In der aktuellen Atmosphäre wirtschaftlicher Unsicherheit stehen viele CISOs vor der Herausforderung, mit noch weniger Ressourcen eine straffere Sicherheit aufrechtzuerhalten. In unserer ersten Secureframe-Sprechstunde | Fragen Sie einen Experten für CISOs zog der Secureframe-CISO Drew Daniels aus seinen über 20 Jahren Erfahrung als Informationssicherheitsexperte, um Fragen zur Aufrechterhaltung einer starken Sicherheits- und Compliance-Haltung in Zeiten wirtschaftlicher Unsicherheit zu beantworten.

Während der 30-minütigen, Live-Fragen-und-Antwort-Runde beantwortete Drew Fragen zu Themen wie Best Practices für technische und organisatorische Schutzmaßnahmen, Möglichkeiten zur Einbindung wichtiger Stakeholder in Sicherheitinitiativen und wie CISOs Prioritäten setzen und Mehrwert in ihren Organisationen schaffen können. Falls Sie es verpasst haben, fassen wir unten einige seiner Antworten zusammen.

1. Welche manuellen und geringwertigen Aktivitäten bearbeiten CISOs heute, die automatisiert werden könnten, damit mehr Fokus auf höhere Prioritäten gelegt werden kann?

Drew: Es gibt zwei Dinge, auf die CISOs die meiste Zeit ihrer Arbeit konzentrieren und die mir sofort in den Sinn kommen.

Erstens gibt es im Compliance-Bereich viele mühsame und sich wiederholende Arbeiten, die reif für die Automatisierung sind. Viele Compliance-Aufgaben sind einfache Vergleiche von einer Liste mit einer anderen Liste, und weil sie so regelmäßig und häufig erledigt werden müssen, ist es etwas, woran CISOs ständig arbeiten müssen. Compliance-Teams stecken in der Bearbeitung von Aufgaben fest, die sie nicht mögen, die mühsam und repetitiv sind. Diese Dinge können und sollten automatisiert werden.

Zweitens bewegt sich heute das Geschäftsumfeld so schnell. Technologien und Risiken können unglaublich schnell auftauchen. Zum Beispiel las ich kürzlich von einer Situation, in der jemand eine neue Compute-Ressource in AWS hochfuhr und Code veröffentlichte, um einige Tests durchzuführen und vergaß, dass sie da war. Innerhalb von 15 Minuten wurde dieser Dienst gehackt, weil er keine Sicherheitssorgfalt walten ließ. Es ist sehr einfach für jemanden in der Technik, eine Ressource in der Cloud zu erstellen – Sie können eine Website, eine Rechenmaschine oder eine System-Endpunkt innerhalb von 5-6 Minuten hochfahren. Dies ist der zweite Grund, warum Automatisierung unerlässlich ist: Sie können nicht mit der Geschwindigkeit arbeiten, mit der diese Ressourcen erkannt und angegriffen werden können. Sie benötigen Automatisierung, die diese verschiedenen Signale rund um die Uhr finden und zusammenführen kann, damit Sie sofort wissen, wenn eine Bedrohung besteht.

2. Was sind einige der wertvollsten Dinge, die CISOs tun können, und wie können sie sich besser auf diese hochwertigen Ziele fokussieren?

Drew: CISOs sollten sich auf operationelle Risiken konzentrieren. Risikoanalysen sind unglaublich wichtig und informieren nicht nur darüber, wo Ihre Bedrohungen sind, sondern auch, wo Ihre Vermögenswerte sind.

Welche Daten sind für das Unternehmen am wichtigsten? Das ist ein wichtiges Gespräch mit Ihrem Führungsteam. Sind diese Kundendaten wichtig? Wenn ja, müssen wir Geld und Ressourcen aufwenden, um sie zu sichern. Viele Menschen versäumen es, ihrem Führungsteam aussagekräftige Daten zu präsentieren und zu erklären, warum diese Sicherheitsmaßnahmen wichtig sind.

3. Wie umfangreich sollten technische und organisatorische Maßnahmen sein?

Drew: Es gibt mehrere Verweise auf technische und betriebliche Maßnahmen in der DSGVO und anderen Datenschutzbestimmungen sowie in einigen anderen Sicherheitsrahmenwerken. Im Allgemeinen müssen Sie eine Risikoanalyse durchführen, bei der Sie Bedrohungen und Vermögenswerte identifizieren. Die Ergebnisse dieser Analyse werden Sie bei den Schutzmaßnahmen leiten, mit denen Sie Ihre Haltung gegenüber böswilligen Akteuren stärken werden. Wenn eine technische Sicherheitsperson Ihre Schutzmaßnahmen betrachtet, würde sie diese als angemessen betrachten? SOC 2, ISO, sogar NIST und CMMC sowie die DSGVO geben nicht unbedingt genau vor, was Organisationen tun müssen. Sie suchen nach einem vernünftigen Sicherheitsstandard, der auch für Ihr Geschäft authentisch ist.

