Auf den Bingokarten vieler Technologie- und Risikoverantwortlicher war zu Beginn des Jahres kein Platz für eine weitere Kompromittierung der Lieferkette - geschweige denn für eine mit potenziell größeren Auswirkungen als SolarWinds. Doch nun ist der Staub der XZUtils-Hintertür schon so weit im Rückspiegel, dass wir eine mögliche Brandbekämpfung hinter uns haben. Aber die Auswirkungen sind immer noch so präsent, dass sie uns eine gute Gelegenheit zum Nachdenken bieten.
Konkret bedeutet das, dass wir über einen der Hauptfaktoren nachdenken müssen, der zu so vielen schlaflosen Nächten beiträgt - unsere kollektive Angst vor dem Unbekannten. Im Sicherheitsrisikomanagement für Unternehmen (ESRM) sind es die unbekannten Risiken , die Sie untergehen lassen.
Warum? Weil unbekannte Risiken weitgehend unbewältigt bleiben und daher nicht wirksam angegangen werden. Im besten Fall werden sie in geringen Mengen auf ineffiziente Weise durch Versicherungen übertragen. Im schlimmsten Fall werden sie in den Händen der heutigen motivierten und destruktiven cybercriminels zum Futter für schädliche Schlagzeilen und nächtliche Nachrichten.
Was können wir für das Sicherheitsmanagement in Unternehmen lernen?
Als ein motivierter Microsoft-Ingenieur namens Andres Freund ein zunächst harmlos erscheinendes Leistungsproblem beheben wollte, geriet er in einen Sicherheitskaninchenbau, der tief genug war, um ein Chaos aufzudecken. Letztendlich vereitelte er einen bösartigen Akteur mit der langfristigen strategischen Planung eines Nationalstaates und ersparte so vielen Menschen eine Menge Ärger.
Dies ist erstens bemerkenswert, weil keine formellen Präventions- oder Compliance-Maßnahmen dieses Risiko gemindert hätten, und zweitens, weil der Sieg außerhalb eines formellen Sicherheitsprogramms oder einer Hierarchie stattfand. Dies ist ein Beispiel für zwei kulturelle Faktoren, die von jeder Führungskraft gefördert werden sollten, die es ernst meint mit dem Umgang mit unbekannten Risiken: Neugierde und Zusammenarbeit.
Warum sind diese kulturellen Werte so wirksam im Umgang mit unbekannten Risiken? Die Antwort auf diese Frage lässt sich am besten durch eine Analogie veranschaulichen.
Umgang mit Eisbergen und unbekannten Riffen mit unbekannten Risiken
Die Realität sieht so aus, dass unbekannte Risiken in der Regel eine von zwei Formen annehmen. In der ersten Form ähneln sie bekannten Risiken, lauern aber meist unter der Wasserlinie von Routineentdeckungsmaßnahmen, wie Eisberge. Bei der zweiten Form, den unbekannten Riffen, sind sie völlig unter Wasser und für einen bestimmten Aspekt des Unternehmens einzigartig - aber dem kollektiven und verteilten Fachwissen, den Kenntnissen und der Erfahrung der Belegschaft nicht völlig fremd.
Von den beiden sind Eisberge am einfachsten zu konzeptualisieren, weil viele von uns in ihrem Unternehmen Muster von wohlverstandenen, aber schwer fassbaren Risiken erkennen - Risiken, von denen wir wissen, dass sie vorhanden, aber unentdeckt sind. Obwohl die meisten dieser Risiken unter der Oberfläche liegen, haben wir den Vorteil, dass wir verräterische Anzeichen entdecken können - wenn man weiß, wo (und wie und wann) man suchen muss. Der kulturelle Umgang mit diesen Risiken erfordert ein Überdenken der üblichen Entscheidungsprozesse. Sie müssen die Grenzen herkömmlicher Checklisten, Schwachstellenerkennung und Penetrationstests erkennen. Diese weltweit etablierten und akzeptierten Grundsätze des Risikomanagements sind zwar wertvoll, um eine verlässliche Risikobasis zu schaffen, sollten aber nie als Deckung für die Decke missverstanden werden.
