Gartner Security & Risk Management Summit: Vier Mythen verdecken Wert von Cybersecurity

Laut Gartner, Inc. verschleiern vier weit verbreitete Mythen den vollen Wert der Cybersicherheit für das Unternehmen und behindern die Wirksamkeit von Sicherheitsprogrammen. CISOs müssen sich eine „Minimum Effective“-Mentalität zu eigen machen, um die Auswirkungen der Cybersicherheit auf das Unternehmen zu maximieren. + Analysten erörtern, wie CISOs die Sicherheit maximieren können – vom 26. bis 28. September in London

„Viele CISOs sind ausgebrannt und haben das Gefühl, dass sie wenig Kontrolle über ihre Stressfaktoren oder ihre Work-Life-Balance haben“, sagt Henrique Teixeira, Senior Director Analyst bei Gartner. „Cybersecurity-Führungskräfte und ihre Teams geben sich die größte Mühe, aber sie erzielen nicht die maximale Wirkung.“

„Ein Minimum Effective Mindset ist ein bewusster, ROI-gesteuerter Ansatz, um Cybersecurity in die Zukunft zu führen“, ergänzt Leigh McMullen, Distinguished VP Analyst bei Gartner. „Auch wenn der Begriff ‚Minimum‘ unangenehm erscheinen mag, bezieht er sich auf den Input, nicht auf das Ergebnis. Dieser Ansatz ermöglicht es Cybersecurity-Funktionen, über die bloße ‚Verteidigung der Festung‘ hinauszugehen und ihr wahres Potenzial zur Schaffung von greifbarem Wert freizusetzen.“

Mythos Nr. 1: Mehr Daten gleich besserer Schutz

Es wird allgemein angenommen, dass der beste Weg, die Entscheidungsträger zu Maßnahmen in Bezug auf Cybersicherheitsinitiativen zu bewegen, in einer ausgefeilten Datenanalyse besteht, z. B. in der Berechnung der Wahrscheinlichkeit des Eintretens eines Cybervorfalls. Es ist jedoch nicht praktikabel, das Risiko auf diese Weise zu quantifizieren. Darüber hinaus führt dieser Ansatz nicht zu einer gemeinsamen Verantwortlichkeit zwischen Cybersicherheits- und Unternehmensentscheidern, die für eine wesentliche Reduzierung des Geschäftsrisikos erforderlich ist. Eine Studie von Gartner hat ergeben, dass nur ein Drittel der CISOs berichtet, dass sie durch die Quantifizierung von Cyberrisiken erfolgreich Maßnahmen ergreifen konnten.

Anstatt immer mehr Daten zu sammeln und zu analysieren, verfolgen versierte CISOs einen Minimum Effective Insight“-Ansatz“, so Teixeira. „Ermitteln Sie die geringste Menge an Informationen, die erforderlich ist, um eine gerade Linie zwischen den Cybersicherheitsmitteln des Unternehmens und dem Ausmaß der Schwachstelle zu ziehen, die durch diese Mittel abgedeckt wird.

CISOs sollten einen ergebnisorientierten Metrikansatz (ODM) verwenden, um Minimum Effective Insight zu erreichen. ODMs verknüpfen operative Sicherheits- und Risikokennzahlen mit den Geschäftsergebnissen, die sie unterstützen, indem sie das derzeitige Schutzniveau und die alternativen Schutzniveaus, die je nach Ausgaben verfügbar sind, erläutern.

Mythos Nr. 2: Mehr Technologie ist gleichbedeutend mit besserem Schutz

Es wird prognostiziert, dass die weltweiten Ausgaben für Produkte und Dienstleistungen im Bereich Informationssicherheit und Risikomanagement um 12,7 % auf 189,8 Milliarden US-Dollar im Jahr 2023 ansteigen werden. Doch selbst wenn Unternehmen mehr für Cybersicherheits-Tools und -Technologien ausgeben, haben Sicherheitsverantwortliche immer noch das Gefühl, dass sie nicht richtig geschützt sind.

