ergebnisse der Risikobewertung und der finanziellen Auswirkungen dieses Risikos ist es wichtig, auch das "Warum" zu nennen. Warum diese Bewertung gewählt wurde, warum das Risiko niedrig, mittel oder hoch ist usw.
Die Beantwortung der „Warum“-Fragen bereitet auf das „Wie geht es weiter“ vor. Wenn sich herausstellt, dass das Risiko höher als vertretbar ist, geht es um die nächsten Schritte, die der CISO unternehmen wird, und um die Frage, was dafür benötigt wird. Eine klare und präzise Darstellung der aktuellen Situation ist der beste Weg, um alle Anwesenden auf dem gewählten Risikoweg mitzunehmen.
Lösungen
Die Trend Vision One-Plattform kann Sie dabei unterstützen, Ihre Zero-Trust-Strategie so anzupassen, dass sie den gesetzlichen Bestimmungen entspricht und die Compliance dazu gewährleistet ist. Mit Hilfe der Plattform lässt sich die Sichtbarkeit verbessern und durch fortschrittliche Analysen wertvolle Einblicke gewinnen. So können proaktiv Richtlinien aufgestellt werden, die potenzielle Risiken wirksam eindämmen und die Sicherheit des Betriebs gewährleisten.
Im Forrester Wave™: Zero Trust Platform Providers, Q3 2023, wird die Plattform als „Strong Performer“ geführt. Die Lösung ist mit Branchenstandards wie NIST konform und bietet Kunden alle Vorteile von Zero Trust in einer einzigen Plattform.