Der Countdown für die Keyfactor Tech Days läuft - sichern Sie sich noch heute Ihren Platz!

Was CISOs in diesem Herbst beschäftigt

Trends in der Industrie

Das Echo von RSA Conference, Black Hat und DEFCON hallt noch immer in unseren Ohren nach. Diese Konferenzen, vollgepackt mit bahnbrechenden Einsichten, Erkenntnissen und Vorhersagen, haben CISOs mit neuen Ideen und einem erneuerten Sinn für Ziele beflügelt. In diesen letzten Wochen des Sommers ist es an der Zeit, vom Wirbelwind der Konferenzen Abstand zu nehmen und einen Blick auf das große Ganze zu werfen. 

In einem Podiumsdiskussion die von Keyfactor und Devo auf der RSA moderiert wurde, tauschten sich CISOs über ihre dringlichsten Anliegen, die sich entwickelnde Rolle des CISO und die strategischen Veränderungen aus, die sie vornehmen, um die komplexe Sicherheitslandschaft von heute zu meistern. Vier Hauptthemen haben sich als die wichtigsten für CISOs herauskristallisiert - lesen Sie weiter, um zu erfahren, was die Führungskräfte nachts wach hält und was sie dagegen zu tun gedenken.

Das Thema Cybersicherheit ist aktueller denn je

Das öffentliche Bewusstsein für Sicherheitsfragen hat in den letzten Jahren zugenommen - es ist sogar so hoch wie nie zuvor.

Wir haben große Unterbrechungen durch Cybervorfälle erlebt: 

    • Wenn ein fehlerhafter Crowdstrike Update im Juli 2024 Microsoft-Geräte auf der ganzen Welt betraf, beherrschten Ausfälle bei Fluggesellschaften und das Leid der Kunden dominierten die Schlagzeilen.
    • Im Jahr 2022 wird eine große Rogers Störung in Kanada mit fehlerhaft arbeitenden Routern Millionen von Internet-, Mobilfunk- und Bankkunden, einschließlich einiger Notrufsysteme, betroffen.
    • Nach einer Störung im Februar 2024, AT&T festgestellt, dass "fast alle" Kundendaten aus den meisten Jahren des Jahres 2022 exfiltriert worden waren, wodurch das Risiko bestand, dass persönlich identifizierbare Informationen (PII) in die falschen Hände gerieten.
    • Ein "abgelaufenes Bodenstationszertifikat" bei Starlink im Jahr 2023 führte zu einem mehrstündigen Ausfall der Satelliten, was die Risiken eines mangelhaften Zertifikatsmanagements für den Gesamtbetrieb verdeutlicht.
    • Cisco Im Jahr 2023 trat ein ähnliches Problem auf, als abgelaufene Zertifikate auf vererbten SD-WAN hardware Cloud-, Datenspeicher- und E-Commerce-Dienste zum Erliegen brachten.

Diese Vorfälle haben die Cybersicherheit in das Bewusstsein der Öffentlichkeit gerückt. Diese erhöhte Sichtbarkeit geht über das Bewusstsein der Verbraucher hinaus; auch Vorstände und Führungskräfte müssen den Sicherheitsrisiken und ihren potenziellen Folgen mehr Aufmerksamkeit schenken. 

Diese erhöhte Aufmerksamkeit verschafft den CISOs zwar einen prominenteren Platz am Tisch, aber nicht alle Sichtbarkeit ist positiv. CISOs werden bei ihren Entscheidungen sehr genau beobachtet, und der Druck, Ergebnisse zu liefern, ist hoch. 

Persönliche Haftung steht auf dem Spiel

Die Rolle des CISO hat sich als Reaktion auf diese verstärkte Kontrolle dramatisch entwickelt, und damit auch das Ausmaß der persönlichen Haftung. Der Angriff auf die Lieferkette von SolarWinds zum Beispiel führte zu Anklage wegen Betrugs gegen CISO Timothy Brown; bei Uber führte eine Datenschutzverletzung zu einer strafrechtlichen Verurteilung und drei Jahren auf Bewährung für den ehemaligen CISO Joseph Sullivan.

Verschärft werden diese Herausforderungen durch neue Vorschriften zum Schutz der Öffentlichkeit, wie etwa die die Vier-Tage-Offenlegungsregel der SECoder die bevorstehenden NIST-Updates für kryptografische Algorithmen. Diese Vorschriften sind wichtig und hilfreich für die Verbesserung der Cybersicherheitspraktiken, aber sie erhöhen auch die Arbeitsbelastung und die Komplexität der Rolle eines CISOs.

Ein Ansatz, um den heißen Stuhl zu vermeiden? "Wenn es nicht aufgeschrieben ist, ist es nicht passiert". CISOs mit umfassender Dokumentation und Prüfung haben Informationen, auf die sie sich verlassen können, wenn sie mit regulatorischen Herausforderungen oder externen Untersuchungen konfrontiert werden.

Sicherheit und Risiko gehen Hand in Hand

Sie geben zwar fachkundigen Rat und Empfehlungen, aber das letzte Wort haben oft andere Führungskräfte, Vorstandsmitglieder oder Abteilungsleiter. 

Ein CISO könnte beispielsweise die Implementierung einer Multi-Faktor-Authentifizierung (MFA) für Salesforce empfehlen, aber wenn Salesforce dem Vertriebsteam gehört und unter dessen Budget liegt, ist dieses letztlich dafür verantwortlich und hat das letzte Wort darüber, ob diese Maßnahme eingeführt wird. Eine effektive Kommunikation und Zusammenarbeit zwischen CISOs und anderen Interessengruppen ist unerlässlich, um einen effizienten, progressiven Wandel herbeizuführen. 

