Die Zukunft der Cybersicherheit – Deloitte
Deloitte veröffentlicht seine “Future of Cyber Survey“, nachdem sie über 500 Führungskräfte der C-Suite befragt hat, die für die Cybersicherheit in Unternehmen verantwortlich sind, die einen Jahresumsatz von mindestens 500 Millionen US-Dollar erzielen. Wir werden einige der Ergebnisse der Umfrage in diesem Blog überprüfen und zusammenfassen.
Wenn sich Unternehmen auf Initiativen zur digitalen Transformation konzentrieren, stellen sie fest, dass Cyber in jede Phase eines Unternehmens eingetreten ist, vom Produktdesign über die Fertigung bis hin zur Kundennutzung. Cyber ist eine unternehmensweite Verantwortung und umfasst Bereiche wie das Internet der Dinge (IoT) und die Cloud. Mit begrenzten Budgets und Ressourcen fühlen sich Cyber C-Suite Manager wie die größte Herausforderung bei der Integration von Cyber-Transformationsinitiativen. Die Fähigkeit, ein hohes Maß an Cyberstrategie und -sicherheit anzuwenden und ein tägliches Management zu gewährleisten, wird wahrscheinlich selbst die kompetentesten Cybersicherheitsteams belasten.
Sicherheitsbeauftragte und Informationsverantwortliche empfanden die Cyber-Transformation als die größte Herausforderung für das Cybersicherheitsmanagement in der gesamten Unternehmensinfrastruktur, und zwar um 35% bzw. 34%.
Unternehmen konzentrieren sich auf zwei von fünf der wichtigsten Rahmenbedingungen des National Institute of Standards Technology (NIST) – Erkennung, Reaktion und Wiederherstellung -, während Cyber Governance den dritten Platz einnimmt. Dadurch bleiben andere Bereiche, wie Identitäts- und Zugriffsmanagement, zurück.
Deloitte stellte auch fest, dass die Cybersicherheitsbudgets gleichmäßig über alle Bereiche verteilt sind, vermutlich um Risiken zu minimieren. 90% der Befragten gaben an, dass die Cyber-Transformationsbudgets bei weniger als 10% liegen. Dies sind Budgets, die für Projekte wie Cloud-Migration, Software-as-a-Service (SaaS)-Implementierung, Analytik und Machine Learning (ML) realisiert würden. Dies zeigt eine Lücke in der organisatorischen Fähigkeit, Cyber-Anforderungen zu erfüllen.
Nur 4% der Führungskräfte der Cybersicherheit auf C-Level sagen, dass Cybersicherheit einmal im Monat auf der Tagesordnung steht. 49% sagen, dass es mindestens vierteljährlich auf der Tagesordnung steht.
Die Gremien sollten eine bessere Zusammenführung von Cybersicherheitsinitiativen mit Schlüsselindikatoren zur Erfolgsmessung in Betracht ziehen.
Laut Deloitte:
“Um die effektive Umsetzung eines Cyber-Risikoprogramms voranzutreiben, muss die Geschäftsleitung ihr Führungsteam für Cybersicherheit so strukturieren, dass es die Kommunikation und Implementierung von Sicherheit im gesamten Unternehmen fördert und sowohl über die Autorität als auch über das Fachwissen verfügt, dies zu tun. Dies wird typischerweise am besten erreicht, wenn die Cyberfunktion in der C-Suite dargestellt wird, so dass das breitere Unternehmen die Priorität und Bedeutung der Einführung oder Gründung eines cybersicheren Unternehmens besser verstehen kann.”
Es ist wichtig, sicherzustellen, dass die IT-Funktion eine so wichtige Rolle spielt, dass sie Cyber-Initiativen mit Blickrichtung sicher in die Strategie und die für die Cyber-Transformation innerhalb des Unternehmens kritischen Vorgänge leitet. Die Rolle der Datenschutzbeauftragte hat die Befugnis, dies innerhalb einer Organisation zu tun, aber nur 4% der Befragten gaben an, dass die Datenschutzbeauftragte im Vorstand sitzt.
32% der Befragten sagen, dass der Datenschutzbeauftragte dem Geschäftsführer Bericht erstattet. 19% sagen, dass Datenschutzbeauftragte dem Informationsverantwortlichen Bericht erstatten.
Cyber bleibt oft unter der IT stecken und kann auch an den Informationsverantwortlichen berichten. IT-Sicherheit wird mit Cyber gleichgesetzt, ist aber oft nicht die gleiche Funktion. Das bedeutet, dass das Cyberbudget oft innerhalb des IT-Budgets liegt. Aus diesem Grund sehen wir die Ergebnisse, dass Cyber nicht oft eine Priorität ist. Den Datenschutzbeauftragten fehlt es an der Fähigkeit, die Strategie zu gestalten und die Priorität zu verschieben.
