Passen Sie Ihr Programm zur Cybersicherheit an, damit es eigenständig, innovativ und agil ist.
- Gartner-Kunde? Log in und personalisierte Ergebnisse entdecken.
Wie Sie Ihr Programm zur Cybersicherheit organisieren
Setzen Sie Kraftmultiplikatoren frei, beseitigen Sie Hindernisse und lenken Sie die Ressourcen für Cybersicherheitsprogramme um
Führungskräfte im Bereich der Cybersicherheit stehen vor der Herausforderung, die steigende Nachfrage nach höheren Projektvolumina, schnelleren Durchlaufzeiten und einer größeren Flexibilität und Anpassungsfähigkeit zu erfüllen. Außerdem schränken begrenzte Ressourcen sie ein. Wie können Führungskräfte im Bereich der Cybersicherheit ihre Aufgaben erfüllen, ohne sich zu verausgaben? Dieser Forschungsbericht zeigt Ihnen:
- Schnelle Erfolge, die in kurzer Zeit und mit minimalem Aufwand die Dynamik steigern.
- Clevere Taktiken, die Führungskräfte im Bereich der Cybersicherheit anwenden können, um eine Dynamik aufzubauen und aufrechtzuerhalten.
- Neue Richtungen, die im Laufe der Zeit eine große Wirkung erzielen.
Disruption der Cybersicherheit durch Unternehmenstransformation
Die Beschaffung, Entwicklung und Bereitstellung von Technologien verlagert sich von zentralen IT-Funktionen auf Geschäftsbereiche, Unternehmensabteilungen, Fusionsteams und einzelne Mitarbeiter. Passen Sie Ihr Cybersicherheitsprogramm auf drei wichtige Arten an die Realitäten der Technologieeinführung an.
- Von der Zentralisierung zur Dezentralisierung
- Nach Flexibilität streben
- Teil der Führungsriege werden
Zentralisieren Sie die Risikoverwaltung, um das lokale Cyber-Urteilsvermögen zu stärken.
CISOs sind mit einer Flut von Cyberrisiken konfrontiert, die nicht nur in ihrem Volumen, sondern auch in ihrer Komplexität und ihrem Umfang exponentiell zunehmen. Das Cybersicherheitspersonal kann unmöglich jedes einzelne Risiko überprüfen (oder auch nur identifizieren), aber der Verlust von Kontrolle und Transparenz könnte zu einem inakzeptablen Risiko führen.
Inzwischen verlagern CEOs und Geschäftsleiter die technische Arbeit direkt in die Geschäftsabteilungen. Eine wachsende Zahl von Mitarbeitenden führt technische Arbeiten aus, die die Anpassung, den Aufbau oder den Erwerb von Technologielösungen beinhalten. Der Umfang und die Komplexität der Risikoentscheidungen, die am Rande des Unternehmens getroffen werden, überwiegen inzwischen die Entscheidungen der zentralen IT- und Cybersicherheitsteams.
Der Trend „von der Zentralisierung zur Dezentralisierung“ stellt einen neuen Ansatz für die Governance der Cybersicherheit dar. Die Zentralisierung von Entscheidungen spiegelt nun einen sachkundigeren – und skalierbareren – Ansatz wider, der eine flexible, zentralisierte Richtlinienpolitik in den Vordergrund stellt und gleichzeitig die lokale Entscheidungsfindung unterstützt. Kontrollstandards werden auf lokaler Ebene erstellt, und die lokale Entscheidungsfindung unterstützt eine zentral gesteuerte Richtlinienpolitik.
Damit dies funktioniert, sollten Sie Steuerungsgremien oder Governance-, Risiko- und Compliance-Teams einrichten, um die Richtlinien und Prozesse zu entwickeln, die den lokalen Risikoverantwortlichen die Möglichkeit geben, die richtigen Entscheidungen zu treffen. Wenn Sie sie zur Verantwortung ziehen wollen, ermöglichen Sie ihnen, das zu tun, was Sie tun würden.
Mit neuen Teams, Prozessen und Strategien Engpässe vermeiden
Die Umstellung von Waterfall- auf Agile-Prozesse ist der Schlüssel zu einer skalierbaren Cyberbeurteilung. Die meisten Cyberrisikoentscheidungen und -implementierungen werden heute von Produktteams oder Geschäftseinheiten vorgenommen, die Agile-Prozesse anwenden – und nicht zentral gesteuerte, stufenweise Waterfall-Prozesse. Oberflächliche Änderungen reichen nicht aus; Cybersicherheitsprogramme müssen sich grundlegend ändern, um neue Betriebsmodelle zu unterstützen:
Integrieren Sie neue Rollen in lokale, verstreute Teams (Beauftragte für Informationssicherheit im Unternehmen, lokale Beauftragte für Informationssicherheit, Sicherheitsbeauftragte).
Verbinden Sie neue Arbeitsweisen mit neuen Prozessen (DevSecOps, Cloud-first-Modelle).
Erstellen Sie skalierbare Prozesse, die Konflikte, übermäßige Restrisiken und Ausnahmeanfragen selektiv eskalieren, um praktische Unterstützung in der erforderlichen Geschwindigkeit zu leisten.
Bezüglich Richtlinien gilt, dass weniger oft mehr ist. Anstatt Richtlinien zu erweitern, konsolidieren oder reduzieren die CISOs diese, um sie benutzerfreundlicher zu gestalten. Durch die Zusammenarbeit mit Endbenutzern bei der Festlegung von Richtlinien geben Sie den Risiko- und Datenverantwortlichen die Kontrolle und Flexibilität, Standards anzuwenden und Lösungen zu implementieren, die für sie am besten geeignet sind. Kurz gesagt, definieren Sie das „Was“ zentral und lösen Sie das „Wie“ lokal.
