Alignment stärkt Effektivität

Wie CISOs Security-Ausgaben am Business ausrichten

30.05.2023 von Robert Scheier
Die Konzentration auf geschäftskritische Anwendungen, Daten und Prozesse kann Security-Risiken verringern und bares Geld sparen.
Das klassische Alignment-Problem gibt es auch in Sachen IT-Sicherheit. Nur wer die Business-Anforderungen versteht, kann die Kosten für IT-Security optimieren.
Foto: Gorodenkoff - shutterstock.com

Gartner geht davon aus, dass die Ausgaben für Produkte und Dienstleistungen im Bereich der Informationssicherheit und des Risikomanagements in diesem Jahr um 11,3 Prozent auf über 188,3 Milliarden Dollar wachsen. Doch trotz des Anstiege gab es bereits mindestens 13 größere Security-Vorfälle, darunter bei Apple, Meta und Twitter. Um die Ausgaben für Sicherheit zielgenauer zu steuern, verlagern einige Chief Information Security Officers (CISOs) ihre Risikobewertungen auf diejenigen Daten, Anwendungen und Prozesse, die das Unternehmen am Laufen halten.

Betrachtet man die Sicherheit aus einer rein technischen Perspektive, zeigt sich bisweilen der Herdentrieb: weil einige CISOs ein neues Tool nutzen, wollten es andere auch haben, sagt David Christensen, VP und CISO beim Software-Anbieter PlanSource. "Die Realität sieht jedoch so aus, dass die beliebteste oder bekannteste neue Sicherheitslösung oft Geld vergeudet und das Unternehmen ausbremst, vor allem wenn sie nicht mit den Geschäftszielen übereinstimmt. Und selbst wenn sie dazu beiträgt, einen Teil des Unternehmens zu sichern, handelt es sich möglicherweise nicht um den Teil der Organisation oder der Prozesse, der das größte Risiko darstellt oder der am wichtigsten ist."

Ein Security-Tool ist nicht genug

Don Pecha, CISO beim Managed-Services-Provider FNTS, teilt diese Einschätzung, und er fügt hinzu: "Jede Geschäftseinheit hat vielleicht einzigartige Anforderungen und spezielle Anwendungen für Compliance, Regulatorik oder Datenschutz, und jedes Business kann individuelle Risiken haben, die es zu berücksichtigen gilt."

Frank Kim, CISO bei der Risikokapitalfirma YL Ventures sowie Fellow am SANS Institute, berichtet von einem CISO, der gefeuert wurde, nachdem er kostspielige Endpoint-Kontrollen sowie Reaktions- und Incident-Response-Programme vorgeschlagen hatte. Diese waren für ein Startup nicht angemessen. "Der Fokus lag auf dem Überleben und dem Umsatzwachstum", sagt Kim. "Dem CISO war nicht klar, dass seine Aufgabe darin bestand, sowohl eine Reihe neuer Sicherheitsfunktionen vorzuschlagen als auch das Geschäft zu unterstützen."

Security-Ausgaben an wirtschaftlichen Zielen ausrichten

Die Ausrichtung der Sicherheit an den wirtschaftlichen Zielen geht über die traditionellen Methoden zur Rechtfertigung von Sicherheitsausgaben hinaus, darunter die Warnung vor Hacks beziehungsweise der Versuch, den ROI nachzuweisen. Internen Security-Teams in Unternehmen empfiehlt Kim, zu akzeptieren, dass Sicherheit eine Kostenstelle ist.

Zudem sollten sie demonstrieren, wie der CISO die Gesamtbetriebskosten steuert. Dazu könnte gehören, CFOs und CEOs über spezifische Kostensenkungen zu informieren, etwa bei den Ausgaben für einen Sicherheitsservice, der Suche nach einem kostengünstigeren Produkt oder den durchschnittlichen Kosten für die Behebung einer Schwachstelle, ergänzt Tyson Kopczynski, SVP und CISO beim Finanzdienstleister Oportun.

