Sicherheits- und Technologieverantwortliche müssen den Erfolg messen, aber allzu oft konzentriert man sich mehr auf die Abwesenheit von Misserfolgen als auf das Vorhandensein von Erfolgen, wobei Sicherheit durch das definiert wird, was sie nicht ist - sie wird nicht durchbrochen, sie wird nicht mit Geldstrafen belegt, sie ist nicht konform, sie ist nicht "verwundbar" (wobei es eine gesunde Debatte darüber gibt, was das genau bedeutet). Eine Aufzählung von Dingen, die man nicht sein sollte, ist ein schlechter Ersatz für eine Karte und einen Kompass.
Glücklicherweise muss eine erfolgreiche Sicherheitsstrategie nicht negativ als Abwesenheit von Misserfolgen gesehen werden - eine erfolgreiche Sicherheitsstrategie kann auch positiv mit Indikatoren dafür gesehen werden, dass Sie auf dem richtigen Weg sind, solange wir bereit sind, Ihr Sicherheitsvokabular mit Ihrem Risikovokabular abzugleichen.
Schließlich ist das Risiko ein unternehmensübergreifendes Konzept, das die Geschäftsergebnisse beeinflusst. Die Sicherheit selbst ist ein Risikobereich, und Sicherheitsinvestitionen lassen sich am besten als Einfluss auf die Risikominderung beschreiben, d. h. die Verringerung der Wahrscheinlichkeit und der Auswirkungen von erwarteten Verlusten. Wenn die vertikale Ausrichtung auf die Risikoergebnisse in einem Unternehmen explizit zwischen den taktischen und operativen Sicherheitsfunktionen und der strategischen Führungsebene erfolgt, haben wir eine klare Sichtlinie zwischen den Sicherheitsinvestitionen, der Rendite dieser Investitionen und der Frage, inwieweit sie sich auf dem Weg zur Sicherheit positiv auswirken.
In Anbetracht der obigen Ausführungen gibt es einige vernünftige Ziele: die Fronten zu verstehen, an denen man kämpft, richtig zu definieren, wie ein Sieg aussieht, und den Erfolg so zu messen, dass er sich in Geschäftsergebnissen niederschlägt.
Planen Sie die Fronten, an denen dieser Krieg geführt werden soll
Erstens muss das organisatorische Risiko die Fronten, an denen dieser Krieg geführt werden soll, anerkennen und ausdrücklich einplanen.
Eine der verschiedenen Möglichkeiten, den zwangsläufig vernetzten Raum aufzuteilen, besteht darin, die internen, externen und technologischen Fronten zu betrachten:
- Die interne Front sind die Dinge, die unter unserer direkten Kontrolle stehen, wie unsere Mitarbeiter und unsere Verfahren, die unser Risiko beeinflussen. Ein Erfolg an dieser Front bringt kulturelle Risikoanreize und Risikoergebnisse in Einklang.
- Die Außenfront ist der Bereich, in dem Akteure und Aktivitäten außerhalb unserer Kontrolle unser Risiko beeinflussen. Der Erfolg reicht hier von der Planung für Naturkatastrophen einerseits bis hin zu motivierten und hartnäckigen Gegnern andererseits.
- Die Technologiefront ist die Grundlage des modernen Unternehmens und der Ort, an dem sich das Zusammenspiel zwischen internen und externen Faktoren abspielt. Technologie ist nie statisch, und so geht es bei der Steuerung des Erfolgs an dieser Front darum, zu erkennen, wo man steht, wo man hinmuss und welche Schritte auf dem Weg dorthin gemacht werden müssen, auch wenn dieser durch interne und externe Kräfte gestört wird.
Werden all diese Aspekte nicht berücksichtigt, erhöht sich die Wahrscheinlichkeit, dass etwas schief geht - und zwar auf eine Art und Weise, von der Sie sich wünschen, dass sie nicht eintritt.
Organisationen müssen Erfolg positiv als Förderung der Resilienz definieren.
