
Vorstände und die Cybersicherheit verhalten sich oft wie ein Ehepaar, dessen Beziehung in stürmischen Gewässern fährt. Fragt man Eheberater was eine solche Ehe charakterisiert, berichten sie in der Regel, dass die zwei häufigsten Probleme ein Mangel an Kommunikation und Fehlkommunikation sind.
Dieses Thema wurde in zwei Studien von Osterman Research betont, die auf beiden Seiten untersucht haben, wie Unternehmen Zwischenfälle in der IT-Sicherheit und IT-Probleme intern vermitteln. Für das Whitepaper Reporting to the Board: Why CISOs and the Board are Missing the Mark wurden Security-Manager um ihre Ansichten zur Meldung von Sicherheitsvorfällen gebeten. Für How Boards of Directors Really Feel About Cybersecurity hingegen wurden Vorstandsmitglieder befragt, um ihre Ansichten über die Berichte, die sie von den Sicherheitsteams erhalten, kennenzulernen. Die Ergebnisse der Studien decken eine vielsagende Dissonanz auf.
Eine Beziehung in stürmischen Gewässern
Während beispielsweise nur 40 Prozent der Sicherheitsverantwortlichen berichteten, dass sie dem Vorstand Berichte mit verwertbaren Informationen zur Verfügung stellten, sagte die überwältigende Mehrheit (97 Prozent) der Vorstandsmitglieder, sie wüssten, was sie mit den zur Verfügung gestellten Informationen tun sollten. Darüber hinaus glauben nur 33 Prozent der Sicherheitsmanager, dass der Vorstand die in Berichten enthaltenen Informationen zur Cybersicherheit versteht, während 70 Prozent der Vorstände glauben, alles verstanden zu haben, was ihnen gemeldet wurde. Aufgrund dieser Differenzen, so die Berichte, sind die Sicherheitsverantwortlichen anfällig dafür, den Führungskräften zu sagen, was sie hören wollen, während 59 Prozent der Vorstandsmitglieder sagen, sie würden auf solche Praktiken mit einer Kündigung des Sicherheitsmanagers reagieren, weil er keine aussagekräftigen Informationen geliefert hat.
Eine Störung in der Kommunikation
Einer der wenigen Punkte, in denen die Befragten übereinstimmten, war, dass die in den Berichten verwendete Sprache eine effektive Kommunikation erschwerte. 75 Prozent der IT- und Sicherheitsfachkräfte sowie 66 Prozent der Mitglieder des Vorstands sagten, dass sie der Meinung sind, der Vorstand profitiere von Berichten, die keine Cybersicherheitsexpertise voraussetzen, um sie zu verstehen. Darüber hinaus äußerten die Vorstände ihre Präferenz für qualitative Informationen gegenüber quantitativen Informationen, um effektive Geschäftsentscheidungen treffen zu können. Aber bekommt der Vorstand diese qualitativen Informationen? Die Osterman-Studien sagen: „Vermutlich nicht.“
Der bekannte Grund dafür ist, dass die meisten IT-Sicherheitsteams unterbesetzt und überlastet sind. Deshalb konzentrieren sie sich auf jene Aufgaben, die zur Aufrechterhaltung der IT-Infrastruktur notwendig sind. Berichte stehen an letzter Stelle der Prioritäten. Darüber hinaus werden die Berichte über die Security des Unternehmens heute noch größtenteils manuell erstellt, was sowohl ressourcenintensiv als auch fehleranfällig ist, obwohl bereits knapp die Hälfte der von Osterman befragten IT- und Sicherheitsmitarbeiter eine Form der automatisiertem Business Intelligence zur Verbesserung ihrer manuellen Tabellenkalkulation einsetzte.
Beruhigung des Wassers durch Automatisierung
Durch den Übergang zu einer stärkeren Automatisierung des Sicherheitsrichtlinien-Managements können die Organisationen viele ihrer Herausforderungen in der Kommunikation zwischen Vorständen und IT-Sicherheitsteams lösen, die in den Berichten von Osterman Research hervorgehoben wurden. Intelligente Automatisierung reduziert die Abhängigkeit der IT-Teams von manuellen Berichten und erhöht die Genauigkeit. Darüber hinaus werden eine klare, konsistente und einheitliche Sprache und ein einheitliches Format für die Berichterstattung über die IT-Sicherheit festgelegt, die unternehmensweit standardisiert ist, auch wenn IT-Mitarbeiter kommen und gehen. Und durch den Einsatz von Tools zur Automatisierung des Sicherheitsmanagements, mit denen Schlüsseldaten zu Risiken und Schwachstellen gesammelt und mit Geschäftsprozessen verknüpft werden, können Sicherheitsverantwortliche problemlos die qualitativen Informationen bereitstellen, die das Board benötigt, um ihre Sicherheitsstrategien zu priorisieren und ihre Organisationen voranzutreiben.
Autor: Robert Blank, Regional Sales Manager DACH bei AlgoSec
Fachartikel

LIVE WEBINAR: Erkennen und Verwalten von Cyber-Risiken im erweiterten Zulieferer-Netzwerk

Künstliche Intelligenz und Datenethik: Vier Tipps, wie Unternehmen beides in Einklang bringen können

Gemeinsam Cyberbedrohungen den Garaus machen

LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum

Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn
Studien

Isolierte Kubernetes-Implementierungen erhöhen die Kosten und die Komplexität und können zu Datenverlusten führen

Studie: Zero Trust ist mittlerweile ein Thema der Vorstandsetagen, entsprechende Sicherheitsstrategien verzeichnen ein Rekordwachstum um 500 %

Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten

IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen

Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner
Whitepaper

Zahl der DDoS-Attacken im ersten Halbjahr mehr als verdreifacht

Das Erwachen der LNK-Dateien: Cyber-Kriminelle setzen bei Angriffen auf Verknüpfungen

Trellix Threat Labs Report: ein Blick auf die russische Cyber-Kriminalität

Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück
