Best Practices einer Informations-sicherheitsstrategie

Übernehmen Sie die Best Practices für den Aufbau und die Verbesserung Ihres Sicherheitsprogramms mithilfe einer effektiven Strategieplanung.

Positionierung der Cybersicherheit als wichtiger Geschäftsförderer

CISOs: Laden Sie Ihr Exemplar jetzt herunter und holen Sie sich Tipps für eine effektivere Kommunikation mit Führungskräften.

Indem Sie auf die Schaltfläche "Fortfahren" klicken, erklären Sie sich mit den Nutzungsbedingungen und der Datenschutzerklärung von Gartner einverstanden.

Kontaktinformationen

Alle Felder müssen ausgefüllt werden.

    Zurück

    Indem Sie auf die Schaltfläche "Fortfahren" klicken, erklären Sie sich mit den Nutzungsbedingungen und der Datenschutzerklärung von Gartner einverstanden.

    Unternehmens-/ Organisationsinformationen

    Alle Felder müssen ausgefüllt werden.

    Optional

    Zurück

    Indem Sie auf die Schaltfläche "Abschicken" klicken, erklären Sie sich mit den Nutzungsbedingungen und der Datenschutzerklärung von Gartner einverstanden.

    Das Cybersicherheitsnarrativ sollte nicht mehr nur aus der Verteidigungsperspektive betrachtet werden

    Wenn Sie strategisches Geld wollen, müssen Sie ein strategisches Problem lösen. Im Kontext der Cybersicherheit bedeutet dies, dass man nicht mehr nur über die taktische Abwehr von Bedrohungen spricht, sondern über die Ermöglichung wichtiger Geschäftsergebnisse. Diese Studie zeigt, wie man:

    • Über die Auswirkungen von Cyberangriffen auf die Bedrohungslage spricht.
    • Beschreibt, welche Unternehmensfunktionen kritisch sind, welche Auswirkungen Cyberangriffe haben können und wie man seine Ressourcen so einsetzen kann, dass diese Auswirkungen gemindert werden.
    • Investitionen priorisiert und finanziert.

    Entwicklung eines vollständigen, verteidigungsfähigen Programms für effektive Cybersicherheit

    Zu viele Teams für Informationssicherheit (IS) kaufen Technologien, ohne Verantwortlichkeiten und Zielsetzungen zu definieren. Um eine bessere Wirkung zu erzielen, sollten Sie ein vollständiges IS-Programm entwickeln, das auf die Risiken des Digital Business ausgerichtet ist.
    • Die Rolle der Strategie bei der IS
    • Warum und wie man Strategien entwickelt
    • Die Vision festlegen
    • Aktueller Zustand und Lücken
    • Priorisieren und kommunizieren

    Die Informationssicherheitsstrategie ist eine Komponente eines verteidigungsfähigen Programms

    Eine wirksame Cybersicherheit, die hier auch als Informationssicherheit bezeichnet wird, erfordert ein vollständiges und verteidigungsfähiges Sicherheitsprogramm, das ein Gleichgewicht zwischen dem Schutz und dem Betrieb des Unternehmens gewährleistet. Es umfasst fünf Schlüsselkomponenten:

    1. Eine Unternehmensrichtlinie für Informationssicherheit: Exekutivauftrag

      Dies ist ein kurzes, in einfacher Sprache verfasstes Dokument, das eine klare Verantwortlichkeit des Eigentümers für den Schutz von Informationsressourcen festlegt und dem CISO den Auftrag gibt, das Sicherheitsprogramm einzurichten und zu pflegen.

      Dieses Richtliniendokument muss gelesen, verstanden, unterschrieben, sichtbar gebilligt und jährlich vom CEO und dem Vorstand des Unternehmens bestätigt werden.

    2. Aufgabenstellung: Referenzmodell

      Ein Schlüsselelement eines verteidigungsfähigen Programms ist die Fähigkeit, nachzuweisen, dass das Unternehmen anerkannte Praktiken und Standards einhält. In Bezug auf das Sicherheitsprogramm bedeutet dies die Verwendung eines oder mehrerer taxonomischer Referenzmodelle, die auf anerkannten Industriestandards basieren (wie dem NIST Cybersecurity Framework [CSF], ISO/IEC 27001/2 oder CIS Controls [früher bekannt als Critical Security Controls]), um strategische und taktische Entscheidungen zu treffen.

    3. Governance-Strukturen: Verantwortlichkeit

      Viele Vorschriften verlangen, dass Unternehmen über einen CISO verfügen, der von den Verantwortlichen für Informationsressourcen und -kontrollen angemessen unabhängig ist. Ein virtueller CISO kann in manchen Situationen ein akzeptabler Kompromiss sein. Die Funktion des CISO ist idealerweise außerhalb des Büros des CIO angesiedelt, um bestimmte Interessenkonflikte zu vermeiden.