Das Gesamtbild betrachten
Eine Einladung in die C-Suite bedeutet, dass Sie mehr Veränderungen initiieren können und weniger Aufgabenbefehle entgegennehmen müssen. Doch zunächst müssen Sie womöglich Ihre Perspektive von der eines Technologiemanagers zu der eines Geschäftsförderers ändern, der erfolgreich Einfluss auf die Risikoentscheidungsfindung nehmen kann. Um Glaubwürdigkeit zu demonstrieren, sollten Sie sich von taktischen und betrieblichen Meetings abwenden und stattdessen strategischere Gespräche mit Führungskräften führen.
Um Ihre Stimme in der C-Suite geltend zu machen:
Geben Sie taktische und betriebliche Aufgaben ab und erhöhen Sie Ihr Engagement mit Führungskräften. Ziehen Sie in Erwägung, administrative Betriebsfunktionen (z. B. Patch-Management, Benutzerverwaltung) an IT-Teams und die Schulung von Benutzern an die Personalabteilung zu delegieren.
- Erweitern Sie Ihren Horizont, indem Sie Unternehmensrisiken und Geschäftsmetriken verstehen. Sie können Entscheidungen nur dann beeinflussen, wenn Sie wissen, wie Sie Ihre Argumente am besten vortragen. Bevor Sie sich mit anderen Führungskräften treffen, sollten Sie sich über deren Investitionen sowie finanzielle und funktionale Herausforderungen informieren. Bringen Sie etwas über ihre Prioritäten in Erfahrung, indem Sie die vom Unternehmen und den einzelnen Abteilungen erstellten Unterlagen (Jahresberichte, Leitbilder) analysieren. Identifizieren Sie mindestens eine Metrik, die mit den strategischen Zielen der Cybersicherheit übereinstimmt, um eine Korrelation zwischen dem Risiko, der Metrik und den Maßnahmen herzustellen, die die Cybersicherheit ergreifen kann, um die Metriken anderer Führungskräfte zu beeinflussen.
Erstellen Sie Wertschöpfungsgeschichten, um die Glaubwürdigkeit der Cybersicherheitsfunktion zu erhöhen. Die Wahrnehmung von der Cybersicherheit als „Abteilung des Neins“ ist nach wie vor weit verbreitet. Arbeiten Sie daher daran, den Ruf Ihrer Funktion von einem Technologiezentrum zu einem Geschäftsförderer zu ändern. Eine Wertschöpfungsgeschichte mit unterstützenden Metriken kann aufzeigen, wie Cybersicherheitsergebnisse einen größeren Geschäftswert schaffen. Sie sollten das Narrativ mit klaren Geschäftszielen verknüpfen und die Botschaft auf die Prioritäten der Stakeholder abstimmen, um Führungskräfte zu beeinflussen.
Erleben Sie Konferenzen für IT-Sicherheits- und Risikomanagement
Seien Sie dabei, wenn auf den Gartner-Konferenzen die neuesten Insights bekannt gegeben werden.
FAQ zu Programmen zur Cybersicherheit
Was sind einige der kommenden Trends für Cybersicherheitsprogramme?
Die wichtigsten Cybersicherheitstrends für dieses Jahr sind:
Optimierung für Widerstandsfähigkeit
Optimierung für Leistung
Optimierung für Widerstandsfähigkeit umfasst ein kontinuierliches Management der Bedrohungslage, die Erweiterung des IAM-Wertes für die Cybersicherheit, das Management von Cybersicherheitsrisiken durch Dritte und datenschutzorientierte Anwendungen.
Optimierung für Leistung umfasst generative KI, Programme für Sicherheitsverhalten und -kultur, ergebnisorientierte Metriken, sich entwickelnde Betriebsmodelle für Cybersicherheitsprogramme und Umschulung.
Wie kann ich die Cybersicherheitsfähigkeiten meiner Organisation verbessern?
Die Fähigkeiten, die Cybersicherheitsteams benötigen, verändern sich drastisch, doch viele Führungskräfte in der Cybersicherheit stellen weiterhin Personal basierend auf veralteten Rollen und Fähigkeiten ein. SRM-Führungskräfte müssen ihren Teams neue Kompetenzen beibringen, indem sie vorhandene Talente umschulen und neue Talente mit neuen Profilen einstellen. Fünfzig Prozent der Großunternehmen werden bis 2026 agiles Lernen als primäre Methode für Weiterschulungen/Umschulungen einsetzen.
Ergreifen Sie folgende Maßnahmen:
Erarbeiten Sie einen Belegschaftsplan für die Cybersicherheit.
Stellen Sie für die Zukunft ein, nicht für die Vergangenheit.
Fördern Sie eine agile Lernkultur.
Was ist ein Cyberrisiko?
„Cyberrisiko“ bezieht sich auf Risiken, die die Ziele und Werte eines Unternehmens beeinträchtigen können. Dazu gehören finanziellen Verluste, Betriebsunterbrechungen, sowie Schäden, die durch das Versagen der in vernetzten digitalen Umgebungen eingesetzten Technologien für Informations- und Betriebsfunktionen entstehen können
Fachleute für Cyberrisiko müssen Praktiken anwenden, um diese Risiken zu erfassen und zu priorisieren, Aktionen mit den Unternehmenszielen und dem Unternehmensrisikomanagement verknüpfen und die dezentrale Rechenschaftspflicht und Entscheidungsfindung erleichtern.