Als Chief Information Security Officer (CISO) liegt die Verantwortung darin, eine harmonische Verbindung von Technologie, strategischem Scharfsinn und unternehmerischer Weitsicht zu schaffen. Dazu braucht es den Blick für Trends, äußerst verlässliche Statistiken, praktische Cybersicherheits-Frameworks, moderne Sicherheitslösungen und eine Strategie. Um die Herausforderung zu stemmen, sollte man daher Schritt für Schritt vorgehen.
Laut Marco Eggerling, CISO EMEA bei Check Point bietet sich mit Blick auf das Jahr 2024 die Orientierung an folgenden sieben Tipps an.
1. Verbesserte Cloud-Sicherheitsstrategie
Im vergangenen Jahr wurde bei mehr als einem Drittel der Unternehmen weltweit eine Datenverletzung in ihrer Cloud-Umgebung festgestellt, was einem Anstieg von 35 Prozent gegenüber 2022 entspricht. Cloud-Sicherheitsexperten geben an, dass Zero Trust einer der wichtigsten Cloud-Sicherheitsansätze für 2024 ist und damit Datenschutz und Compliance ablöst.
Darüber hinaus ist die Sicherung des SaaS-Ökosystems entscheidend, doch die derzeitigen SaaS-Sicherheitsstrategien und -methoden sind oft ungenügend. 68 Prozent der Unternehmen erhöhen ihre Investitionen für die Einstellung und Schulung von Personal für SaaS-Sicherheit. Doch es istviel mehr zu tun und es werden immer ausgefeiltereTools zur Vorbeugung und Abwehr von IT-Bedrohungen benötigt.
2. API-Sicherheit
94 Prozent der Sicherheitsexperten und API-Entwickler hatten in den letzten zwölf Monaten Schwierigkeiten im Zusammenhang mit APIs. Obwohl 95 Prozent der CISOs planen, der API-Sicherheit in den nächsten zwei Jahren Priorität einzuräumen, sollte versucht werden, diesen Zeitraum zu verkürzen.
Auf dem Weg zur API-Sicherheitsreife sollte mit der Identifizierung aller in einem Unternehmen verwendeten APIs begonnen werden. Es existieren verschiedene Methoden, um die APIs zu entdecken, und die Bewertung, ob die vorhandenenden Anforderungen an Transparenz und Compliance entsprechen, ist wichtig. Es sollten hochwertigeProdukte dazu eingesetzt werden, um Sicherheitsvorfälle (einschließlich Datenlecks oder Schatten-API) zu verringern.
3. Post-Quantum-Vorbereitung
Die US-Behörden CISA (Cybersecurity and Infrastructure Security Agency), NIST (National Institute of Standards and Technology)und NSA (National Security Agency)empfehlen Unternehmen bereits, sich auf die Einführung der Post-Quantum-Kryptografie vorzubereiten.
Dies umfasst im Optimalfall folgendeSchritte: einen Quantum-Bereitschaftsplan aufstellen,mit Herstellern über Post-Quantum-Pläne sprechen, Bestandsaufnahmen durchführen und Migrationspläne aufstellen, welche den sensibelsten und wichtigsten Anlagen die Priorität einräumen.
4. KI-gesteuerte Bedrohungsabwehr
Mit künstlicher Intelligenz (KI) betriebene Plattformen sind in der Lage, außergewöhnlich große Datenmengen in einer ebenso ungewöhnlichen hohen Geschwindigkeit zu analysieren, mit der Menschen niemals mithalten könnten. CISOs und Verantwortliche für IT-Sicherheit müssen daher in KI-gesteuerte Sicherheitsprodukte investieren, um die Fähigkeiten ihrer Unternehmen zur Vorbeugung und Reaktion auf neue Bedrohungen zu verbessern und Vorkommen von Schwachstellen zu reduzieren.
Im Zuge der Integration von KI in die IT-Sicherheit des Unternehmens müssen sich auch die Rollen und Verantwortlichkeiten der Sicherheitsmitarbeiter ändern. Es sollte strategisch geplant werden, wie die vorhandenen Talente umgeschichtet werden können, um die Kräfte zu bündeln.
5. Übungen zu AI-Red-Teaming
Zwar gibt es noch keine AI-Red-Teaming-Standards, da die KI-Technologie noch jung ist, aber Microsoft hat 2018 ein eigenes AI-Red-Team aufgebaut. Laut dem Tech-Giganten ist es entscheidend, KI-Modelle sowohl auf der Ebene des Basismodells als auch auf ihrer Anwendungsebene zu testen. So können die Fähigkeiten der Modelle erfasst und die Grenzen erkannt werden. Außerdem lässt sich zeigen, wie sie von Verbrechern missbraucht werden könnten.
6. Zero-Trust-Architektur
97 Prozent der Unternehmen weltweit haben bereits eine Zero-Trust-Idee implementiert (oder planen dies innerhalb von 18 Monaten zu tun, Stand: September 2022). Wie kann ein Unternehmen seine Zero-Trust-Implementierung aber ausbauen? Das Zero-Trust-Reifegradmodell der CISA ist dabei ein nützlicher Leitfaden, der vier Säulen beschreibt, die Unternehmen als Maßstab für den Reifegrad nutzen können.
7. Werkzeuge und Produkte für Citizen-Developer
Das Konzept des Citizen-Developers ermöglicht es Menschen, die nicht programmieren können, vernetzte Systeme und Anwendungen zu erstellen. Einige Tools ermöglichen es neuen Nutzern, APIs zu verbinden und benutzerdefinierte Automatisierungen zu erstellen, ohne programmieren zu müssen. Da diese Tools bei Mitarbeitern immer beliebter werden, müssen Unternehmen sicherstellen, dass sie nicht zu einer Schatten-IT werden und angemessene Vorkehrungen zur Rechenschaftspflicht und IT-Sicherheit getroffen wurden.
Fazit
Damit lässt sich festhalten, dass die Rolle des Chief Information Security Officers (CISO) in der modernen Geschäftswelt eine herausfordernde Stelle von hoher Relevanz für den reibunglosen Ablauf des Alltags ist. Sie müssen Sicherheitsmaßnahmen verstärken und einen innovativen, praxisnahen Ansatz entwickeln, wobei die Lösungsansätze vielseitig sind. Anpassung an Trends und die Integration neuer Technologie sind nötig, um effektiv auf die sich stetig wandelnde Bedrohungslandschaft reagieren zu können, damit die Sicherheit des eigenen Unternehmens gewährleistet wird.