Kosten und Nutzen von Security nachweisen

Laut CISO Christensen sollten Verantwortliche erläutern, wie Security die Kosten senken oder die Produktivität steigern kann. So schützen beispielsweise Web Application Firewalls nicht nur Anwendungen, sondern senken gleichzeitig die Netzwerkkosten, indem sie unerwünschten und bösartigen Datenverkehr reduzieren. Auch die Einführung von Zero-Trust-Architekturen und Edge-Technologien für sichere Zugriffsdienste kann die Produktivität steigern, da Benutzer dann nicht mehr manuell an VPNs herumdoktern müssen.

Laut Kopczynski können CISOs Verbesserungen durch gezielte Fragen aufdecken:

Zu den Möglichkeiten, den Nutzen zu maximieren, gehörten Tools, die mehrere Sicherheitsfunktionen ausführen. Und mit Penetrationstests, Angriffssimulationen oder offensiven Sicherheitskampagnen ließe sich nachweisen, dass ein Tool Angriffe mit großer Wirkung abwehren kann. So verwendet Kopczynski beispielsweise die Verschlüsselungs-Engine von Titaniam, um verschiedene Anwendungsfälle zum Schutz von Daten zu unterstützen. Hinzu kommen Sicherheitstools von Cloud-Anbietern wie Amazon und Microsoft. "Wir sehen uns zudem generische Cloud-Sicherheitslösungen an, die mehrere Schutzmechanismen bieten, anstatt nur einen bestimmten Anwendungsfall zu adressieren."

Security als Managed-Service

Bei der globalen Marketing-Agentur The Channel Company sind Sicherheitsüberlegungen tief in die Geschäftsstrategie und Budgetierung eingebettet, berichtet CIO Rik Wright. Dies reiche von der Notwendigkeit, die GDPR der Europäischen Union zu erfüllen, bis hin zur Einhaltung der Sicherheitsanforderungen von Kunden. Das Unternehmen nutzt den Managed-Services-Anbieter GreenPages sowohl für die Infrastruktur als auch für die Erfüllung seiner Sicherheitsanforderungen. Eigenen Angaben zufolge hat Wright erlebt, dass Unternehmen nach einem Ransomware-Angriff Lösegelder bis zu 20 Millionen US-Dollar für geschäftskritische Systeme zahlen mussten. Daher stelle die Verhinderung solcher Verluste einen sehr realen Wert dar.

Geschäftsanforderungen verstehen

Die Abstimmung der Sicherheitsausgaben auf Business-Anforderungen beginnt damit, zu verstehen, was für das Topmanagement am wichtigsten ist. Kim empfiehlt, die typische Formel "Risiko = Auswirkung x Wahrscheinlichkeit" zu verwenden und auf einer Skala von 1 bis 10 zu ermitteln, welche Prozesse und Vermögenswerte die höchsten Prioritäten haben. "Ihre Finanzdaten könnten eine 10 sein, während die Personaldaten vielleicht nur eine 7 sind, da sie kein Unterscheidungsmerkmal für das Geschäft darstellen." Die Verwendung einer einfachen Bewertungsskala für die Risikokalkulation helfe dabei, die Prioritäten herauszuarbeiten.

Auch Normen und Rahmenwerke bieten eine Struktur für die Risikobewertung, etwa das NIST (National Institute of Standards and Technology) Cybersecurity Framework. "Es ist einfach genug, dass man kein Sicherheitsexperte sein muss, um es zu verstehen, aber es verbessert den Reifegrad und hilft dabei, ihn mit den Geschäftsinteressenten in Beziehung zu setzen", berichtet Christensen. Zudem basiere das Framework auf Industriestandards und nicht auf den Meinungen des CISO, und es werde ständig aktualisiert, um neue Risiken zu berücksichtigen.