Sie müssen Ihre Risiken, Bedrohungen, Vermögenswerte und den Zugang zu diesen sowie den Datenfluss durch die Organisation betrachten — Datenflussdiagramme sind in diesem Stadium entscheidend — und strategisch über die Maßnahmen nachdenken, die Sie ergreifen sollten. Das gesagt, die meisten Organisationen müssen einige Sicherheitskontrollen unabhängig von den Bedrohungen implementieren, wie z. B. eingehende Schutzmaßnahmen und Compliance-Automatisierung zur Erkennung, Identifizierung und Verarbeitung dieser Bedrohungen.

4. Was sind einige bewährte Verfahren für die Erstellung und Umsetzung eines Plans und/oder einer Richtlinie zur Reaktion auf Vorfälle?

Drew: Zu viele Organisationen erstellen einen Reaktionsplan auf Vorfälle und legen ihn dann auf ein Regal, ohne ihn jemals wieder anzuschauen. Richtlinien zur Reaktion auf Vorfälle sollten Handbücher sein, die regelmäßig getestet werden, idealerweise ein paar Mal im Jahr, wobei verschiedene Elemente der Richtlinie in realen Szenarien wie Übungen auf dem Tisch geprüft werden. Der Reaktionsplan muss prägnant und direkt sein, ohne bedeutungsloses Fachjargon oder Füllmaterial. Wenn eine Krise eintritt, muss jemand in der Lage sein, ihn anzusehen und genau zu wissen, was in diesem Moment zu tun ist, um das Ereignis zu triagieren, das Risiko zu bewerten und zu minimieren und dann eine Ursachenanalyse durchzuführen.

Das regelmäßige Üben des Reaktionsplans auf Vorfälle stellt nicht nur sicher, dass Ihr Plan so funktioniert, wie er soll, sondern es dient auch als zwingende Funktion, um sicherzustellen, dass er aktuell ist. Möglicherweise haben Sie Kontaktinformationen für wichtige Personen – jemanden im Vertrieb, der hilft zu verstehen, ob kundenbezogene Anfragen im Zusammenhang mit dem Vorfall eingehen, jemanden im Marketing, der die sozialen Kanäle verwaltet, einen Teamleiter oder Ansprechpartner, der den Plan aus der Organisation des CISO heraus umsetzt. Wenn Sie diesen Plan nicht üben, werden Sie nicht bemerken, dass vielleicht jemand in eine andere Rolle befördert oder die Organisation verlassen hat, und wenn Sie in eine tatsächliche Vorfallsituation geraten, kann etwas so Grundlegendes wie veraltete Kontaktinformationen Sie sofort lahmlegen.

Das zweite, was Sie tun müssen, ist, Champions zu finden und Teams in den Reaktionsprozess auf Vorfälle einzubeziehen. Technik, Vertrieb, Marketing — sie sind die besten Augen, die Sie haben. Sie werden diejenigen sein, die etwas bemerken und Ihnen helfen können, diese Ereignisse frühzeitig zu stoppen.

5. Was sind einige grundlegende Schutzmaßnahmen, die ein CISO rund um eine Informationssicherheitsrichtlinie haben sollte?

Drew: Meiner Erfahrung nach war eine Informationssicherheitsrichtlinie ein nach innen gerichtetes Dokument, das dazu dient, die Anforderungen zu identifizieren und zu isolieren, die die Mitarbeiter einhalten sollen. Eine Informationssicherheitsrichtlinie wird also akzeptable bewährte Verfahren enthalten. Sie wird sich auch darauf konzentrieren, wie die Organisation die Mitarbeiter befähigen wird, Teil des Sicherheitsprogramms zu sein, nicht Teil des Sicherheitsproblems.

Schreiben Sie keine Informationssicherheitsrichtlinie, die generisch ist und für Ihre Mitarbeiter wenig Sinn ergibt. Holen Sie sich Input von anderen Führungskräften zu den Anforderungen und machen Sie sie verantwortlich. Wie ich bereits erwähnt habe, kann jeder neue Technologien einsetzen, wenn er den richtigen Zugang hat. Wenn also nicht die Sicherheit die Entscheidung für jede dieser Dinge trifft — was ich nicht empfehle, da es zu einem Engpass führt —, müssen Sie in der Lage sein, Aspekte der Informationssicherheit auf das Führungsteam zu demokratisieren, sodass sie wissen: Das ist erlaubt, das ist nicht erlaubt, dies genehmigen, das nicht genehmigen. Das ist der Schlüssel.

6. Angesichts des aktuellen wirtschaftlichen Standes haben wir alle begrenzte Budgets. Wie können CISOs am besten priorisieren? Welche Cybersicherheitsdienste sollten sie in Betracht ziehen auszulagern?

Drew: Einige von Ihnen könnten auf Faktoren stoßen, bei denen Sie Einsparungen vornehmen müssen, und es wird betont, wie effektiv Ihr Programm ist. Sie müssen in der Lage sein zu zeigen, wo Sie angefangen haben und wo Sie jetzt stehen, indem Sie die Ihnen zur Verfügung stehenden Ressourcen und Gelder weise einsetzen. Wie profitiert die Organisation von Ihrer Investition? Sie müssen in der Lage sein, KPIs und Metriken zu zeigen, die dies belegen. Wenn Sie das nicht tun können, werden Sie eher in eine Situation geraten, in der die Budgetverantwortlichen sagen, dass Sie nicht bewiesen haben, dass Sie ein so großes Budget benötigen. Sicherheit scheitert oft daran, zu viel Fachjargon und zu wenig allgemeine Sprache zu verwenden, damit die Leute verstehen, was das Programm ist und warum es wichtig ist.

Ich glaube, dass Sie, wenn Sie Governance, Risiko und Compliance (GRC) betreiben, einige dieser Aufgaben auslagern sollten. Sie sollten Checks und Balances einführen, um sicherzustellen, dass Sie immer noch die gewünschte Effektivität des Programms erreichen, aber alles geht zurück zu dem, was ich ganz am Anfang gesagt habe. Am Ende sind viele Compliance-Aufgaben repetitiv und mühsam und erfolgen in einem bestimmten Rhythmus. Wenn Sie nicht automatisieren, müssen Sie Ressourcen bereitstellen, um Aufgaben zu erledigen, die ich noch nie einen Compliance-Mitarbeiter wirklich gerne machen sah. Persönlich möchte ich, dass mein Team innovative Dinge tut, ihr Gehirn anstrengt und in diesem Bereich mehr Wissen erlangt.

Es ist wirklich schwer, gute Sicherheitsexperten zu finden. Suchen Sie nach Personen in Ihrer Organisation, die Sie weiterbilden und zu Sicherheitsfachleuten machen können, weil sie motiviert und bereits Ihrer Vision, Mission und Ihren Werten verpflichtet sind. Ich mache das oft mit DevOps, indem ich sie eine kombinierte SecOps-Rolle übernehmen lasse, indem ich ihnen zeige, wie sie einige der Sicherheitsinfrastrukturen automatisieren und sie dann für die Organisation verwalten.

CISOs sollten in Dinge investieren, die ihnen helfen, manuelle Prozesse zu automatisieren, damit sie sich mit ihrem Team auf höherpriorisierte Projekte im Unternehmen konzentrieren können. Geben Sie Ihrem Team die Möglichkeit, in ihrer Rolle zu lernen und zu wachsen, indem sie andere Aufgaben als manuelle Tätigkeiten übernehmen.

Ermöglichen Sie Ihrem Team, erfolgreich zu sein, indem Sie eine helfende Hand bieten, ohne dass sie mit allem zu Ihnen kommen müssen. Ein Beispiel: In einer früheren Organisation wollte ich, dass sie einen vollständig automatisierten Schwachstellenmanagementprozess aufbauen, der einige Scanning-Ressourcen beinhaltet. Es war für das Team völlig neu, also habe ich ihnen gezeigt, wie ich es in der Vergangenheit mit Terraform gemacht habe und wie es ziemlich einfach gemacht werden kann. Sie konnten es entwerfen und bauen.

Geben Sie Ihrem Team große, ehrgeizige Projekte, bei denen sie echte Verantwortung übernehmen und in ihrer Karriere wachsen können, während Sie als Coach und Mentor dienen, um zu helfen und Anleitung zu geben.

Bleiben Sie dran für die nächsten Secureframe Office Hours | Fragen Sie einen Experten

Wir werden weiterhin regelmäßig Secureframe Office Hours im Jahr 2023 veranstalten. Bleiben Sie auf dem Laufenden für Updates oder sehen Sie sich unsere vergangenen Webinare auf Abruf an.