90-Tage-Checkliste: Müheloses Jogging

Die Umsetzung langfristiger Strategien

Warnen Sie die Führungsetage vor Downtime

Verdeutlichen Sie Ihrem CFO und CEO die bei Ausfällen drohenden Kosten. Als Berechnungsgrundlage dient hier unter anderem die altbekannte Formel Auftrittswahrscheinlichkeit mal Schaden. Damit erhalten Sie aussagekräftige Zahlen, die Sie dann der Unternehmensspitze als Datengrundlage vorlegen können. Verlangen Sie von der Geschäftsleitung eine Entscheidung über sämtliche Schritte, die Ihrer Ansicht nach nötig, derzeit aber wegen eines Mangels an Ressourcen nicht durchführbar sind. Sie sollten es als Ihre Aufgabe ansehen, geschäftliche Entscheidungen über sicherheitsrelevante Projekte herbeizuführen und dem Management die hierfür erforderlichen Informationen zu liefern. Dabei versteht es sich von selbst, dass Sie nicht immer das gewünschte Ergebnis erzielen werden – in manchen Fällen ist der ROI einer Security-Investition einfach zu niedrig. Doch letztlich kommt es, wie gesagt, einzig und allein darauf an, dass die Stakeholder aus den Geschäftsbereichen fundierte Entscheidungen treffen können.

Bilden Sie CI/CD-Teams mit einem eingebetteten Security-Ingenieur

Continuous Integration (CI) und Continuous Delivery (CD) sind von bloßen Schlagwörtern zur Realität geworden, weil immer mehr Unternehmen den Umstieg von Wasserfallmodellen auf agile Entwicklungszyklen anstreben. Bei dem Management eines großen Versanddienstes werden die hierfür zuständigen Gruppen lapidar als „2-Pizza-Teams“ bezeichnet, da der oder die Verantwortliche einfach eine zusätzliche Pizza bestellen muss, um einen hungrigen Security-Ingenieur anzulocken. Die Einstellung von altgedienten Veteranen entfällt. Prinzipiell kann jeder Softwareentwickler mit ein wenig Training in die Rolle des Sicherheitsverantwortlichen schlüpfen.

Auf diese Weise ist es dem Management des großen Versanddienstes gelungen, die Dauer von AppSec-Prüfungen zu minimieren. Außerdem sorgt die Umstellung auf CI/CD für ein höheres Maß an Übereinstimmung zwischen den Zielen des Entwicklungsteams („Software muss funktionieren!“) und den Zielen des Security-Teams („Sicherheit geht vor!“). Unter diesen Umständen kann Ihr Sicherheitsteam die produktive Zusammenarbeit zwischen Entwicklern und Ingenieuren zusätzlich fördern, indem es standardisierte Umgebungen bereitstellt, effektive Protokoll- und Monitoring-Tools implementiert und all die anderen bereits angesprochenen Dinge umsetzt.

Überwachung und Berichterstellung

Stellen sie konkrete Metriken auf

Definieren Sie passende Kennzahlen, mit denen Sie sowohl kurzfristige Erfolge (bspw. die Bestätigung von Trouble-Tickets innerhalb von 10 Minuten) als auch langfristige Verbesserungen (bspw. die Verkürzung der Entwicklungszyklen von 6 Monaten auf 6 Wochen) messen können. Dazu gehören auch geschäftliche Metriken, die Angehörigen anderer Unternehmensbereiche die Effekte Ihrer Security-Initiativen und -Prozesse verdeutlichen. Zum Beispiel: Wie tragen kürzere Reaktionszeiten zu einem unterbrechungsfreien Geschäftsbetrieb bei? Welche Kosten drohen, wenn kritische Ressourcen nicht gepatcht oder Programme mit bekannten Schwachstellen weiterhin verwendet werden? Wie lässt sich das Security-Niveau neu erworbener Unternehmen evaluieren?

Und wenn Sie schon einmal dabei sind, bestehende Konventionen zu hinterfragen, sollten Sie außerdem einen kritischen Blick auf die Zusammensetzung Ihres Vorstands werfen. Falls dieser keinen auf Sicherheit spezialisierten Posten enthält, ist es dringend erforderlich, dass Sie eine entsprechende Erweiterung anregen.

Halten Sie Ihre erzielten Erfolge in einer eigenen Datei fest

Dort sollten Sie alle überwundenen Blockaden, erzielten Zeitersparnisse, zustimmenden Urteile von Regulierungsbehörden, neu erschlossenen Mehrwertquellen, Verbesserungen der Mitarbeiterbindung und durchgeführten Weiterbildungsmaßnahmen dokumentieren. Damit schaffen Sie eine ideale Grundlage, um die anderen Vorstandsmitglieder und Manager regelmäßig über Ihren Beitrag zum Erfolg des Unternehmens auf dem Laufenden zu halten.

Kontinuierliche Verbesserung

Fördern Sie eine kritische, wachstumsorientierte Unternehmenskultur

Einige CISOs richten Kummerkästen für anonyme Vorschläge ein, andere bieten spezielle Sprechstunden und Meetings für Feedback an. Beachten Sie dabei stets, dass all diese Formen der Kommunikation nur dann produktiv sind, wenn Sie die Rückmeldung von Mitarbeitern nicht mit einem schlichten „Das haben wir schon immer so gemacht!“ vom Tisch wischen.

