Jenseits der Wiederherstellung: Die Erforschung des Problems - Teil 2b von 2

„In Teil 2a: Jenseits der Wiederherstellung: Die Erforschung des Problems habe ich begonnen, das Problem zu erläutern, das wir eigentlich lösen wollen oder sollten, wenn es um die Sicherheit geht.“

Jenseits der Wiederherstellung: Die Erforschung des Problems - Teil 2b von 2

Willkommen zurück zum zweiten Teil unserer Vertiefung über die oft ignorierten, aber entscheidenden Gründe für beunruhigende Sicherheitstrends. In diesem Teil möchte ich einige weitere Konzepte vorstellen, die Ihr Denken formen und Ihnen zeigen, wie Sie die Dinge ändern können. An diesem Punkt wird das ungenutzte Potenzial von Datenspeicherung und -wiederherstellung als mächtiges Mittel zur Veränderung deutlich.

Wir haben zuvor drei Schlüsselkonzepte behandelt, die Sie beachten sollten, um aussagekräftige Sicherheitsergebnisse zu erzielen:

1. Sicherheit ist nicht Aufgabe der Sicherheit (wir müssen Geschäftsprozesse gestalten)

2. Risikomanagement ist eine schlechte Idee (Qualitätsmanagement ist der einzige Weg, Verwundbarkeit nachhaltig zu reduzieren)

3. Schwachstellen sind Qualitätsprobleme (und deren Behebung kann positive Auswirkungen auf das Geschäft haben)

Sicherheit liegt in der Verantwortung aller

Um fortzufahren, möchte ich dieser Liste zwei weitere Konzepte hinzufügen:

4. Sicherheit ist keine IT-Funktion

Dieser Punkt steht in vielerlei Hinsicht im Zusammenhang mit unserem ersten Punkt, der darin bestand, dass Sicherheit nicht „die Aufgabe der Sicherheit ist." Aber es ist aus einer anderen Perspektive. Es kann zwar Sache des Unternehmens sein, für einen sicheren Betrieb zu sorgen, aber es ist die Aufgabe der Sicherheit, allen Teilen des Unternehmens zu helfen, auf diese Weise zu arbeiten.

Es ist nicht mehr akzeptabel, dass Sicherheitsfunktionen innerhalb der IT-Abteilung angesiedelt sind. Die IT-Abteilung muss proaktiv allen Abteilungen dabei helfen, zu definieren, was gut ist, damit sie kein Risiko für das Unternehmen darstellen.

Das bedeutet, dass ein Sicherheitsprogramm letztendlich systematisch durch Ihre Geschäftsprozesse gehen muss. Erstens, um sie nach Möglichkeit so umzugestalten, dass das Unternehmen nicht mehr Risiken produziert, als es muss, und zweitens, damit die Sicherheitsfunktion die Geschäftsrisiken in anderen Abteilungen kennt, um nicht blind dafür zu sein und in der Lage zu sein, sie zu antizipieren und zu mindern.

Dies wird immer kritischer, da immer mehr Sicherheitsverletzungen außerhalb des Bereichs auftreten, den Sicherheitsabteilungen in ihrem traditionellen Bereich nicht abdecken. Probleme mit Helpdesk-Prozessen, innerhalb der Rechtsabteilung, Vertriebsdaten, HR und mehr, die dazu führen, dass sensible Daten oder Anmeldeinformationen offengelegt werden.

Wir müssen wissen, was im Unternehmen passiert, diese Prozesse so weit wie möglich rationalisieren, um Risiken zu reduzieren, und Sicherheitsvorgänge entsprechend implementieren, um sicherzustellen, dass alle Restrisiken erfasst werden.

Lesen Sie unseren Blog: Das Cybersicherheits-Framework von NIST in die Tat umsetzen

5. Ihre Bedrohungen sind Ihre eigenen

Eine der am häufigsten wiederholten Behauptungen von Sicherheitsanbietern bezieht sich auf die sich entwickelnde und wachsende Bedrohungslandschaft.

Es lässt sich nicht leugnen, dass die Zahl der Akteure, die Unternehmen Schaden zufügen wollen, dramatisch zunimmt. Aber warum?

Die Realität ist, dass eine Bedrohung nur dann eine Bedrohung ist, wenn Sie anfällig für das sind, was sie ausnutzen. Ich habe kürzlich gelesen, dass mehr als 99% der komplexen Sicherheitsverletzungen im letzten Jahr bekannte Schwachstellen mit verfügbaren Patches und Korrekturen betrafen, und dass fast zwei Drittel davon Korrekturen hatten, die mehr als 18 Monate zuvor veröffentlicht wurden.

Tatsache ist, dass wir für das Wachstum des bedrohten Ökosystems genauso verantwortlich sind wie für das Vorhandensein von Mäusen, wenn wir große Leinensäcke mit Körnern in unserem Garten aufbewahren. Die Lösung wäre nicht, 10.000 Mäusefallen zu kaufen, sondern darauf zu verzichten, die Körner auszusetzen. Ich könnte auch darauf hinweisen, dass ein Sack Getreide, der in einer Metalldose gelagert wird, keine Mäuse anlockt, während ein Sack, der von 10.000 Mäusefallen umgeben ist, dies dennoch tut, und irgendwann werden einige dieser Mäuse durchkommen.

