„Sie versuchen, die Sicherheit Ihrer Remote-Belegschaft zu gewährleisten, wollen aber nicht die Produktivität Ihres Unternehmens beeinträchtigen?“ „Haben Sie Schwierigkeiten, Risiken und Lücken in den Sicherheitsfunktionen zu identifizieren?“ „Wo sollten sich CISOs auf Zeit und Ressourcen konzentrieren?“
Sicherheits- und Risikomanagement-Experten stellen diese Fragen ständig, aber die eigentliche Frage sollte sein, welche Projekte den größten Geschäftswert erzeugen und das Risiko für das Unternehmen in einer sich ständig verändernden Sicherheitslandschaft reduzieren.
„Wir können zu viel kostbare Zeit damit verbringen, Entscheidungen bezüglich der Sicherheit überzubewerten oder nach der Vorstellung von perfektem Schutz streben, die einfach nicht existiert“, sagte Brian Reed, Senior Director Analyst, während des virtuellen Gartner Security & Risk Management Summit 2020. „Wir müssen über grundlegende Schutzentscheidungen hinausblicken und die Widerstandsfähigkeit des Unternehmens durch innovative Ansätze zur Erkennung und Reaktion und letztendlich zur Wiederherstellung nach Sicherheitsvorfällen verbessern.“
Der Schlüssel liegt in der Priorisierung der Geschäftsbefähigung und der Reduzierung von Risiken – und der effektiven Kommunikation dieser Prioritäten mit dem Unternehmen.
Die zehn wichtigsten Sicherheitsprojekte dieses Jahres, die auf Prognosen von Gartner basieren und um die Auswirkungen von COVID-19 bereinigt wurden, umfassen acht neue Projekte, die sich stark auf das Risikomanagement und das Verständnis von Prozessausfällen konzentrieren. Diese Projekte, die nicht in der Reihenfolge ihrer Bedeutung aufgeführt sind, können unabhängig voneinander ausgeführt werden.
Nr. 1: Sicherung Ihrer Remote-Belegschaft
Konzentrieren Sie sich auf Geschäftsanforderungen und verstehen Sie, wie Benutzer und Gruppen auf Daten und Anwendungen zugreifen. Jetzt, da seit der ersten Remote-Übertragung einige Monate vergangen sind, ist es an der Zeit, eine Bedarfsanalyse durchzuführen und zu überprüfen, was sich geändert hat, um festzustellen, ob die Zugriffsebenen korrekt sind und ob irgendwelche Sicherheitsmaßnahmen die Arbeit tatsächlich behindern.
Nr. 2: Risikobasiertes Schwachstellenmanagement
Versuchen Sie nicht, alles auszubessern; konzentrieren Sie sich auf Schwachstellen, die tatsächlich ausnutzbar sind. Gehen Sie über eine umfassende Bewertung von Bedrohungen hinaus und nutzen Sie Bedrohungsanalyse, Angriffsaktivitäten und interne Asset-Kritikalität, um eine bessere Sicht auf das reale Unternehmensrisiko zu erhalten.
Nr. 3: Erweiterte Erkennung und Reaktion (XDR)
XDR ist eine einheitliche Sicherheits- und Incident-Response-Plattform, die Daten von mehreren proprietären Komponenten sammelt und korreliert. Die Integration auf Plattformebene erfolgt am Bereitstellungspunkt, anstatt später hinzugefügt zu werden. Dadurch werden mehrere Sicherheitsprodukte in einem zusammengefasst, was zu besseren Gesamtsicherheitsergebnissen führen kann. Unternehmen sollten diese Technologie in Betracht ziehen, um die Sicherheit zu vereinfachen und zu optimieren.
Nr. 4: Verwaltung der Sicherheitslage in der Cloud
Unternehmen müssen gemeinsame Kontrollen über IaaS und PaaS hinweg sicherstellen und automatisierte Einschätzung und Behebung unterstützen. Cloud-Anwendungen sind extrem dynamisch und benötigen einen automatisierten DevSecOps-Sicherheitsstil. Es kann eine Herausforderung sein, die Public Cloud ohne Mittel zu sichern, um die Richtlinienkonsistenz bei allen Cloud-Sicherheitsansätzen zu gewährleisten.
Nr. 5: Vereinfachung der Zugriffskontrollen in der Cloud
Die Cloud-Zugriffskontrollen werden in der Regel über eine CASB durchgeführt. Sie bieten Echtzeit-Durchsetzung über einen Inline-Proxy, der Richtliniendurchsetzung und aktive Blockierung bereitstellen kann. CASBs bieten auch Flexibilität, indem sie beispielsweise im Überwachungsmodus beginnen, um die Genauigkeit des Datenverkehrs zu gewährleisten und den Sicherheitszugriff besser zu verstehen.
Nr. 6: DMARC
Unternehmen verwenden E-Mail als einzige Quelle der Verifizierung, und Benutzer haben Schwierigkeiten, echte Nachrichten aus Fälschungen zu bestimmen. DMARC oder domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität ist eine E-Mail-Authentifizierungsrichtlinie. DMARC ist keine Gesamtlösung für E-Mail-Sicherheit und sollte ein Teil eines ganzheitlichen Sicherheitsansatzes sein. Es kann jedoch eine zusätzliche Vertrauensebene und Verifizierung mit der Domäne des Absenders bieten. DMARC kann beim Domain-Spoofing helfen, wird jedoch nicht alle E-Mail-Sicherheitsprobleme beheben.
Nr. 7: Passwortlose Authentifizierung
Während Mitarbeiter vielleicht nicht gründlich genug erwägen, ein unterschiedliches Passwort für ihren Arbeitscomputer und für die persönliche E-Mail zu verwenden, können große Sicherheitsprobleme entstehen. Passwortlose Authentifizierung, die auf verschiedene Weisen funktionieren kann, bietet eine bessere Lösung für die Sicherheit. Das Ziel sollte darin bestehen, das Vertrauen zu stärken und die Benutzererfahrung zu verbessern.
Nr. 8: Datenklassifizierung und -schutz
Nicht alle Daten sind gleich. Ein einheitlicher Sicherheitsansatz wird Bereiche mit zu viel Sicherheit und andere mit zu wenig Sicherheit schaffen, was das Risiko für das Unternehmen erhöht. Beginnen Sie mit Richtlinien und Definitionen, um den Prozess zu erhalten, bevor Sie mit der Schichtung der Sicherheitstechnologien beginnen.
Nr. 9: Begutachtung der Kompetenzen der Belegschaft
Installieren Sie die richtigen Personen mit den richtigen Fähigkeiten in den richtigen Rollen. Es ist entscheidend, aber schwierig, harte technische Fähigkeiten mit weicherer Führungskompetenz zu kombinieren. Es gibt keine perfekten Kandidaten, aber Sie können fünf oder sechs notwendige Kompetenzen für jedes Projekt identifizieren. Bewerten Sie Kompetenzen auf unterschiedliche Weise, einschließlich Cyber-Ranging und Cyber-Simulationen und Soft-Skill-Bewertungen.
Nr. 10: Automatisierung von Sicherheitsrisikobewertungen
Dies ist eine Möglichkeit, Sicherheitsteams dabei zu helfen, Risiken von Sicherheitsoperationen, neuen Projekten oder auf Programmebene zu verstehen. Die Risikobewertung wird entweder vollständig übersprungen oder in begrenztem Rahmen durchgeführt. Diese Bewertungen ermöglichen eine begrenzte Risikoautomatisierung und Transparenz in Bezug auf bestehende Schwachstellen.