Die Rolle des CISO umfasst letztendlich sowohl die Sicherheit als auch das Risikomanagement. In Anbetracht der begrenzten Ressourcen und des Zeitmangels ist es wichtig, die Prioritäten auf der Grundlage der Risikobereitschaft des Unternehmens zu setzen. Das Verständnis der Risikotoleranz des Unternehmens ist der Schlüssel zur Entscheidung, welche Sicherheitsmaßnahmen wann implementiert werden. 

CISOs passen sich schnell an das neue Paradigma an

Die Arbeit als CISO kann sich anfühlen, als säßen Sie auf dem heißen Stuhl. Während die technologischen Innovationen explodieren, gibt es ein paar gängige Ansätze, um die Dinge abzukühlen: 

Alles dokumentieren

Wir haben es schon einmal gesagt, und wir meinen es auch so: Schreiben Sie es auf, und eskalieren Sie das Problem mit Ihrem Führungsteam. Bei diesem akribischen Dokumentationsansatz geht es nicht nur darum, Aufzeichnungen zu führen, sondern sicherzustellen, dass jede Risikobewertung, Empfehlung und Entscheidung auf Papier festgehalten wird. 

Wenn ein CISO eine potenzielle Bedrohung oder Sicherheitslücke feststellt, macht er die Geschäftsleitung darauf aufmerksam, skizziert die möglichen Folgen und bewertet die Risikobereitschaft des Unternehmens, um alle Beteiligten auf eine Linie zu bringen, bevor er fortfährt. Im Falle eines Vorfalls oder einer Prüfung kann eine umfassende Dokumentation lebensrettend sein.

Einbindung von Rechts- und Compliance-Teams

Vorschriften können beim Risikomanagement mächtige Verbündete sein. In einem Hornissennest aus strengen Vorschriften und verschärfter Kontrolle können Ihre Rechts- und Compliance-Teams Ihnen dabei helfen, das richtige Maß an Risiko zu finden - weder zu vorsichtig noch zu sehr exponiert. Rechtsexperten spielen eine besondere Rolle, wenn es darum geht, die Kosten eines Fehlverhaltens zu ermitteln, was Ihnen helfen kann, eine fundierte Entscheidung zu treffen, die mit den Geschäfts- und Sicherheitszielen in Einklang steht. 

Holen Sie sich einen Platz am Tisch und behalten Sie ihn

Es reicht nicht mehr aus, dass CISOs die Sprache der Technik beherrschen, sie müssen auch die Sprache der Wirtschaft sprechen können. Führungskräfte wollen nicht nur wissen, welche Risiken gemindert werden, sondern auch, welchen Wert jede einzelne Budgetlinie hat. CISOs, die klar darlegen können, wie ihre Strategien Risiken verringern und zu den Gesamtzielen des Unternehmens beitragen, werden mit größerer Wahrscheinlichkeit die erforderlichen Ressourcen und Unterstützung erhalten. 

Nutzen Sie das Fachwissen strategischer, vertrauenswürdiger Partner

Managed-Service-Provider und andere strategische Partner bringen spezialisierte Fachkenntnisse in Ihr Unternehmen ein und helfen CISOs dabei, die Kompromisse zwischen der Integration neuer Technologie und der Erfüllung der spezifischen Anforderungen des Unternehmens zu priorisieren. Unter Keyfactor bieten unsere Managed PKI-Services Zugang zu PKI-Experten, die Unternehmen dabei helfen können, den vollen Umfang folgender Aufgaben zu verstehen Zertifikatsverwaltung. Gehen Sie eine Partnerschaft mit Experten für den Bereich ein, der Ihrer Organisation fehlt, um fundierte Entscheidungen zu treffen, die Innovation und Sicherheit in Einklang bringen.

Zusammenarbeit, Kommunikation und Dokumentation können dafür sorgen, dass sich der CISO-Sitz etwas weniger warm anfühlt - oder zumindest die Wärme so verteilt, dass sie erträglich ist. 

Kommunikation und Partnerschaften sind die Zukunft einer erfolgreichen Cybersicherheit

Da sich die Rolle des CISO immer weiter entwickelt, bleibt die Fähigkeit, die Sprache des Unternehmens zu sprechen, eine Notwendigkeit. Eine klare Kommunikation hilft dabei, die Zustimmung der wichtigsten Interessengruppen zu erhalten und die wahren Risiken und Kompromisse, die mit jeder Sicherheitsentscheidung verbunden sind, zu vermitteln. Diese Kommunikation ist unerlässlich, um Sicherheitsstrategien mit Ihren Geschäftszielen in Einklang zu bringen und Ihre Organisation in die Lage zu versetzen, Sicherheitsmaßnahmen zu verstehen und zu unterstützen. 

Das rasante Tempo des technologischen Fortschritts, von KI bis Quantencomputingbringt Herausforderungen und Chancen für die Cybersicherheit mit sich. Die Zusammenarbeit mit vertrauenswürdigen Partnern kann CISOs dabei helfen, aufkommende Technologien zu navigieren und sie darauf vorzubereiten, neue Innovationen zu integrieren, ohne die Sicherheit zu gefährden.

Sehen Sie sich die vollständige Podiumsdiskussion an hören Sie direkt von Branchenführern, was sie beschäftigt: die Strategien und Erkenntnisse, die die Zukunft der Cybersicherheit bestimmen.