Eine Kultur, in der die Neugierde im Vordergrund steht, gibt sich nicht damit zufrieden, ein klar definiertes Problem in einem jährlichen Rhythmus zu untersuchen. Stattdessen bewertet das Team kontinuierlich Risikomanagement-Entscheidungen, stellt Annahmen in Frage und entscheidet sich dafür, auch mal über den Tellerrand zu schauen. In der Praxis konzentrieren sich diese Kulturen auf eine kontinuierliche Verbesserung für ein ganzheitlicheres Risikomanagement. Sie kombinieren Tools und menschliche Intuition, um die gesamte Kette von Schutz-, Ermittlungs-, Reaktions- und Wiederherstellungsaktivitäten zu testen und zu validieren. Indem Sie die Zusammenarbeit fördern, schaffen Sie Anreize, die Eisberge des Risikos zu entdecken, indem Sie Fragen stellen, Untersuchungen anstellen und über die sonst üblichen Beschränkungen hinausgehen.
Unbekannte Riffe hingegen stellen eine Risikoklasse dar, die sich vollständig unter der Wasserlinie befindet. Auch wenn diese Probleme nicht mit Checklisten, Rahmenwerken oder so genannten Best Practices übereinstimmen, werden sie oft auf einer kollektiven, instinktiven Ebene von der gesamten Belegschaft verstanden. Und warum sollte dies überraschen, wenn die Art dieses Risikos selbst ein Nebenprodukt der Gesamtfaktoren des Unternehmens ist? Beispielsweise können sich die Kombinationen aus Lieferkette, Geschäftsmodell, interner Technologie und Faktoren wie Schatten-IT auf komplexe und miteinander verknüpfte Weise auf Geschäftsrisiken auswirken.
Es ist oft nicht möglich, die Auswirkungen dieser komplexen Faktoren von oben herab zu antizipieren, insbesondere in Unternehmen, in denen Silos, politische Lehnsgüter und organisatorische Isolation weit verbreitet sind. Auch hier sind Neugier und Zusammenarbeit als kulturelle Werte von Vorteil, da sie Anreize für das Überschreiten dieser kulturellen Grenzen schaffen und Ihren Mitarbeitern eine echte Chance geben, Risiken durch ihr kollektives Fachwissen, ihre Kenntnisse und ihre Erfahrung zu identifizieren und zu priorisieren. Auf diese Weise können erfolgreiche Unternehmen Risiken erfassen, identifizieren und abmildern, lange bevor ein Schaden entsteht.
In der Praxis erkennt dieser Ansatz an, dass ein zentralisiertes Risikomanagement zwar notwendig, aber nicht für jeden Anwendungsfall ausreichend ist. Schließlich ist das Risiko selbst organisatorisch verteilt. Auch wenn formale Maßnahmen wie Security-Champions-Programme oder Sensibilisierungs- und Schulungsmaßnahmen wertvoll sind, können sie die Bedeutung offener Kommunikations- und Zugangswege nicht aufwiegen. Der Aufbau sinnvoller Beziehungen ist entscheidend für die Aufdeckung und Bewältigung dieser Risiken.
Konzentrieren Sie sich auf die Kultur, um Ihre Abwehrkräfte zu stärken
Ja, bei der Bewältigung unbekannter Risiken geht es um mehr als nur um kulturelle Bemühungen - Menschen, Prozesse und Technologie spielen alle eine Rolle. Aber ohne kulturelle Förderung haben selbst die besten Mitarbeiter noch einen langen Weg vor sich. Aus diesem Grund ist die Schaffung einer ehrgeizigen Kultur so wichtig. Sie ist nicht nur die Grundlage für die Agilität angesichts moderner Bedrohungen, sondern ermöglicht es Ihnen auch, das Potenzial Ihrer Mitarbeiter voll auszuschöpfen. Und wenn Sie diese Grundlage geschaffen haben, sind Sie in der Lage, das Enablement und die Tools zu maximieren.
Die Kultur ist entscheidend - die Sicherheitspraxis Ihres Unternehmens hängt von ihr ab. Sorgen Sie dafür, dass alle erfolgreich sind, indem Sie ihr Priorität einräumen.
Sie wissen nicht, wo Sie anfangen sollen? Tausende von SOC-Analysten und -Architekten nutzen die Vectra AI Plattform, um unbekannte Bedrohungen über mehrere Angriffsflächen hinweg zu erkennen, zu priorisieren, zu untersuchen und auf sie zu reagieren. Machen Sie eine selbstgeführte Tour, um zu sehen, wie es funktioniert.