      Was die Entscheidungsfindung betrifft, so kann ein Lenkungsausschuss für Unternehmenssicherheit ein effektives Forum für die Erörterung von Sicherheitsherausforderungen, vorgeschlagenen Richtlinien und Investitionsplänen sein. Diesem Forum sollten Vertreter von informationsbesitzenden Geschäftsbereichen und Personalabteilungen (IT, Recht, HR und Datenschutzbüro) angehören. Es sollten auch Frameworks und Prozesse für die Berichterstattung von Führungskräften festgelegt werden.

    4. Strategie: Vision, Mission, Roadmap

      Um die Unterstützung des Unternehmens für das Sicherheitsprogramm zu erhalten, ist eine klare Vision erforderlich, die die Komponenten und Zielsetzungen des Programms erläutert und wie sie mit den Geschäftszielen zusammenhängen. Die Vision sollte mit bewährten Praktiken und Standards im Einklang stehen und auf Bewertungen des aktuellen Stands des Unternehmens sowie auf Vergleichsmaßstäben in Bezug auf die Höhe der Ausgaben, die Anzahl der Mitarbeiter, die Ausgereiftheit des Programms oder die Einhaltung allgemein anerkannter Standards beruhen. Weitere Einzelheiten finden Sie auf den Registerkarten „Vision“, „Aktueller Zustand“ und „Priorisierung“.

    1. Sicherheitsverfahren: Ausführung

      Das Sicherheitsprogramm muss darauf ausgerichtet sein, häufige und unerwartete Änderungen in der Geschäfts-, Technologie- und Betriebsumgebung zu antizipieren und darauf zu reagieren. Es sollte auch eine kontinuierliche Verbesserung der Wirksamkeit und Effizienz der Sicherheitskontrollen fördern.

      Die Fähigkeit, sich ständig zu verbessern und gleichzeitig auf Veränderungen zu reagieren, erfordert, dass das Informationssicherheitsprogramm eine Reihe von Prinzipien festlegt, die die Umsetzung der Sicherheit und die täglichen Abläufe leiten, wie z. B.:

      • Treffen von Kontrollentscheidungen auf Basis des spezifischen Risikos und der Risikobereitschaft anstatt auf Basis von Checkbox-Compliance

      • Unterstützung von Geschäftsergebnissen anstatt nur den Schutz der Infrastruktur

      • Stetige Berücksichtigung des menschlichen Elements beim Entwurf und der Verwaltung von Sicherheitskontrollen

    Die Informationssicherheitsstrategie definiert die Vision und wie sie erreicht werden soll

    Eine Informationssicherheitsstrategie legt die mittel- bis langfristige Ausrichtung des Programms zur Cybersicherheit fest. Sie umreißt, wie die Sicherheitsorganisation die Unternehmensstrategie und den digitalen Kurs unterstützen und ermöglichen wird. Sie hilft der Organisation auch, zu budgetieren sowie die Gründe für strategische Entscheidungen und die Ressourcenzuweisung zu dokumentieren.

    Führungskräfte im Bereich Cybersicherheit sind oft so sehr mit taktischen Herausforderungen beschäftigt, dass sie sich nicht die Zeit für eine effektive strategische Planung nehmen. Dennoch ist die Strategie eine Schlüsselkomponente eines effektiven Informationssicherheitsprogramms. Die grundlegenden Elemente sind ähnlich wie bei jedem anderen strategischen Planungsprozess, einschließlich Best Practices speziell für den Bereich Sicherheit, wie z. B.:

    • Formulierung der strategischen Vision und der geschäftlichen Triebkräfte.

    • Definition des aktuellen Zustands der Informationssicherheit im Unternehmen unter Verwendung von Reifegrad-, Schwachstellen- und Risikobewertungen, Audit-Ergebnissen und Penetrationstests, um verschiedene Perspektiven aufzuzeigen.

    • Erstellung einer nach Prioritäten geordneten Roadmap, die Projekte und Korrekturmaßnahmen eindeutig mit in den Bewertungen identifizierten Lücken, Risiken und Schwachstellen sowie den relevanten geschäftlichen, technologischen und umweltbezogenen Triebkräften verknüpft.

    Wenn die Sicherheitsverantwortlichen die Strategie, einschließlich der Richtlinien und Praxisstandards, dokumentiert haben, müssen sie diese mit den Unternehmensleitern abstimmen, von denen erwartet wird, dass sie sie befolgen.

    Schließlich sollte der Lenkungsausschuss für Unternehmenssicherheit die Sicherheitsrichtlinie gemeinsam prüfen, erörtern und genehmigen, bevor sie formell dokumentiert, verbreitet und über das Sicherheitsbewusstseinsprogramm, jährliche Schulungen und Bescheinigungen kommuniziert wird.