Zweitens: Anstatt den Erfolg negativ als Verhinderung von Angriffen zu definieren, müssen Organisationen den Erfolg positiv als Förderung der Widerstandsfähigkeit definieren.
Und was ist Resilienz? Es ist der Zustand, in dem Dinge, die schief gehen, gehandhabt werden, bevor sie wesentliche Auswirkungen haben.
Eine sichere Organisation ist eine Organisation, in der Bedrohungen erkannt werden, Störungen minimiert werden, die Wiederherstellung schnell erfolgt und Verluste unwesentlich sind. Alle diese Faktoren fließen in eine größere Kalkulation der Risikominderung ein, und die Investitionen stehen im Verhältnis zu ihrer Wirkung, angefangen bei den weitgehend standardisierten Schutzmaßnahmen bis hin zu den spezifischen Resilienzzielen einer Organisation für Erkennung, Reaktion und Wiederherstellung.
Historische Misserfolge in dieser Hinsicht treten auf, wenn Unternehmen sich fälschlicherweise darauf konzentrieren, alle Bedrohungen zu verhindern oder sich ausschließlich mit der Einhaltung von Vorschriften zufrieden zu geben. Beide sind für sich genommen wichtig, aber die erste Variante führt zu einer Kultur, die auf ein unerreichbares (und offen gesagt weniger wichtiges) Ziel fixiert ist, während die zweite Variante aus dem, was vielleicht nicht einmal als Boden geeignet ist, eine Decke macht.
Warum sollte die Sicherheit die Ausnahme sein?
Drittens lässt sich das Risiko in fast allen Geschäftsbereichen als Verlusterwartung quantifizieren, die in den Dimensionen Wahrscheinlichkeit und Auswirkung (ausgedrückt in der Währung Ihrer Wahl) angegeben wird - warum sollte die Sicherheit eine Ausnahme sein?
Dieses letzte Ziel ermöglicht es strategischen Entscheidungsträgern, Sicherheitsrisiken mit anderen Risiken des Unternehmens zu vergleichen und Kapital und Ressourcen zuzuweisen, um die Geschäftsergebnisse zu optimieren und den ROI zu verstehen, den sie mit ihrer Risikostrategie erzielen werden.
Fünfzig "gelbe" Server mit "kritischen" Schwachstellen oder ein Rechenzentrum, das durch saisonale Wirbelstürme gestört werden könnte. Was ist schlimmer? Und wie sollte ein Unternehmen die Prioritäten für die begrenzten Ressourcen in einem Aktionsplan festlegen? Überprivilegierte, gefährdete Benutzer mit Zugang zu sensiblen Daten oder die Nichteinhaltung der Markteinführungszeit für ein neues Produkt? Und wie sieht es mit einigen öffentlich zugänglichen Webservern auf auslaufenden Laufzeitumgebungen aus? Wie passen sie zu den Prioritäten des Unternehmens? Ohne eine gemeinsame Vergleichssprache ist es außerordentlich schwierig, optimale Prioritäten zu setzen. Für ein Unternehmen wird diese Sprache letztlich im Kontext von Verlusterwartung und ROI verwendet.
Und da haben Sie es, praktische Ziele für den Fortschritt bei der Sicherheit einer Organisation - zu verstehen, wo und wie Sie gefährdet sind, zu verstehen, dass es beim Erfolg um Wirkung und nicht um Prävention geht, und diese Erkenntnisse dann so zu kommunizieren, dass sie bei Ihren wichtigsten Geschäftsinteressenten ankommen.
Wenn Sie diese Ziele bereits anvisieren, sind Sie auf dem besten Weg dorthin, wo Sie hinwollen. Wenn nicht, ist es an der Zeit, sich nicht länger auf das Ausbleiben des Erfolgs zu konzentrieren, sondern stattdessen die Sicherheitskarte und den Kompass hervorzuholen. Wenn Sie mit einem Sicherheitsberater sprechen möchten, vereinbaren Sie einen Termin für eine Demo.