Sicherheitsentscheidungen wirken sich direkt auf Mitarbeiter, Kunden, Aktionäre und die Geschäftskontinuität aus. Da sich die Rolle des Chief Information Security Officer (CISO) vom technischen Leiter zum Unternehmensleiter weiterentwickelt, muss er zunehmend die Lücke zwischen Geschäftszielen und Sicherheitsrisiken schließen und Sicherheit in messbare Ergebnisse umsetzen. In diesem Artikel werden wir dieses Problem aus der Perspektive von untersuchen Identitätssicherheit.
Das CISO-Paradoxon: Manchmal ist Cybersicherheit mehr Geschäft als Cybersicherheit
Wie bei jeder Geschäftsentscheidung ist Cybersicherheit eine Frage des Risikomanagements: die potenzielle Risikominderung, die Sie durch Investitionen in Cybersicherheit erzielen, gegenüber den Kosten, die diese Investitionen mit sich bringen. Ähnlich wie bei der Zuweisung von Ressourcen für andere organisatorische Anforderungen geht es bei Investitionen in Cybersicherheit um mehr als nur den Kauf der richtigen Tools. Sie wirken sich auf die Geschäftskontinuität, Mitarbeiter, Kunden, Aktionäre und viele andere aus.
Das Problem ist, dass Unternehmensleiter Cybersicherheit in der Regel nicht als geschäftliche Entscheidung betrachten, vor allem weil sich die Rolle des CISO weiterentwickelt hat und die Unternehmen sich noch immer anpassen. CISOs sind mittlerweile eher Unternehmensleiter als Technologieführer, aber dieses Konzept wurde noch nicht vollständig verstanden und umgesetzt.
Dies stellt den CISO vor eine komplexe Aufgabe. Ihre Informationssicherheitsarchitekten sprechen von Lösungen, während ihre Führungskräfte von Geschäftsergebnissen sprechen. Diese beiden Aspekte in Einklang zu bringen und das eine in das andere zu übersetzen, erfordert großen Aufwand und mehr Autorität. Um eine kalkulierte Geschäftsentscheidung zu treffen, ist es hilfreich, die folgende Formel anzuwenden:
- Aktuelles Risiko: Bewertung der Angriffsfläche der Organisation, finanzielle Verluste im Falle eines Angriffs, Auswirkungen von Ausfallzeiten auf jede Abteilung, Wahrscheinlichkeit eines Angriffs, veröffentlichte Statistiken über die Kosten eines Verstoßes, usw.
- Erwartetes reduziertes Risiko: Einschätzung des Risikos nach der Umsetzung des vorgeschlagenen Sicherheitsplans, einschließlich der Reduzierung der Angriffsfläche, Senkung der Versicherungsprämien usw.
- Investitionskosten: Die Gesamtkosten für die Implementierung des vorgeschlagenen Sicherheitsplans, einschließlich des Kaufs von Tools und Schulungen.
Der Preis ist, was Sie bezahlen, der Wert ist, was Sie bekommen: Was sind die tatsächlichen Kosten der Identitätssicherheit?
Wie lässt sich also mit der obigen Gleichung Identitätssicherheit in eine geschäftsorientierte Entscheidung umsetzen?
Laut dem Bericht „The State of the Identity Attack Surface“ 83 % der Organisationen waren von einer Sicherheitsverletzung betroffen, bei der kompromittierte Anmeldeinformationen verwendet wurden.Die überwiegende Mehrheit der Ransomware-Angriffe basiert auf seitliche Bewegung sich in einem Netzwerk zu verbreiten. Typischerweise erfolgt der erste Einstiegspunkt über ein kompromittiertes reguläres Benutzerkonto oder Konto.
Lassen Sie uns die Kosten für den Schutz dieser Schlüsselteile der Identitätsangriff Oberfläche genauer. Wir werden zunächst MFA als Beispiel diskutieren und dann Service Accounts .
MFA … aber zu welchem Preis?
Im Fall von MFAstehen Organisationen möglicherweise die folgenden zwei Optionen zur Verfügung:
- MFA nur für Administratoren erzwingen: weniger teuer als MFA für alle Benutzer, aber nicht seitliche Bewegungen verhindern an dem normale Benutzer beteiligt sind.
- Erzwingen von MFA für alle Benutzer: teurer, bietet aber Schutz vor seitlichen Bewegungen, die regelmäßige Benutzer betreffen.
In jedem Fall ist das aktuelle Risiko dasselbe. Der CISO kann die Ergebnisse jeder Option veranschaulichen, indem er tatsächliche Zahlen in die Gleichung einbezieht und eine geschäftsorientierte Diskussion beginnt:
Die Entscheidung kann auf beide Optionen fallen, solange sie den Führungskräften und dem Vorstand mitgeteilt und durch messbare Ergebnisse belegt wird.
Servicekonten: Was kostet es, unsichtbar zu sein?
Mit Servicekonten ist es einfacher, Risiken in Transparenz umzusetzen:
- Kauf von a Sicherheit des Dienstkontos Lösung: ermöglicht die Erkennung, Überwachung und Steuerung aller Dienstkonten. Es kann vollständige Transparenz bieten, kann aber kostspielig sein.
- Machen Sie es manuell, zumindest teilweise: Es ist schwierig, den Überblick über alle Servicekonten zu behalten. Während dies in kleineren Organisationen einigermaßen machbar ist, ist es für größere Organisationen eine fast unmögliche Aufgabe. Die Kosten variieren, sind aber in der Regel viel günstiger als die Investition in eine Sicherheitslösung.
- Gar nichts tun: Die Sichtbarkeit bleibt dieselbe, das aktuelle Risiko bleibt dasselbe.
Die Zahl der Organisationen mit Die vollständige Transparenz ihrer Servicekonten beträgt nur 5.7 %. Dennoch waren in den letzten Jahren viele spektakuläre Datenschutzverletzungen mit der Nutzung und Beeinträchtigung dieser nicht-menschlichen Identitäten verbunden, darunter SolarWinds, das US Office of Personnel Management und Marriott.
Organisationen sollten ihre Historie überprüfen, um zu sehen, ob es in der Vergangenheit zu Vorfällen gekommen ist, ob Service-Konten missbraucht oder kompromittiert wurden und wie Ransomware- Angriffe haben andere Organisationen in ihrer Branche betroffen.
Jede Option hat ihre Vor- und Nachteile und keine Option ist für alle Organisationen geeignet. Hier die Ergebnisse:
Abschließende Gedanken: Die Lücke schließen
CISOs spielen eine immer wichtigere Rolle bei der Umsetzung von Sicherheitslösungen in Geschäftsentscheidungen. Mit viel Macht geht jedoch auch viel Verantwortung einher, da messbare Sicherheitsergebnisse nicht nur ein besseres Verständnis der Diskussion ermöglichen, sondern auch entscheidend für die richtigen Entscheidungen sind.
Was sind die richtigen Entscheidungen? Wie oben gezeigt, gibt es auf diese Frage keine einheitliche Antwort. Der Schlüssel liegt darin, Cybersicherheit wie jede andere Geschäftsinvestition zu behandeln: vorsichtig, mit allen Fakten ausgestattet und auf der Grundlage tatsächlicher Zahlen.