    Definition einer strategischen Vision oder eines gewünschten Zustands für das Sicherheitsprogramm

    Wie bereits erwähnt, werden in der Vision, der Mission und der Roadmap für die Informationssicherheit die Zielsetzungen des Programms und seine Komponenten in Worten erläutert, die von den Führungskräften des Unternehmens verstanden und unterstützt werden können. Die strategische Vision formuliert den gewünschten Zustand, den die Informationssicherheitsstrategie während des Planungszeitraums erreichen soll.

    Wie bereits erwähnt, basieren die meisten Unternehmen ihre Vision auf internationalen Standards, wie dem National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) oder ISO 27001. Sie sollten sich jedoch nicht mit den Standardelementen begnügen. Stattdessen sollten Sie relevante geschäftliche, technologische und umweltbezogene Triebkräfte einbeziehen, die für Ihr Unternehmen spezifisch sind, um Ihre Vision mit den Zielen und Zielsetzungen des Unternehmens in Einklang zu bringen. Beispiele für Triebkräfte sind:

    Geschäftliche Triebkräfte:

    • Programme zur Kostensenkung
    • Produktdiversifizierung
    • Geografische Expansion
    • Fusionen und Übernahmen oder Veräußerungen

    Technologische Triebkräfte:

    • Digitalisierungsstrategie
    • Konsolidierung von Rechenzentren
    • Cloud-Einführung

    Umweltbedingte Triebkräfte:

    • Wirtschaftsabschwünge und Rezessionen oder Wachstumsbedingungen
    • Soziopolitische Unruhen
    • Geopolitische Spannungen, einschließlich Handelskriege
    • Bevorstehende regulatorische Änderungen

    Schließen Sie die spezifischen Informationssicherheitszielsetzungen, die Sie während des Planungszeitraums erreichen wollen, als Teil der Vision ein. Diese Zielsetzungen sollten Folgendes umfassen:

    • Einen allgemeinen Reifegrad für das Programm und Zielreifegrade für bestimmte Prozesse und Funktionen

    • Ein Maß an akzeptierter Risikoexposition im Rahmen einer vereinbarten Risikobereitschaft, die von der Unternehmensleitung festgelegt wurde (die definierte Risikobereitschaft ist in die Vision-Dokumentation aufzunehmen)

    • Neue Fähigkeiten und Architekturen zur Bewältigung neuer Bedrohungen oder disruptiver Technologien

    • Unterstützung der Wachstumsstrategie des Unternehmens – z. B. ein Framework für die Informationssicherheit zur Integration übernommener Organisationen in das Sicherheitsprogramm des Unternehmens

    Diese Zielsetzungen sollten von den Key-Stakeholdern sozialisiert und vereinbart werden, in der Regel zu Beginn des Strategieplanungsprozesses und während der Genehmigung der vorgeschlagenen Roadmap zur Umsetzung der Strategie. Nutzen Sie für diesen Schritt den Lenkungsausschuss für Unternehmenssicherheit.

    Sie können auch eine Reihe von Leitprinzipien als Teil der Vision der Cybersicherheitsstrategie einbeziehen, um Leitplanken während des Planungsprozesses bereitzustellen. Beispiele für solche Prinzipien sind:

    • Die Verantwortung für den Schutz von Informationen und Informationsressourcen liegt bei den Eigentümern der Informationen. Im Falle von gemeinsam genutzten Informationen und Ressourcen ist der CIO der stellvertretende Eigentümer.

    • Die Risikobereitschaft des Unternehmens bildet die Grundlage für alle Sicherheitsentscheidungen, und alle Sicherheitskontrollen werden dem jeweiligen Risiko angepasst.

    • Richtlinien, Standards, Leitlinien und Verfahren für die Informationssicherheit werden entwickelt, um Sicherheitsanforderungen zu kommunizieren und die Auswahl und Umsetzung von Sicherheitskontrollmaßnahmen zu steuern.

    Bewertung des aktuellen Zustands des IS-Programms und Identifizierung von Kompetenzlücken

    Wenn Sie die Vision für das IS-Programm definiert haben, bewerten Sie den aktuellen Zustand des Programms und identifizieren Sie Lücken, die geschlossen werden müssen, um die Vision zu verwirklichen.

    Verwenden Sie eine Kombination aus verschiedenen Bewertungsarten zur Erfassung des aktuellen Zustands. Einige Beispiele:

    • Schwachstellenanalysen und Penetrationstests zur Bewertung der technischen Infrastruktur

    • Risikobewertungen zur Abwägung der Investitionen in die den tatsächlichen Risiken entsprechenden Kontrollen

    • Jüngste Audit-Ergebnisse

    • Bewertung der Kontrollwirksamkeit zur Bestimmung der Ausgereiftheit der Kontrollimplementierung verglichen mit ähnlichen Unternehmen und ausgerichtet an Industriestandards

    • Programmmanagementbewertungen zur Evaluierung und zum Benchmarking der Ausgereiftheit von Cybersicherheitsrichtlinien, -prozessen und -programmen
    • Benchmarks für Ausgaben und Personal im Bereich Cybersicherheit zum Vergleich der Ressourcenbeschaffung mit ähnlichen Unternehmen

    Fassen Sie die Bewertungsergebnisse in einem Dokument über den aktuellen Zustand zusammen, das den strategischen Planungsunterlagen beigefügt wird.