50% der Informationsverantwortlichen sagen, dass die häufigste ausgelagerte Funktion von Cyber Security Operations ist, und 48% der Datenschutzbeauftragten haben sich für die Erkennung von Insider-Bedrohungen entschieden.
Partnerschaften sind wichtig für den Erfolg von Cyber-Initiativen, aber falsche Entscheidungen und Misserfolge von Drittanbietern können kostspielig sein. Andererseits kann es auch kostspielig sein, einige Funktionen im Haus zu behalten. Identitäts- und Zugriffsmanagement zum Beispiel ist eines, bei dem nur 12% der Befragten sagen, dass sie outsourcen, aber es gibt Hinweise darauf, dass Outsourcing ein enormer Zeit- und Entwicklungskostenvorteil sein kann.
48% der Befragten geben an, dass die größte Herausforderung für das Anwendungssicherheitsrisiko “das Fehlen einer geeigneten Organisationsstruktur ist, die die Integration von Sicherheit in den Lebenszyklus der Anwendungsentwicklung ermöglicht”.
sagt Deloitte:
“Mit zunehmender Dynamik des DevSecOps-Trends werden mehr Unternehmen wahrscheinlich grundlegende Komponenten von Produktentwicklungsinitiativen, von der Idee über die Iteration, den Start bis hin zum Betrieb, in die Bedrohungsmodellierung, die Risikobewertung und die Automatisierung von Sicherheitsaufgaben integrieren. DevSecOps verwandelt das Cyber- und Risikomanagement grundlegend von Compliance-basierten Aktivitäten – typischerweise spät im Entwicklungslebenszyklus – in essentielle Framing-Mentalitäten auf der gesamten Produktreise.”
Privilegiertes Identitäts-/Privilegierungszugriffsmanagement (PAM) wurde zur obersten Priorität für Initiativen zur Identitätssicherheit erklärt, gefolgt von Advanced Authentication, einschließlich Multi-Faktor-Authentifizierung (MFA) und risikobasierter Authentifizierung (RBA).
Die Ausgaben für Identitäts- und Zugriffsmanagement werden voraussichtlich schneller steigen als jede andere Sicherheitsmaßnahme. Sie ist die Grundlage der digitalen Wirtschaft und wird als wichtiger Faktor für den Sicherheitsstatus anerkannt.
Hier sagt Deloitte:
“Hier muss auch ein organisatorischer Wandel stattfinden – im Sinne des Konsumentenerlebnisses. Das Unternehmen kann Verbraucheridentitäten nicht mehr nur von den Marketing- und Vertriebsorganisationen verwaltet werden; die Sicherheitsorganisation sollte auch Input in Verbraucher- und Fremddaten, Zugriff und Compliance haben.”
35% der Befragten stuften die Datenintegrität als die am häufigsten auftretende Cyber-Bedrohung ein.
In den heutigen Umgebungen gibt es viele Daten, und als solche müssen Unternehmen ihre sensibelsten Daten priorisieren, um sie zu schützen. Je mehr Daten, desto mehr wird ein Cyberkrimineller eine Schwachstelle finden und nutzen wollen. 90% der Unternehmen haben im vergangenen Jahr sogar die Offenlegung sensibler Daten in einer Produktionsumgebung erlebt.
Was können wir daraus lernen?
Sicherlich, wenn Sie daran denken, eine neue Organisation zu gründen, haben Sie die Möglichkeit, “eine cyberorientierte Kultur und einen sicheren Designansatz mit einem strategischen Cyber-Risikorahmen von Anfang an aufzubauen”. Für bereits bestehende Unternehmen muss die Geschäftsleitung prüfen, wie sie Geschäftsergebnisse erzielen kann, indem sie Strategien für das Cyber-Risiko neu gestaltet.
Unternehmen arbeiten bereits hart daran, die Anforderungen einer Cyber-überall in der Zukunft zu erfüllen, aber der Bericht zeigt auch, dass Unternehmen noch nicht bereit sind für das, was kommt, und möglicherweise ihre Strategie überdenken müssen. Eine Abkehr von der Fokussierung auf IT-Probleme hin zur Fokussierung auf kulturelle Veränderungen kann der einzige Weg sein, um das Tempo und die Verantwortung des Cybers von einer Organisation auf die gesamte Organisation zu übertragen.