Das müssen CISOs wissen
Das Analystenhaus Gartner hat sieben Trends im Sicherheits-, Datenschutzund Risiko-Management identifiziert. Erfahren Sie, was Chief Information Security Officers (CISOs) und Security-Entscheider beachten sollten.
Sieben Trends im Sicherheits- und Risiko-Management, die Chief Information Security Officers (CISOs) und Security-Entscheider interessieren sollten.
Sicherheits- und Risiko-Management (SRM) steht weit oben auf den Agenden von CISOs und anderen IT-Verantwortlichen. Digitalisierung und Vernetzung der Unternehmens-IT schaffen immer neue Angriffsflächen, die es adäquat zu bewerten und abzusichern gilt. Je mehr Bedeutung die IT für das Business gewinnt, desto schwerer wiegen IT-Ausfälle als Risiko für kritische Betriebsunterbrechungen. So bewerteten beispielsweise Allianz-Kunden im Risk-Barometer des Versicherers Cyber-Zwischenfälle als Hauptursache für Störungen im Geschäftsablauf.
Auch die Analysten von Gartner haben das erkannt und eine Liste mit sieben aufkommenden Trends erstellt, die das Sicherheits- und Risiko-Management in Unternehmen ihrer Meinung nach 2019 und darüber hinaus beschäftigen werden.
1. Risikobewertungen werden eng mit
Unternehmensergebnissen verzahnt. Da IT-Strategien und Geschäftsziele sich aneinander ausrichten, wird es für SRM-Verantwortliche immer wichtiger, andere Entscheider mit Sicherheitsthemen vertraut zu machen. Bewertungen zur Risikobereitschaft („Risk Appetite Statements“) gilt es, einfach, praxisbezogen und pragmatisch mit den Geschäftszielen und Vorstandsentscheidungen in Verbindung zu bringen. So vermeiden CISOs Entscheidungen, die nur auf IT fokussiert sind.
2. SOCs mit Fokus auf Threat Detection und
Response werden Pflicht. Security-Ausgaben verlagern sich weg von der Vermeidung und hin zur Erkennung von Bedrohungen. Dadurch wird es notwendig, in Security Operation Center (SOC) zu investieren, da die Sicherheitswarnungen häufiger und komplexer werden.
Die Analysten sagen voraus, dass bis 2022 die Hälfte der SOCs integrierte Fähigkeiten in den Bereichen Incident Response und Threat Intelligence besitzen werden. Gartner rät SRM-Entscheidern, ein SOC aufzubauen oder auszulagern, das diese Features bietet, Security-Alerts konsolidiert und automatisiert Gegenmaßnahmen einleitet.
3. Data Security Governance Frameworks
bestimmen Investitionen. Um Datensicherheit in immer komplexeren Umgebungen zu gewährleisten, müssen Unternehmen die Daten selbst sowie den Kontext, in dem sie erstellt und genutzt werden, verstehen. Auch die Regularien, denen sie unterliegen, spielen dabei eine wichtige Rolle.
Organisationen werden laut Gartner aufhören, Lösungen zum Schutz der Daten zu kaufen und an ihre Bedürfnisse anzupassen. Stattdessen setzten sie auf ein Data Security Governance Framework (DSGF). Dabei handelt es sich um eine Art datenzentrierte Blaupause, um Datenbestände zu identifizieren, zu klassifizieren und Richtlinien für ihren Schutz zu definieren. Darauf aufbauend, sollten IT-Verant-
wortliche Techniken auswählen, die das Risiko senken. Damit werde Datensicherheit vom Geschäftsrisiko bestimmt und nicht von der angeschafften Technik.
4. Passwortlose Authentifizierung kommt
im Markt an. Passwortlose Authentifizierungsmethoden wie Fingerabdruck-Scanner in Smartphones werden sich laut Gartner stark verbreiten. Sie werden bereits häufig in Unternehmens-Anwendungen eingesetzt, um es Hackern schwerer zu machen, über gezielt gestohlene Passwörter in Cloud-basierte Services einzudringen.
Passwortlose Methoden, die Geräte über Standortdaten, Verhaltensmuster oder biometrische Merkmale ihren Besitzern zuordnen, sollen sowohl mehr Sicherheit als auch Bedienkomfort mit sich bringen.
5. Hersteller werden zu Managed-Service
und Schulungsanbietern. Trotz künstlicher Intelligenz und Automatisierung ist der Fachkräftemangel eines der größten Probleme im IT- und Security-Sektor. KI kann zwar helfen, die Flut an Standard-SecurityAlerts abzufangen. Sensible oder komplexe Bedrohungen erfordern aber immer noch menschliche Mitarbeiter. Daher bieten Hersteller zunehmend Lösungen an, die Produkte und Services vereinen, damit Unternehmen sie schneller einsetzen können. Die Dienstleistungen reichen von partiellem bis komplettem Support. Letzterer soll auch die Skills der Administratoren ausbauen und den täglichen Arbeitsaufwand reduzieren.
6. Unternehmen investieren verstärkt in
Cloud-Security. Die Frage lautet mittlerweile nicht mehr ob, sondern wann und wie Unternehmen den Schritt in die Cloud wagen. Auf der einen Seite gilt die IT-Wolke als Enabler der Digitalisierung, auf der anderen bedeutet sie mehr Belastung für die Security-Teams. Fachwissen und Personal fehlen vielerorts, so dass zahlreiche Betriebe nicht auf die Cloud vorbereitet sind.
Daher schätzen die Gartner-Experten, dass die meisten Sicherheitsvorfälle in der Cloud bis 2023 von Anwendern verursacht werden. Zwar ist die Public Cloud eine sichere und praktikable Option für viele Unternehmen. Die Verantwortung, das Sicherheitsniveau aufrechtzuerhalten, liegt aber bei den Betreibern und Nutzern zugleich. Es gilt daher, in Security-Know-how und Governance-Tools zu investieren, um mit den rasanten Entwicklungen in der Cloud mithalten zu können. 7. Gartners Carta-Strategie soll in traditionel
len Security-Märkten mehr Anklang finden. Wenig überraschend nehmen die Marktforscher von Gartner auch eines ihrer eigenen Produkte in ihre Trendvorhersage auf. „Continuous Adaptive Risk and Trust Assessment“(Carta) ist eine von Gartner entwickelte Security-Strategie, die es Unternehmen erlauben soll, sich dynamisch an wechselnde Sicherheitsanforderungen anzupassen.
Manche Interaktionen und Transaktionen sollen dabei nicht von vornherein strikt blockiert, sondern erst einmal erlaubt werden, obwohl ihre Sicherheit nicht vorausgesetzt werden kann. Die Strategie zielt darauf ab, Risiken und Vertrauen kontinuierlich neu zu bewerten, auch wenn beispielsweise ein Anwender bereits Zugang erhalten hat.
E-Mail- und Netz-Sicherheitskonzepte setzen laut Gartner diesen Ansatz bereits um, indem sie kontinuierlich nach Anomalien suchen, auch wenn Nutzer und Geräte bereits authentifiziert sind.