Wir können es besser machen, und wenn wir es tun, stellen wir fest, dass die Bedrohungen, die für uns gelten, deutlich geringer sind. Das bedeutet, dass wir nicht nur weniger Erkennung und Reaktion auf Restrisiken durchführen müssen, sondern dass ihr Umfang enger sein wird, so dass wir uns genauer auf sie konzentrieren können.

Erfahren Sie, wie die Virtual Storage Platform One eine solide Datengrundlage für geschäftskritische
Anwendungen, einschließlich der Minderung von Risiken und Sicherheitsbedrohungen ist.

Also, lassen Sie uns diese Konzepte zusammenfassen.

Sie können nicht angegriffen werden, wenn Sie nicht verwundbar sind, und es ist einfacher und nachhaltiger, daran zu arbeiten, weniger verwundbar zu sein, als ständig immer mehr Risiken zu mindern. Dazu müssen wir die Ursachen angehen, die zu unseren Schwachstellen führen, und/oder unsere Unfähigkeit, diese schnell und automatisch zu beheben.

Die Gründe, warum dies heute nicht getan wird, sind mehrere. In erster Linie konzentrieren sich die meisten Sicherheitsexperten auf Sicherheitstechnologie und nicht auf das Ergebnis sicherer Geschäfte. Wir verlassen uns auf Technologie, um zu versuchen, die Risiken zu managen, anstatt ihre Quellen anzugehen, damit wir diese Risiken gar nicht erst haben.

Wie können wir also von der nicht nachhaltigen Situation, in der wir uns derzeit befinden, zu einer Situation gelangen, in der exponentielle Verbesserungen erzielt werden können?

In erster Linie braucht jede Organisation eine Sicherheitsstrategie, die diese Prinzipien respektiert.

„Strategie“ ist ein Wort, das ich in der Sicherheitsbranche oft höre, das ich aber selten in der Praxis sehe. Und nein, eine Liste von Tools zu kaufen oder technische Fähigkeiten zu implementieren ist an sich noch keine Strategie.

(Stellen Sie sich vor, ein CEO fragt seinen CMO nach der Marketingstrategie und er antwortet nur mit einer Liste von Tools. Sie würden sofort gefeuert werden!)

Eine Strategie sollte ein Plan sein, um unsere aktuelle Situation zu verstehen (denn viele Sicherheitsfunktionen haben nur wenig Einblick in die IT-Funktion ihres Unternehmens, geschweige denn in das gesamte Unternehmen!), unsere ideale Situation und den Fahrplan, um von ersterer zu letzterer zu gelangen.

Dazu gehört in der Regel ein Programm, um Unterstützung von der Geschäftsleitung zu erhalten, die Strukturen zu schaffen, die erforderlich sind, um einen ganzheitlichen Wandel voranzutreiben, die Finanzmodelle zu präsentieren, um alles für das Unternehmen zu rechtfertigen, den risikoärmsten Weg für jede Ihrer Abteilungen zu definieren und vieles mehr.

Wie ein solches Programm aussieht, finden Sie in den Anhängen meines Buches Was wir Sicherheit nennen (ebenfalls freundlicherweise von Hitachi Vantara gesponsert).

Ein solches Programm kann dramatische Veränderungen in der Qualität (und Sicherheit ist hier ein Qualitätsaspekt) Ihrer Geschäfts- und IT-Prozesse bewirken, so dass Ihr Unternehmen von Natur aus sicherer wird und Sie nur die kleinsten Bilgepumpen benötigen, um den Rest zu bewältigen.

Die Illusion der Kontrolle

Es gibt jedoch ein oder zwei Probleme mit diesem Ansatz.

Das erste ist Zeit. Der Aufbau eines Programms erfordert Zeit.

Es führt kein Weg daran vorbei. Die Neudefinition Ihrer Geschäfts- und IT-Prozesse, um sie inhärent sicherer zu machen, und die Gewährleistung, dass zukünftige Prozesse noch sicherer werden, braucht Zeit. Ich sage meinen Kunden, dass es je nach Größe und Komplexität des Unternehmens 3 bis 5 Jahre dauert, bis ein hoher Reifegrad erreicht ist.

Das zweite hängt mit dem ersten zusammen: Feuer. Einer der Hauptgründe für die Umwandlung der Sicherheit in einen proaktiven, qualitätsorientierten Ansatz ist die schiere Anzahl der Brände, mit denen die Sicherheitsteams zu kämpfen haben, weil wir so lange den falschen Weg eingeschlagen haben. Das bedeutet, dass nur ein sehr kleiner Prozentsatz der Ressourcen, wenn überhaupt, für die Arbeit an strategischen Initiativen wie dem oben erwähnten ganzheitlichen Sicherheitsprogramm eingesetzt werden kann. Und die Ressourcen, die dies tun, werden häufig unterbrochen oder zurückgerufen, um Brände zu bekämpfen.

