Cybersecurity Architecture: Die Aufgaben eines CIO für ein sicheres Unternehmen

Mai 31, 2022 5:32 pm | Veröffentlicht von

Interview mit Nikola Dinic

 

Lieber Nikola, wir haben das Thema Cybersecurity in einem vorangegangen Newsletter allgemein betrachtet. Du hast uns die Wichtigkeit der digitalen Sicherheit beschrieben. Dieses Mal fokussieren wir uns auf die Architektur zur Cybersecurity. Was sind die wichtigsten Elemente? Worauf muss man als CIO achten?

Sehr vereinfacht dargestellt, umfasst Cybersecurity Architecture eine Reihe von Sicherheitsprinzipien, -methoden und -modellen, die auf gesetzte Ziele ausgerichtet sind und dazu beitragen, ein Unternehmen vor Cyber-Bedrohungen zu schützen.

Die Sicherheitsarchitektur übersetzt die Geschäftsanforderungen in ausführbare Sicherheitsanforderungen. Dabei sind 4 Schritte von Belang:

  • Ziele festlegen – Ermittlung der Business Drivers/Ziele des Unternehmens
  • Ansatz festlegen – Umsetzung der Ziele in Sicherheitsattribute für Unternehmen
  • Erstellung eines Plans für die Sicherheitsarchitektur – Entwicklung eines Architekturrahmens, der den geschäftlichen Anforderungen/Zielen entspricht
  • Überprüfung/Überarbeitung bzw. Weiterentwicklung – kontinuierliche Überwachung und Verbesserung des vereinbarten Rahmens der Sicherheitsarchitektur und der Kontrollen

Aus der CIO-Perspektive soll damit sichergestellt werden, dass Sicherheitsdienste als integraler Bestandteil des IT-Managements des Unternehmens konzipiert, bereitgestellt und unterstützt werden. Daraus ergibt sich folgender Output: Jene Unternehmen, die ihre Sicherheitsarchitektur stärken und häufige Schwachstellen schließen, minimieren gravierend das Risiko eines Angreifers auf das eigene System.

Dies resultiert in einer Steigerung ihrer Vertrauenswürdigkeit bei potenziellen Partnern, und erlaubt ihnen einen Vorsprung gegenüber ihrer Konkurrenz.

 

Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und den Sicherheits-Status zu erhalten?

Diese kritische Frage wird zukünftig immer mehr an Bedeutung gewinnen. Der Grund ist einfach: ein high-end Security-Tool ist nur in dem Maße gewinnbringend, insofern man dieses richtig bedienen kann und seine Funktionalitäten im Einklang mit der Erfüllung der Business- bzw. Security-Ziele stehen.

Der Grundsatz der Cybersecurity ist eindeutig: Sie können nicht schützen, was Sie nicht kennen. Daraus folgt, um alle Vorteile für sich generieren zu können, muss man vor allem verstehen welche Risiken mit welchen vorhandenen kritischen Assets im Unternehmen verbunden sind.

In dem Zusammenhang sind das Erstellen und Pflegen von einem Verzeichnis der Assets bzw. Lieferanten und der von ihnen angebotenen Services entscheidend. Danach ist der Sprung zu einem effektiven und operativen Einsatz von diesem, eher ein kürzerer und einfacherer.

 

Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?

Mittlerweile ist offensichtlich, dass sich die Zukunft in der Cloud bewegen wird. Fraglich bleibt nur, in welcher Form bzw. welche Richtung diese einschlagen wird. Ein wichtiger Punkt dabei ist der klassische IT-Security-Compliance-Teil (z.B. diverse Security Zertifizierungen). Für mittlerweile immer größer werdende Gemeinschaften der geschäftlichen Public Cloud-Nutzer, fungiert dieser als eine Art der Absicherung im Themenbereich (Data) Security.

Ein weiterer Aspekt ist die genaue Bezeichnung der eigenen Bedürfnisse bzw. Wege, um das Verhältnis zu einem Managed Services Provider zufriedenstellend steuern zu können. Dazu gehören z.B. regelmäßige und detaillierte Risk Assessments oder ad-hoc Audits, welche frühzeitig mittels Soll/Ist-Werten, potenzielle Diskrepanzen in der Security darstellen können.

Ebenfalls erkennbar ist eine deutlichere Bewegung in Richtung proaktive Anpassung/sicherheitsorientierte Überwachung der Cloud-Infrastruktur von Kundenseite. Dieser Schritt ist essenziell. Besonders als Antwort auf die bisher etablierten Maximen, welche ein Cloud-Outsourcing, neben einer infrastrukturellen auch als komplette Übertragung der Verantwortung, im Security-Bereich gesehen haben.

Leider zeigen die immer häufiger stattfindenden Security Incidents im Supply Chain-Bereich, dass Unternehmen diesen Steuerungsaspekt oft gänzlich außer Acht lassen. So wurde z.B. kürzlich erst bestätigt, dass 380K Kubernetes-API-Server dem öffentlichen Internet ausgesetzt sind.

 

Wie wichtig die Rolle von Cybersecurity in einem modernen Unternehmen ist, können Sie hier nachlesen.

 

Sie möchten Ihre IT-Security auf das nächste Level heben? Gerne helfen wir Ihnen weiter und freuen uns auf Ihre Kontaktaufnahme.

 

Tags: , , ,

This post was written by Ivana Lovric

zurück

Artikel suchen


#


Zum newsletter anmelden


Vorname
E-Mail-Adresse