    Durchführung einer Lückenanalyse

    Vergleichen Sie den aktuellen Zustand mit dem Vision-Statement, den Zielsetzungen und den wichtigsten Triebkräften, um Lücken zwischen dem Ist- und dem Soll-Zustand zu identifizieren. Einige Lücken weisen eindeutig auf spezifische Maßnahmen hin – zum Beispiel auf die Notwendigkeit, spezifische Cybersicherheitsrichtlinien für das öffentliche Cloud-Computing zu entwickeln. Die richtige Antwort liegt nicht immer auf der Hand, wenn es um Lücken geht, die mehrere Faktoren und Abhängigkeiten aufweisen, wie z. B. die Reifung der Security-Governance-Funktion von Stufe 2,5 auf Stufe 3,5 über einen Zeitraum von zwei Jahren.

    Priorisieren Sie Projekte und teilen Sie die Strategie mit Führungskräften, um deren Buy-in zu erhalten.

    Die Lückenanalyse sollte zu einer Liste potenzieller Maßnahmen und Projekte sowie zur Initiierung von Cybersicherheitsrichtlinien führen. Allerdings verfügen nur wenige Unternehmen über die erforderlichen Ressourcen, um alle identifizierten Aktivitäten durchzuführen. Setzen Sie Prioritäten anhand der folgenden Kriterien:

    • Ausmaß des Risikominderungspotenzials eines bestimmten Projekts oder einer bestimmten Aktivität
    • Erforderliche Ressourcen wie Fähigkeiten, Personal und Systeme
    • Finanzielle Kosten
    • Die Zeit bis zur Wertschöpfung

    Priorisieren Sie innerhalb des Planungszeitraums eine Mischung aus Projekten mit längerer und kürzerer Wertschöpfungszeit. Auf diese Weise kann das Sicherheitsprogramm in vierteljährlichen Abständen aussagekräftige Fortschritte nachweisen, was die langfristige Unterstützung des Sicherheitsprogramms durch die Geschäftsleitung erleichtert.

    Achten Sie darauf, dass die Projekte und Aktivitäten mit den aktuellen Gegebenheiten, Zielsetzungen und Triebkräften, wie sie im Vision-Statement beschrieben sind, verknüpft werden. Dadurch wird eine Verbindung zwischen den Zielsetzungen, den Realitäten und den vorgeschlagenen Maßnahmen hergestellt und eine wirksame Kommunikation mit der Geschäftsleitung in der Genehmigungsphase unterstützt.

    Diese Kommunikation umfasst in der Regel einen schriftlichen Bericht und eine Präsentation für die Geschäftsleitung, in der Ist- und Soll-Zustände beschrieben werden und erläutert wird, wie die Prioritäten die Lücken dazwischen schließen werden. Fokussieren Sie die Präsentation darauf, wie die Projekte zum Geschäftswert beitragen werden. Heben Sie in den Kommunikationsunterlagen für die Geschäftsleitung ausdrücklich hervor, wie die Informationssicherheitsstrategie auf die Geschäftsstrategie abgestimmt ist.

    Auch nach der Genehmigung der Strategie ist es wichtig, einen vierteljährlichen Rhythmus für das Reporting und die Kommunikation über Fortschritte und Herausforderungen festzulegen. Stellen Sie Folgendes klar:

    • Erwartete Vorteile, die ganz oder teilweise realisiert wurden, und solche, die nicht realisiert wurden
    • Unerwartete Vorteile und Nachteile, die sich ergeben haben
    • Projekte, die nicht schlüssig sind
    • Auslöser für Sicherheitsmaßnahmen oder Herausforderungen, die eine Änderung der Strategie oder der Cybersicherheitsrichtlinien erfordern könnten

    Richten Sie vierteljährliche Überprüfungen und Szenarioplanungs-Workshops ein, um festzustellen, ob und welche Triebkräfte sich geändert haben, die eine Anpassung der aktuellen Strategie erforderlich machen Dieser Überprüfungsprozess sollte auch alle wichtigen Frühindikatoren für externe Trends oder Ereignisse von großer Tragweite identifizieren, die größere Änderungen der Sicherheitsstrategie und der Roadmap erforderlich machen werden

    Steigern Sie die Leistung bei den unternehmenskritischen Zielen.