Auf der einen Seite ist dieser Zustand der Grund, warum Wiederherstellungsfähigkeiten so wichtig sind. Wir haben einen Punkt erreicht, an dem selbst bei 100% der Ressourcen, die darum kämpfen, jeden einzelnen Angriff zu erkennen und darauf zu reagieren, die Anzahl der Schwachstellen (wiederum im weitesten Sinne des Wortes) in unseren Umgebungen bedeutet, dass es in der Tat nur eine Frage der Zeit ist, bis wir verletzt werden und uns schnell erholen müssen.

Besuchen Sie unsere Seite zur Ransomware-Wiederherstellungslösung, um zu erfahren, wie Sie Schnelle Wiederherstellung in großem Maßstab nutzen können.

Aber es gibt ein viel größeres Wertversprechen für Speicher- und Wiederherstellungslösungen, als nur in der Lage zu sein, sich von einem erfolgreichen Angriff zu erholen: „Derisking“ und Neufokussierung.

Wenn Sie in der Lage sind, Ihre Systeme und Daten beispielsweise in einem Viertel der Zeit wiederherzustellen, haben Sie die potenziellen Kosten einer Datenpanne aufgrund von Ausfallzeiten effektiv um 75% reduziert. (Hitachi Vantara bietet übrigens die schnellste Wiederherstellungslösung auf dem Markt und verstärkt diesen Effekt.)

Das bedeutet, dass ich hypothetisch bis zu 75% der Ressourcen zur Risikominderung von einem Problem abziehen könnte und dabei die gleichen oder bessere Risikokennzahlen (wie die annualisierte Verlusterwartung) beibehalten würde.

Ich kann diese Ressource dann meinem proaktiven Programm zuweisen, das zu einer dauerhaften Verringerung des Risikos führt, das mein Unternehmen generieren wird und das die Sicherheit dann bewältigen muss.

Nebenbei möchte ich sagen, dass einige Leute einen "Fehler" in diesem Denken bemerken werden. Während die Wiederherstellung Ihnen helfen kann, die Rückgabe der Integrität und Verfügbarkeit Ihrer Daten nach einem Verstoß zu gewährleisten, kann sie die Vertraulichkeit der Daten nach ihrer Offenlegung nicht wiederherstellen.

Das ist wahr, aber wie viel Prozent der Systeme in den meisten Organisationen speichern tatsächlich solche sensiblen Daten? Meiner Erfahrung nach sind es in der Regel weniger als 10% und selten mehr als 20%. Dies bedeutet, dass ein Teil der aus der Bekämpfung/Minderung aller Brände/Risiken freigesetzten Ressourcen auf Systeme konzentriert werden kann, bei denen die Wiederherstellung keinen vollständigen Schutz bieten kann, so dass das Gesamtergebnis immer noch überlegen ist. Es gibt uns einfach bessere Optionen in Bezug auf die Priorisierung.

Als jemand, der strategisch über das Erreichen eines Gesamtergebnisses einer sichereren Organisation nachdenkt, nenne ich das den Freedom of Recovery-Effekt. Und er ist riesig.

Er ermöglicht es mir, meinen Weg zu einer sichereren Organisation abzukürzen. Er reduziert das Risiko, setzt Ressourcen frei und ermöglicht es mir, mehr von diesen Ressourcen, Zeit und Aufmerksamkeit auf die Dinge zu richten, die die Brände überhaupt erst verursachen. Er kann die Zeit für die Implementierung eines Programms dramatisch verkürzen, in manchen Fällen um Jahre, die Risikominderung beschleunigen und den Zeitpunkt vorverlegen, an dem ich anfange, Einsparungen bei den Betriebskosten für die Sicherheit zu sehen, sowie all die anderen greifbaren Vorteile eines qualitätsmanagementgeführten Sicherheitssystems (einige davon werden wir in einer der nächsten Ausgaben beleuchten).

Diese Auswirkungen sind so erheblich, dass sie die gesamten Kosten der Wiederherstellungslösung ausgleichen können, was sie zu einer Direktinvestition in das Endergebnis und nicht zu einer vorläufigen Investition gegen ein willkürliches Risiko macht. Besser noch, diese Investition wird zu einer größeren Risikoreduzierung führen und die Wahrscheinlichkeit verringern, dass Sie jemals Ihre Wiederherstellungslösung benötigen, um den Schaden zu beheben.

Ich würde es viel lieber sehen, dass Sie sie nutzen, um Ihr Geschäft zu verbessern. Und genau das werden wir in unserer nächsten Folge erkunden. Bis dann.

Lesen Sie Teil 1:  Jenseits der Wiederherstellung: Jenseits der Technologie

Zusätzliche Ressourcen

• WEBINAR: Seien Sie vorbereitet und haben Sie keine Angst vor Ransomware-Angriffen
• INSIGHTS-ARTIKEL: Aufbau einer unzerstörbaren Dateninfrastruktur im Zeitalter von KI und Hybrid Cloud
• BLOG: Das Cybersicherheits-Framework von NIST in die Tat umsetzen