Top-Cybersecurity Strategien für das Sicherheits- und Risikomanagement

Laut dem Unternehmen Gartner, ein Analyse Dienstleister für Strategien in der IT werden künftig fünfzig Prozent der Chief Information Security Officers (CISOs) ein nutzerzentriertes Design einführen, um betriebliche Reibungsverluste im Bereich der Cybersicherheit zu reduzieren. Große Unternehmen werden sich auf die Implementierung von Zero-Trust-Programmen konzentrieren und die Hälfte der Führungskräfte im Bereich der Cybersicherheit wird erfolglos versucht haben, die Quantifizierung von Cyber-Risiken für die Entscheidungsfindung im Unternehmen zu nutzen. Gartner empfiehlt den Verantwortlichen für Cybersicherheit, die folgenden 8 strategischen Planungsannahmen in ihre Sicherheitsstrategien für die nächsten zwei Jahre einzubeziehen.

1. Bis zum Jahr 2027 werden 50 % der CISOs formell menschenzentrierte Designpraktiken in ihre Cybersicherheitsprogramme aufnehmen, um betriebliche Reibungen zu minimieren und die Akzeptanz von Kontrollen zu maximieren. Untersuchungen von Gartner zeigen, dass über 90 % der Mitarbeiter, die zugaben, während ihrer Arbeit eine Reihe von unsicheren Handlungen vorzunehmen, wussten, dass ihre Handlungen das Risiko für das Unternehmen erhöhen würden, dies aber dennoch taten. Beim menschenzentrierten Sicherheitsdesign steht der Mensch im Mittelpunkt der Kontrollentwicklung und -implementierung, nicht die Technologie, die Bedrohung oder der Standort, um Reibungsverluste zu minimieren.
2. Bis 2024 werden moderne Datenschutzbestimmungen den Großteil der Verbraucherdaten erfassen, aber weniger als 10 % der Unternehmen werden den Datenschutz erfolgreich als Wettbewerbsvorteil nutzen. Unternehmen erkennen allmählich, dass ein Datenschutzprogramm sie in die Lage versetzen kann, Daten umfassender zu nutzen, sich von der Konkurrenz abzuheben und Vertrauen bei Kunden, Partnern, Investoren und Aufsichtsbehörden aufzubauen. Gartner empfiehlt Sicherheitsverantwortlichen, einen umfassenden Datenschutzstandard in Übereinstimmung mit der GDPR durchzusetzen, um sich in einem zunehmend wettbewerbsintensiven Markt zu differenzieren und ungehindert zu wachsen.
3. Bis 2026 werden 10 % der großen Unternehmen ein umfassendes, ausgereiftes und messbares Zero-Trust-Programm eingeführt haben – heute sind es weniger als 1 %. Eine ausgereifte, weit verbreitete Zero-Trust-Implementierung erfordert die Integration und Konfiguration mehrerer verschiedener Komponenten, was recht technisch und komplex werden kann. Der Erfolg hängt in hohem Maße von der Umsetzung in Geschäftswert ab. Wenn man klein anfängt und eine sich ständig weiterentwickelnde Zero-Trust-Mentalität an den Tag legt, ist es einfacher, die Vorteile eines Programms besser zu verstehen und die Komplexität Schritt für Schritt zu bewältigen.
4. Bis 2027 werden 75 % der Mitarbeiter Technologien erwerben, verändern oder erstellen, die nicht im Einflussbereich der IT liegen – 2022 waren es noch 41 %. Die Rolle und der Verantwortungsbereich der CISOs verlagern sich von Kontrollverantwortlichen hin zu Vermittlern von Risikoentscheidungen. Die Neuausrichtung des Cybersecurity-Betriebsmodells ist der Schlüssel zu den bevorstehenden Veränderungen. Gartner empfiehlt, über Technologie und Automatisierung hinauszudenken und sich intensiv mit den Mitarbeitern auseinanderzusetzen, um die Entscheidungsfindung zu beeinflussen und sicherzustellen, dass sie über das entsprechende Wissen verfügen, um auf fundierte Weise zu handeln.