Standards und Frameworks nutzen

Je nach Branche eignen sich unterschiedliche Sicherheits-Frameworks. "Wenn ich in einer Behörde arbeitete, würde ich mich an NIST orientieren", sagt Pecha. "Wenn Sie ein globales Unternehmen sind, verwenden Sie die ISO/IEC 27000-Normenfamilie." Es sei nicht notwendig, zertifiziert zu sein, aber man sollte die Standards einhalten und die Kontrollen verstehen, um die Sicherheitsbedürfnisse der Partner und des eigenen Unternehmens zu berücksichtigen.

Scott Reynolds, Senior Security and Network Engineering Manager beim Hersteller Johns Manville, nutzt den ISA/IEC 62443-Standard, um ein gemeinsames Verständnis zwischen Business-Managern, Sicherheitsexperten und Zulieferern über Begriffe wie die "Asset-Zonen" zu schaffen, die gemeinsame Sicherheitsanforderungen haben. "Dieser Prozess zeigt auch, dass wir uns auf dasselbe Risikoniveau für die gesamte Zone einigen, und nicht nur für jedes einzelne Objekt", sagt Reynolds. "Das schwächste Glied in der Zone wirkt sich auf alle Anlagen innerhalb der Zone aus".

Spezialfall Security-Benchmark

Mehrere CISOs zeigten sich skeptisch, was die Verwendung von Benchmarks zum Vergleich ihrer Sicherheitsausgaben angeht. Der Grund dafür ist, dass Unternehmen ihre Sicherheitsausgaben unterschiedlich definieren oder unterschiedliche Anforderungen an das Schutzniveau haben. Außerdem gaben sie an, dass Benchmarks oft nicht beschreiben, wie und warum Unternehmen ihre Sicherheitsbudgets zuweisen. Daher verwenden sie Benchmarks nur als grobe Richtschnur für die Budgetierung, während sie sich in erster Linie auf ihre eigenen Risikobewertungen verlassen.

Kim warnt CISOs jedoch davor, Anfragen der Führungsebene nach Benchmarking abzulehnen. "Es ist nicht unvernünftig, nach einem Benchmark zu fragen", sagt er. Schließlich würde ein Chief Financial Officer auch nicht sagen: "Wir können unseren Gewinn pro Aktie nicht mit anderen in der Branche vergleichen." Seiner Meinung nach sollten Benchmarks als Teil einer umfassenderen Erklärung angegeben werden. Dazu zähle, wie die Sicherheitsausgaben im Vergleich zu anderen Unternehmen aussehen, welche Herausforderungen man selbst zu bewältigen hat und wie die Gesamtkosten für die Sicherheit im Laufe der Zeit gesenkt werden.

Den Vorstand in die Pflicht nehmen

"CISOs sollten aktuelle Bedrohungen und Angriffe beschreiben", fordert Pecha, "und Alternativen zu deren Behebung aufzeigen". Es sei dann Sache des Vorstands, zu entscheiden, was akzeptabel ist und was getan werden muss, um das Gesamtrisiko für das Unternehmen zu managen. Schließlich habe nur das Topmanagement die Macht, Veränderungen voranzutreiben. Werde eine Führungskraft dazu aufgefordert, ein Geschäftsrisiko formell zu akzeptieren, lasse sie sich oft davon überzeugen, stattdessen den vorgeschlagenen Sicherheitsausgaben zuzustimmen. In den Fällen, in denen Sokolovskiy auf eine solche Zustimmung bestanden hat, "veranlasste dies die Fachabteilung in der Regel dazu, das Risiko selbst zu senken, weil es in ihrer Verantwortung lag".

Ein Business-orientierter Ansatz kann auch die Bemühungen der Sicherheits- und Business-Teams befördern, Potenziale zur Effizienzsteigerung und Kosteneinsparung zu ermitteln. Christensen verweist hier etwa auf redundanter Systeme und Prozesse, die sich relativ einfach entfernen ließen.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation cio.com