Jenseits der Wiederherstellung: Money Talks

In Teil 2b: BJenseits der Wiederherstellung: Das Problem erforschen habe ich einen tieferen Blick auf das Kernproblem geworfen, das wir in Bezug auf die Sicherheit angehen müssen, und die oft übersehenen, aber wesentlichen Faktoren hervorgehoben, die zu den Sicherheitstrends beitragen.

Stellen Sie sich vor, ich trete mit einem Budget von 1 Million Dollar an meinen CFO heran und bitte um eine Wiederherstellungslösung. Das Argument ist, dass es trotz unserer besten Bemühungen und der vorhandenen Sicherheitsausgaben unmöglich ist, Sicherheitsverletzungen zu verhindern, und dass wir daher den Schaden minimieren müssen, wenn wir doch einmal unvermeidlich betroffen sind.

Ob laut geäußert oder nicht, mein CFO wird wahrscheinlich einige Fragen haben. Eine Frage könnte sein, was genau wir mit den, sagen wir, 5 Millionen Dollar machen, die wir bereits jährlich für die Sicherheit ausgegeben haben, wenn wir immer noch eine Wiederherstellungslösung brauchen.

Es könnte nur Skepsis in Bezug auf unsere Fähigkeit hervorrufen, die Organisation sicher zu halten und das zu tun, was wir mit den vorhandenen Investitionen getan haben, was niemals gut ist.

Einschätzung der Wahrscheinlichkeit einer Sicherheitsverletzung

Sie könnten dann fragen, wie hoch die Wahrscheinlichkeit ist, so stark getroffen zu werden, dass dies einen wesentlichen Unterschied ausmacht. Sie könnten eine ungefähre Antwort von 10% für ein bestimmtes Jahr geben.

Wären Sie dann wirklich überrascht, dass der CFO bei einer Wahrscheinlichkeit von 10 %, dass etwas passiert (das Sie seiner Meinung nach bereits hätten verhindern müssen), und ohne Garantie, dass diese neuen Ausgaben besser funktionieren, der Meinung ist, dass eine Investition dieses Geldes in Marketing dem Unternehmen konkretere Vorteile bringen würde?

Wäre ich nicht. Mit meinem Geschäftshut auf dem Kopf würde ich genau das tun - und keine noch so große Angst vor der Sicherheit und keine noch so große Empörung würde daran etwas ändern, im Guten wie im Schlechten.

Stellen Sie sich nun vor, ich hätte sie um die gleichen 1 Mio. USD für die gleiche Lösung gebeten, ihnen aber gesagt, dass das Ziel darin bestehe, die Kosten eines bestimmten Vorfallszenarios zu senken, indem die damit verbundenen Ausfallzeiten reduziert werden.

Das bedeutet, dass ich weniger Ressourcen für das Risikomanagement der Probleme benötige, die zu diesen Problemen führen könnten. Dadurch werden Ressourcen frei, die ich für die Behebung von Prozessproblemen im Vorfeld einsetzen kann, wodurch das Risiko, das das Unternehmen Jahr für Jahr eingeht und trägt, verringert wird.

Das wiederum bedeutet, dass ich weniger Ressourcen für das operative Management von Risiken benötige, weil ich immer weniger davon habe. Wenn dieser Betrag kumulativ $500.000 pro Jahr weniger ausmacht, weil wir die Ursachen für die Probleme behoben haben, die durch die Ausgaben gemildert wurden, dann habe ich meine jährlichen Sicherheitsausgaben von derzeit $5 Mio. auf $4,5 Mio., dann $4 Mio. und dann $3,5 Mio. pro Jahr reduziert.

Das bedeutet, dass ich jetzt nicht mehr über immaterielle Risiken spreche, sondern um eine Investition von $1 Mio. bitte, die in den nächsten drei Jahren zu Gesamteinsparungen von $3 Mio. ($0,5 Mio. + $1 Mio. + $1,5 Mio.) führen wird. Das ist ein Kinderspiel. Ich habe noch nicht einmal die Risikominderung erwähnt, die sogar noch größer sein wird als im ersten Szenario, weil wir die Zahl der möglichen Fehlschläge reduziert haben. Das bedeutet, dass die Wahrscheinlichkeit eines Zwischenfalls geringer ist, und wenn er doch eintritt, wird er sich wahrscheinlich in Grenzen halten.