5. Bis 2025 werden 50 % der Führungskräfte im Bereich Cybersicherheit erfolglos versucht haben, die Quantifizierung von Cyber-Risiken für die Entscheidungsfindung im Unternehmen zu nutzen. Gartner-Forschungsergebnisse zeigen, dass 62 % der Unternehmen, die die Quantifizierung von Cyber-Risiken eingeführt haben, einen leichten Zuwachs an Glaubwürdigkeit und Bewusstsein für Cyber-Risiken anführen, aber nur 36 % haben handlungsorientierte Ergebnisse erzielt, wie z. B. eine Verringerung des Risikos, Geldeinsparungen oder tatsächlichen Einfluss auf Entscheidungen. Sicherheitsverantwortliche sollten ihre Feuerkraft auf Quantifizierungen konzentrieren, die von den Entscheidungsträgern verlangt werden, anstatt selbstgesteuerte Analysen zu erstellen, für die sie das Unternehmen erst überzeugen müssen.
6. Bis 2025 wird fast die Hälfte der Cybersecurity-Führungskräfte ihren Arbeitsplatz wechseln, 25 % werden aufgrund von Mehrfachbelastungen am Arbeitsplatz eine ganz andere Rolle übernehmen. Beschleunigt durch die Pandemie und die Personalknappheit in der gesamten Branche steigt der Arbeitsstress von Cybersecurity-Fachleuten und wird immer unerträglicher. Gartner weist darauf hin, dass es zwar unrealistisch ist, Stress zu eliminieren, dass aber Menschen in einer Kultur, in der sie unterstützt werden, anspruchsvolle und stressige Aufgaben bewältigen können. Eine Änderung der Verhaltensregeln zur Förderung eines kulturellen Wandels wird helfen.
7. Bis 2026 werden 70 % der Vorstände ein Mitglied mit Cybersecurity-Fachwissen haben. Damit Führungskräfte im Bereich Cybersicherheit als Geschäftspartner anerkannt werden, müssen sie die Risikobereitschaft des Vorstands und des Unternehmens anerkennen. Das bedeutet, dass sie nicht nur aufzeigen müssen, wie das Cybersicherheitsprogramm ungünstige Ereignisse verhindert, sondern auch, wie es die Fähigkeit des Unternehmens verbessert, Risiken effektiv einzugehen. Gartner empfiehlt CISOs, dem Wandel zuvorzukommen, um die Cybersicherheit gegenüber dem Vorstand zu fördern und zu unterstützen und eine engere Beziehung aufzubauen, um das Vertrauen und die Unterstützung zu verbessern.
8. Bis 2026 werden mehr als 60 % der TDIR-Funktionen (Threat Detection, Investigation and Response) Daten aus dem Exposure Management nutzen, um erkannte Bedrohungen zu validieren und zu priorisieren – heute sind es weniger als 5 %. Da sich die Angriffsfläche für Unternehmen aufgrund der zunehmenden Konnektivität und der Nutzung von SaaS- und Cloud-Anwendungen vergrößert, benötigen Unternehmen ein breiteres Spektrum an Einblicken und eine zentrale Stelle zur ständigen Überwachung von Bedrohungen und Risiken. TDIR-Funktionen bieten eine einheitliche Plattform oder ein Ökosystem von Plattformen, auf denen Erkennung, Untersuchung und Reaktion verwaltet werden können, so dass Sicherheitsteams ein vollständiges Bild von Risiken und potenziellen Auswirkungen erhalten. 

Diese Erkenntnisse teilte Gartner am Rande seines Security & Risk Management Summit mit der, vom 28. bis 29. März 2023 in Sydney stattfand. Hier stellte Gartner die neuesten Forschungsergebnisse und Ratschläge für Führungskräfte im Bereich Sicherheits- und Risikomanagement vor.