2 Uhr nachts am Freitag, wenn alle Ihre Server und Desktops durch Ransomware verschlüsselt sind, ist nicht die beste Art, das Wochenende zu beginnen. Ein Sicherheitsvorfall ist nur ein Symptom für ein tiefer liegendes Problem, das in der Regel mit einem Mangel an Führungskräften im Sicherheitsbereich beginnt.
Die meisten kleinen Unternehmen mit bis zu 500 Mitarbeitern, die Opfer eines Ransomware-Angriffs wurden, hatten niemanden, der sich um ihre Cybersicherheit kümmerte. Sie vertrauten darauf, dass ihre IT-Firma oder ihr IT-Team sie mit Sicherheit versorgen würde, und die IT-Leute taten das, was sie am besten können – Firewalls und Antivirenprodukte installieren. Antivirenprodukte und Firewalls waren noch nie erfolgreich gegen Ransomware-Angriffe, da diese Angriffe von echten Hackern und nicht von einfacher Malware durchgeführt werden.
Doch selbst wenn sie einen Teilzeit- oder Vollzeitbeauftragten für Informationssicherheit hätten, wäre das Risiko gleich hoch gewesen.
Nur weil man einen General in seiner Armee hat, ist der Sieg oder das Überleben nicht garantiert! Der Erfolg hängt von Hunderten von Faktoren ab, auf die Sie teilweise keinen Einfluss haben.
Es gibt 7 Hauptrisiken bei der Zusammenarbeit mit einem Teilzeit-CISO. Hier sind sie:
- Sie wussten nicht, wie Sie jemanden auswählen sollten, der in Teilzeit als Ihr CISO arbeitet
In unserem Artikel “Wie man einen CISO einstellt – für Personal- und IT-Führungskräfte” erläutern wir die Faktoren, die bei der Einstellung eines Vollzeit- oder Teilzeitmitarbeiters zu beachten sind. Wir gehen auch auf die Auswahlkriterien ein, wenn Sie vCISO-as-a-Service-Unternehmen beauftragen. Es wäre fast unmöglich, einen Teilzeit-CISO für Ihr kleines Tech-Startup oder SaaS-Unternehmen zu engagieren und damit erfolgreich zu sein. - Sie wollen jemanden einstellen, haben aber nicht vor, ihm die nötige Unterstützung oder das nötige Budget für den Erfolg zu geben.
Chief Information Security Officers, selbst wenn sie in Teilzeit oder als Dienstleistung arbeiten, sind teuer. Man könnte meinen, dass diese Investition ausreichen sollte, um Ihr Unternehmen zu schützen – aber das ist nicht der Fall. Wenn man einen General anheuert und ihm keine Armee, keine Munition und keine militärische Ausrüstung zur Verfügung stellt, ist das natürlich ein Misserfolg. Warum sollte man also einen CISO einstellen und ihm nicht die Ressourcen zur Verfügung stellen, die er für seinen Erfolg benötigt? - Das IT-Team oder das ausgelagerte IT-Dienstleistungsunternehmen will seine Gewohnheiten nicht ändern
IT-Teams sind oft die größten Saboteure der Sicherheitsbemühungen in jedem Unternehmen. Ob intern oder extern, das IT-Team wird sich dagegen sträuben, die Arbeitsweise der letzten 10-15 Jahre zu ändern. Warum sollten sie? Es ist Ihre Aufgabe und die Ihres CISOs, ihnen die veränderte Bedrohungslandschaft von damals und heute zu vermitteln. Idealerweise sollten Sie die Verträge mit Ihrem IT-Anbieter so ändern, dass sie eine Klausel über die genaue Einhaltung Ihrer neuen Sicherheitsanforderungen enthalten. - Sie wissen nicht, was sie tagein, tagaus tun
Wenn Sie nicht über ein Dashboard verfügen, auf dem alle täglichen, wöchentlichen und monatlichen Aufgaben angezeigt werden und auf dem Sie verfolgen können, was gerade läuft, was auf der Aufgabenliste steht und was im letzten Monat erledigt wurde, sollten Sie Ihre Einstellungsentscheidung noch einmal überdenken. - Das Risiko, zu viel in Dinge zu investieren, die unter dem Strich wenig zur Sicherheit beitragen
Einige “Sicherheitsexperten” spielen mit Technologien wie Kinder mit Spielzeug. Sie würden dein Geld für ihr neues Spielzeug ausgeben, nur um damit zu spielen. Und neue “Sicherheitsspielzeuge” kommen schneller auf den Markt, als man sie kaufen kann. Auch mit einem unbegrenzten Budget! Ist Ihr Budget unbegrenzt? - Diskrepanz zwischen Ihrem technischen Stack und den von ihnen eingesetzten Abwehrmaßnahmen
Sie versuchen vielleicht, in die Cloud zu wechseln, aber wenn Ihr Teilzeit-CISO sich auf die lokale Welt konzentriert, wird er Ihnen nicht helfen, zu einem moderneren Technologiepaket zu wechseln, nur weil er Angst vor allem Neuen hat oder nicht in der Lage ist, moderne Technologien zu verteidigen. So oder so riskieren Sie, aufgrund Ihrer Einstellungsentscheidungen Ihren Wettbewerbsvorteil auf dem Markt zu verlieren. - Ihr CISO wählt möglicherweise den falschen Schwerpunkt für Ihren Informationssicherheitsplan.
Es gibt mindestens 18 verschiedene Kategorien von Defensivkontrollen, die ein Unternehmen durchführen muss. Jede Kategorie umfasst Dutzende bis Hunderte von einzelnen Sicherheitskontrollen, und allen muss eine Priorität und Dringlichkeit zugewiesen werden, die auf den für Ihr Unternehmen ermittelten Risiken basiert. Nehmen wir an, sie geben der Aufdeckung gegenüber der Prävention den Vorrang und ignorieren die Reaktion völlig. Das bedeutet, dass Sie ständig mit Zwischenfällen konfrontiert werden und nicht in der Lage sind, angemessen auf sie zu reagieren. Aber Sie werden in der Lage sein, sie zu erkennen! Die Priorisierung der richtigen Sicherheitskontrollen zum richtigen Zeitpunkt ist entscheidend.