Indem ich die Wiederherstellung als Sicherheitsnetz nutze, um der proaktiven Arbeit Vorrang einzuräumen, habe ich das Argument von einer möglichen Verringerung unseres Gewinns aufgrund eines Verstoßes zu einem Argument geändert, bei dem wir ihn durch organisatorische Effizienzsteigerungen erhöhen werden.

Anwendung der Finanzlogik auf andere Lösungen

Die gleiche Art von finanzieller Logik kann auch bei anderen Sicherheitslösungen angewendet werden. Eine Investition in eine Plattform zum Scannen von Schwachstellen könnte beispielsweise als ein Mechanismus dargestellt werden, mit dem wir uns selbst fragen können, was die Schwachstellen verursacht, anstatt die CVEs zu finden und zu beheben, auf die sie uns hinweisen. Und dann den Ursachen nachgehen, die immer wieder Schwachstellen verursachen (oder, im Falle fehlender Patches, unserer Unfähigkeit, diese automatisch zu installieren), so dass die Anzahl der Probleme, die ein Eingreifen erfordern, mit der Zeit abnimmt.

Anstatt nur einzelne Schwachstellen zu "beheben", betrachten wir jede als eine Schnur, an der wir ziehen können, um herauszufinden, was uns dazu veranlasst, diese Schwachstellen zu akkumulieren. Das ist der Beginn dieser Abwärtskurve von Vorfällen im Laufe der Zeit, die wir in unserem Luftfahrtbeispiel in einer früheren Tranche gesehen haben.

Der Unterschied bei der Wiederherstellung besteht darin, dass sie uns das Sicherheitsnetz bietet, auf das wir uns stützen können, um Ressourcen aus der Brandbekämpfung freizusetzen, damit sie für diese proaktiven Bemühungen verwendet werden können. Das ist entscheidend, denn unsere Unfähigkeit, dies zu tun, ist meiner Erfahrung nach das größte Hindernis für die Überwindung der derzeitigen Todesspirale bei der Sicherheit.

Das macht die Wiederherstellungsfunktionen zu einem so wichtigen Faktor, der die Anfälligkeit unserer Organisation für Angriffe verringert und gleichzeitig unser Ergebnis verbessert. Und das, bevor wir uns darauf verlassen, dass sie uns retten, wenn die Dinge schlecht laufen. Es gibt einige wirklich interessante Finanzmodelle, die sich um dieses Thema herum aufbauen lassen, um die Unterstützung des Unternehmens zu erhalten, die weit über das bloße Reden über Risiken hinausgeht.

Je effektiver, garantierter und zuverlässiger Ihre Wiederherstellungslösung ist, desto mehr können Sie die Auswirkungen nachteiliger Auswirkungen reduzieren und desto mehr Ressourcen können Sie neu zuweisen, um das Risiko zu reduzieren und das Endergebnis langfristig zu steigern. Es ist ein enormer strategischer Kraftmultiplikator.

In der Tat, lassen Sie uns die Dinge ein wenig verbessern. Bisher haben wir über die Reduzierung des Aufwands und der Kosten für die Sicherheit (Brandbekämpfung) durch einen strategischeren Ansatz zur Bekämpfung der Ursachen gesprochen, aber es gibt viel mehr in Bezug auf die Ergebnisse, wenn Sie einen Qualitätsmanagement-Ansatz verfolgen als einen Risikomanagement-Ansatz.

Behebung der Grundursache

Zuvor haben wir besprochen, dass praktisch alle Sicherheitsprobleme auch Qualitätsprobleme sind. Was wir nicht erwähnt haben, ist, dass nicht alle Qualitätsprobleme auch Sicherheitsprobleme sind (ein schlechter Code kann z.B. einfach nur langsam oder instabil sein, aber nicht ausgenutzt werden). Aber sie haben oft die gleichen Ursachen.

Lassen Sie mich ein konkretes Beispiel nennen. Stellen Sie sich vor, Ihr Sicherheitsteam war überwältigt, als es versuchte, den Überblick über Tausende von Schwachstellen zu behalten, die jedes Jahr in die Umgebung eingeführt werden. Die meisten davon sind das Ergebnis schlechter Praktiken in Ihrer Entwicklungsabteilung.