Stellen Sie sicher, dass das Kundenfeedback auch das Security-Team erreicht

Dieser Grundsatz gilt für Unternehmen aller Branchen. Schließlich ist ein sicheres Nutzererlebnis ein wichtiger Bestandteil Ihres Serviceangebots für Ihre Kunden.

Implementieren Sie effektive Reaktionsmechanismen

Sie sollten sich kontinuierlich darum bemühen, die „Grauzone“ manueller Entscheidungsprozesse auf nie dagewesene Situationen und Hochrisikobereiche zu beschränken. Dafür müssen Sie verbindliche Vorgaben für die Umwandlung von datengestützten Erkenntnissen in konkrete Maßnahmen festlegen und Ihr Team dazu anhalten, große Herausforderungen durch die Lösung kleinerer Probleme zu bewältigen.

Tipps von CISOs für CISOs:

„Achten Sie bei der Migration Ihrer Workloads in die Cloud unbedingt darauf, Ihre Mitarbeiter entsprechend zu schulen. Denn es ist deutlich billiger, vorhandene Fachkräfte weiterzubilden, als neues Personal anzuwerben. Außerdem steigert die Möglichkeit zum Erwerb neuer Skills die Mitarbeiterzufriedenheit. Deshalb sollten Sie in Ihrem Unternehmen gezielt nach Personen suchen, die eine Begabung für Aufgaben rund um die Cloud-Sicherheit zeigen (auch wenn es sich bei ihnen nicht um Mitglieder Ihres Security-Teams handelt). Mir selbst ist es mit AWS-Ressourcen und anderen Schulungsangeboten von Drittanbietern gelungen, ein schlagkräftiges unternehmensinternes Team aufzubauen.“

— Doug Fish, Director of Information Security, Mister Car Wash

Achten Sie auf aktuelle Entwicklungen

Nehmen Sie sich Zeit für einen genaueren Blick auf neue Trends wie maschinelles Lernen und künstliche Intelligenz. So sollten Sie unter anderem die Sicherheit der in Ihrem Unternehmen verwendeten ML-Modelle prüfen und Toleranzschwellen für die Nutzung von Large Langauge Models (LLM) festlegen. Dabei haben Sie die Wahl zwischen verschiedenen Ansätzen von unterschiedlicher Effektivität. Entscheiden Sie sich für die Option, die sich am besten an die spezifischen geschäftlichen Risiken Ihres Unternehmens anpassen lässt.

Beugen Sie dem Burnout Ihrer Mitarbeiter vor

Wussten Sie, dass schon eine einfache Pflanze auf Ihrem Schreibtisch das Wohlbefinden in Ihrer Umgebung steigert? Doch im Ernst: Als CISO stehen Sie in der Pflicht, durch geeignete Maßnahmen zu verhindern, dass Sie und Ihr Team das Schicksal so vieler anderer Security-Experten teilen und durch einen Burnout aus dem Beruf gedrängt werden. Achten Sie also darauf, nicht immer dieselben Mitarbeiter als Notfallkontakte einzuteilen und genehmigte Urlaubszeiten zu respektieren. Grundsätzlich sollte die Organisation Ihres Security-Teams so robust sein, dass der reibungslose Ablauf der Prozesse von keiner bestimmten Person (einschließlich Ihrer selbst) abhängig ist.

Tipps von CISOs für CISOs:

„Obwohl automatische Reaktionen auf Cybersicherheits-Warnmeldungen viele Vorteile bieten, sollten sich automatisiertes Monitoring und manuelle Überwachungsprozesse stets die Waage halten. Erfahrene Experten sind unersetzlich, wenn es darum geht, komplexe oder neuartige Bedrohungen einzudämmen und kritische Entscheidungen zu treffen. Daher empfiehlt es sich, Security-Prozesse weiterhin auf kompetente Analysten auszurichten und ihnen automatisierte Systeme als Unterstützung zur Seite zu stellen. Auf diese Weise erreichen Sie ein Gleichgewicht zwischen menschlicher Expertise und maschineller Effizienz, das die Sicherheit Ihres Unternehmens stärkt.“

– David Christensen, CISSP, VP, Chief Information Security Officer, PlanSource

Was jetzt?

Meine Erfahrung hat mich gelehrt, dass CISOs meistens die richtigen Ziele verfolgen. Doch gute Absichten sind leider noch längst keine Erfolgsgarantie. Deshalb benötigen wir sowohl ein Arsenal an wiederholbaren Maßnahmen zur Security-Optimierung als auch kompetente Security-Teams, die modernen Unternehmen den Weg in die Zukunft ebnen. Das alte Klischee vom CISO als ewigem Neinsager hat jedenfalls in der aktuellen Geschäfts- und Arbeitswelt keinen Platz mehr. Doch was heißt das in der Praxis? Meiner Ansicht nach bedeutet es vor allem, dass Sie als CISO in der Pflicht stehen, zum geschäftlichen Erfolg Ihres Unternehmens beizutragen, Gefahren abzuwenden und den Verantwortlichen fundierte Entscheidungen über bestehende Risiken zu ermöglichen.