„Cybersecurity bleibt oft in der Denkweise der Anschaffung von Geräten stecken und glaubt, dass es hinter der nächsten Ecke etwas Besseres geben muss“, so McMullen. „Stattdessen müssen CISOs ein Minimum Effective Toolset einführen – die wenigsten Technologien, die zur Beobachtung, Verteidigung und Reaktion auf Angriffe erforderlich sind. Dies ermöglicht es der Cybersicherheit, sich ihre Architektur zu eigen zu machen und die Komplexität und mangelnde Interoperabilität zu reduzieren, die es so schwierig macht, aus Technologieinvestitionen einen Nutzen zu ziehen.“

Unternehmen können den Weg zu einem Minimum Effective Toolset beginnen, indem sie eine Personalkostenbetrachtung anstellen, bei der der Aufwand für die Verwaltung von Cybersicherheits-Tools geringer ist als der Nutzen des Tools zur Risikominderung. Parallel dazu sollte eine architektonische Perspektive eingenommen werden, um zu messen, ob ein bestimmtes Tool die Fähigkeit, das Unternehmen zu schützen, verbessert oder verschlechtert. Die Prinzipien der Cybersecurity-Mesh-Architektur (CSMA) können auch die Sicherheit unterstützen, indem sie auf Einfachheit, Kompatibilität und Interoperabilität ausgerichtet werden.

Mythos Nr. 3: Mehr Cybersecurity-Fachleute bedeuten besseren Schutz

„Die Nachfrage nach Cybersecurity-Talenten übersteigt das Angebot so sehr, dass CISOs nicht mehr aufholen können“, so McMullen. „Sicherheit ist ein massiver Engpass für die digitale Transformation, und das liegt zum großen Teil an dem Mythos, dass nur Cybersicherheitsexperten ernsthafte Cyberarbeit leisten können. Die Lösung liegt in der Demokratisierung von Cybersecurity-Fachwissen, anstatt zu versuchen, aus der Talentlücke heraus einzustellen.“

Gartner prognostiziert, dass bis 2027 75 % der Mitarbeiter Technologien außerhalb der Sichtweite der IT-Abteilung erwerben, verändern oder erstellen werden, gegenüber 41 % im Jahr 2022. CISOs können die Belastung ihrer Teams reduzieren, indem sie diesen Business-Technologen helfen, ein Minimum an effektiver Expertise oder Cyber-Urteil zu entwickeln. Eine kürzlich durchgeführte Gartner-Umfrage ergab, dass Business-Technologen mit einem hohen Cyber-Urteilsvermögen bei der Entwicklung von Analyse- oder Technologiefunktionen mit 2,5-mal höherer Wahrscheinlichkeit Cybersicherheitsrisiken berücksichtigen.

Mythos Nr. 4: Mehr Kontrollen sind gleich besserer Schutz

Eine aktuelle Gartner-Umfrage ergab, dass 69 % der Mitarbeiter in den letzten 12 Monaten die Cybersicherheitsrichtlinien ihres Unternehmens umgangen haben, und 74 % der Mitarbeiter wären bereit, Cybersicherheitsrichtlinien zu umgehen, wenn dies ihnen oder ihrem Team helfen würde, ein Geschäftsziel zu erreichen.

„Cybersecurity-Organisationen sind sich des weit verbreiteten unsicheren Verhaltens der Belegschaft durchaus bewusst, aber die typische Reaktion, mehr Kontrollen einzuführen, geht nach hinten los“, so Teixeira. „Die Mitarbeiter berichten, dass es für sie sehr schwierig ist, sich sicher zu verhalten, was wiederum zu unsicherem Verhalten führt. Kontrollen, die umgangen werden, sind schlimmer als gar keine Kontrollen“.

Mit Minimum Effective Friction wird die Bewertung der Leistung von Sicherheitskontrollen im Bereich der Cybersicherheit neu ausgerichtet, so dass die Benutzererfahrung und nicht nur die technische Funktionalität im Vordergrund steht. Gartner prognostiziert, dass bis zum Jahr 2027 50 % der CISOs großer Unternehmen menschenorientierte Sicherheitsdesign-Praktiken eingeführt haben werden, um die durch Cybersecurity verursachten Reibungsverluste zu minimieren und die Akzeptanz von Kontrollen zu maximieren.

Erfahren Sie in dem kostenlosen Gartner-Ebook Four Facets of Effective CISO Leadership (Vier Facetten einer effektiven CISO-Führung), wie Sie eine effektive Führungskraft im Bereich Cybersicherheit werden.