Sie gehen die Ursache des Problems an, indem Sie dafür plädieren, dass Entwickler geschult, besser überprüft, bessere Praktiken/Prozesse eingeführt werden, etc. Das Ergebnis ist eine signifikante Reduzierung der Anzahl der erzeugten Schwachstellen, die bereits einen ROI in Bezug auf die reduzierten Sicherheits-OpEx schafft.

Ich war einmal in dieser Situation und es war ein großer Erfolg. Aber das ist nicht alles, was passiert ist. Durch die Beseitigung der Qualitätsprobleme, die Schwachstellen im Code und in den Recheninstanzen verursachten, wurden die Anwendungen auch stabiler, schneller und ließen sich leichter mit den Funktionswünschen der Kunden nachrüsten (was wiederum profitabler wurde).

Die Behebung von Problemen nahm weniger Zeit und Ressourcen in Anspruch, die Mitarbeiter im gesamten Unternehmen, die die internen Systeme nutzten, wurden produktiver, und die Techniker für die Zuverlässigkeit der Webseiten, die aufgrund der Schwierigkeiten, die Plattformen aufrechtzuerhalten, ausgebrannt waren, verließen das Unternehmen nicht mehr (wodurch ein Vermögen für Neueinstellungen eingespart und einige große Engpässe vermieden werden konnten, die echte Auswirkungen auf das Geschäft hatten).

Schließlich hatten die Kunden eine bessere Erfahrung mit dem (SaaS) -Produkt, was die Bindungs-/Verlängerungsraten verbesserte und sogar die Arbeitsmoral der Mitarbeiter erhöhte.

Und dann war da noch der große Wurf. Die Kosten für Cloud Computing sind um 30% gesunken, ein Betrag, der ausreicht, um die gesamte Sicherheitsfunktion zu bezahlen.

Es gibt einige Videos, die Sie über die Wiederansiedlung von Wölfen im Yellowstone National Park in Montana ansehen können. Ursprünglich sollte die Elchpopulation eingedämmt werden, doch ihre Anwesenheit veränderte alles, von den vorhandenen Tierarten über die Arten der Vegetation bis hin zum Verlauf der Flüsse, und stellte das Gleichgewicht des Ökosystems in einer Weise wieder her, die niemand vorhersehen konnte. Sicherheit als Qualitätsfunktion erreicht etwas bemerkenswert Ähnliches, kann aber nur erreicht werden, wenn Sie die Ressourcen dafür freisetzen können. Und je besser Ihr Sicherheitsnetz ist, desto mehr Fortschritt (statt Brandbekämpfung) kann erreicht werden.

Und zufällig hat Hitachi Vantara die schnellste Wiederherstellungslösung der Welt.

Lesen Sie unsere Lösungsübersicht: Die schnellste Ransomware-Wiederherstellung der Welt

Aus unveränderlichen Schnappschüssen.

Alle diese positiven Auswirkungen haben einen geschäftlichen Nutzen. Ich ermutige jeden Sicherheitsexperten, zwei Dinge zu tun. Erstens: Beginnen Sie, über das reine Risikomanagement hinaus zu denken. Überlegen Sie, wie wir die Kosten senken können, indem wir die IT- und Geschäftsprobleme angehen, die unsere Probleme verursachen. Zweitens: Denken Sie darüber nach, welche anderen Vorteile unser ursachen- und qualitätsorientierter Ansatz für das Unternehmen bringen könnte. Für jeden einzelnen Punkt gibt es ein mögliches Finanzmodell, das den Wert für das Unternehmen aufzeigt und uns dabei hilft, unsere Position zu verbessern, um unsere Programme voranzutreiben.

Begleiten Sie uns zu unserer nächsten Ausgabe, in der wir uns ansehen, wie unsere Speicher- und Wiederherstellungsfunktionen uns dabei helfen können, einige unserer schwierigsten Hindernisse zu überwinden: Legacy-Systeme und technische Schulden.

Lesen Sie Teil 2a: Jenseits der Wiederherstellung: Das Problem erforschen

Zusätzliche Ressourcen

• WEBINAR: Seien Sie vorbereitet und haben Sie keine Angst vor Ransomware-Angriffen
• INSIGHTS-ARTIKEL: Aufbau einer unzerstörbaren Dateninfrastruktur im Zeitalter von KI und Hybrid Cloud
  
• BLOG: Das Cybersicherheits-Framework von NIST in die Tat umsetzen