Was Sicherheitsverantwortliche tun können

Kurz vor dem Burnout?

Kommentar von Marco Rottigni, Chief Technical Security Officer bei Qualys, über die zunehmende Burnout-Gefahr bei Sicherheitsverantwortlichen und was sie dagegen tun können

Marco Rottigni, Qualys

Marco Rottigni, Qualys

Das Aufgabenspektrum eines Chief Information Security Officers (CISO) ist umfangreich. Ihm obliegt es, Visionen, Strategien und Programme zum angemessenen Schutz der IT-Assets und Technologien im Unternehmen zu etablieren und aufrechtzuerhalten. Das allein kann ihn schon stark unter Druck setzen, doch noch größer wird die Belastung durch all seine Verantwortungsbereiche. Dazu zählen das Computer-Notfallteam, die Koordination der Incident Response, das Identitäts- und Zugriffsmanagement, die Security Operations Center, die Perimeter- und interne Abwehr, die Notfall- und Geschäftskontinuitätsplanung, der Datenschutz, die technischen Kontrollen zu Compliance-Zwecken, IT-Untersuchungen und digitale Forensik – die Liste ließe sich noch weiterführen.

Jeder der genannten Bereiche ist ein eigenes und umfangreiches Aufgabenfeld. Von daher überrascht es kaum, dass sich ein Großteil der CISOs überfordert fühlt. Im Laufe der Zeit hat sich die Situation noch verschlimmert, da die Unternehmen im Bemühen, Einzellösungen für vielerlei Probleme zu implementieren, Sicherheits-, IT- und Compliance-Silos geschaffen haben. So ist ein chaotisches Ökosystem entstanden, das durch Maßnahmen zur Digitalisierung noch unübersichtlicher wird. Diese Transformationsprozesse sind meist geschäftsgetrieben, lassen Sicherheit nicht selten außer Acht und erweitern die IT-Landschaft durch Cloud-Umgebungen, Containerisierung, erhöhte Mobilität und vieles mehr.

Katastrophale Auswirkungen

Die zunehmende Komplexität, die sich aus dieser Situation ergibt, schmälert grundlegende Fähigkeiten von Unternehmen enorm – z. B. die Fähigkeit, Übersicht zu wahren und Präzision zu gewährleisten. Dies wiederum hat katastrophale Auswirkungen auf die Fähigkeit der CISOs, die Dinge im Griff zu behalten. Die Verantwortlichkeiten und Rechenschaftspflichten sind die gleichen geblieben, allerdings sind in letzter Zeit die Compliance-Anforderungen gestiegen. Dies liegt an neuen Verordnungen und Richtlinien, die eng mit den bestehenden (und selbst bereits anspruchsvollen) Vorschriften verknüpft sind.

Ein überlasteter Verantwortlicher sollte durch eine „Single Source of Truth“ unterstützt werden, d.h. durch eine konsistente, verbindliche Datenbasis. Um diese zu schaffen, müssen Firmen zunächst Übersicht über alle vorhandenen Assets gewinnen und dann ihre Angriffsfläche bewerten. Dies liefert den nötigen Kontext, um die Maßnahmen zur Problembehebung priorisieren zu können, damit der CISO entlastet wird. Dieser Kontext sollte normalisiert und auch auf andere Prozesse übertragen werden, z.B. die Überprüfung technischer Compliance-Kontrollen. Die gewonnenen Daten sollten die Sicherheitsabläufe und Reaktionsfähigkeit bei Vorfällen unterstützen und verbessern und von allen Betriebs­teams genutzt werden. Auch sollten Abstraktions­ebenen geschaffen werden, um Bedrohungen effektiv darzustellen und das Gefahrenbewusstsein aus verschiedenen Perspektiven zu stärken, bevor gravierende Probleme auftreten.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2019. Bestellen Sie ein kostenfreies Probe-Abo.

So kann die Technologie die Harmonisierung von IT, Sicherheit und Compliance fördern, den Führungskräften helfen, fundierte Entscheidungen zu treffen, und Sicherheit wieder beherrschbar machen. Wie dringend diese Harmonisierung erforderlich ist, zeigen Meldungen über Unternehmen, die hohe Bußgelder wegen Nichteinhaltung der DSGVO zahlen müssen, nachdem durch Datenschutzverletzungen sensible Informationen offengelegt wurden. Dieses Thema zu unterschätzen kann also gravierende Folgen haben. Natürlich kann und soll die Technologie kein Allheilmittel sein. Vielmehr geht es um ein Modell, das es ermöglicht, denselben konsistenten Datensatz aus vielerlei Perspektiven zu betrachten.

Bildquelle: Qualys

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok