Gastbeitrag
14.05.2021, 07:55 Uhr
«Es braucht eine Sicherheitskultur»
Mit einem neuen Ansatz beherrschen Organisationen die zunehmenden Bedrohungen aus dem Cyberraum. Es braucht eine konstante Erneuerung der technologischen Basis und eine Sicherheitskultur, die auf Zusammenarbeit und Achtsamkeit beruht.
Moderne Sicherheitskultur ist ein Mix aus Technik, einer klar kommunizierten Strategie und einer guten Zusammenarbeit von IT, Security und dem Business
(Quelle: Cisco Schweiz)
Organisationen stehen unter Dauerfeuer. Sie sind einerseits durch die anhaltende Pandemie gefordert, andererseits nehmen die IT-Sicherheitsrisiken zu. Die Erweiterung der Firmenperimeter im letzten Jahr während der ersten Welle hat zwar die Business-Resilienz gestärkt und die Geschäftsabläufe stabil gehalten, doch die Home Offices haben die IT-Teams herausgefordert, die Infrastruktur ihrer Organisation zu überdenken. Das zeigt der Accelerating Digital Agility Report 2021 von Cisco, für den auch 503 Schweizer CIOs und IT-Entscheider befragt wurden.
Die Prioritäten der Entscheider
Der Report zeigt, dass sich der Trend zu Multi-Cloud-Umgebungen und Software as a Service auch hierzulande akzentuiert. Grösstmögliche Agilität steht im Vordergrund. Die Prioritäten von 2021 und 2022 sind klar: Sicherung der Arbeitsplätze und digitale Zusammenarbeit. Fast 90 Prozent der Befragten wollen eine optimale Sicherheit über alle Netzwerke, Geräte, Clouds und Anwendungen bis ins Home Office erreichen. Nahtlose Nutzererlebnisse für digitale Kollaboration sind ihnen wichtig, jedoch ohne eine einheitliche Governance zu vernachlässigen. So setzen die Befragten ihre Prioritäten in Netzwerksicherheit 55 %), Multi-Cloud-Infrastrukturen (53 %) und Collaboration-Technologien (49 %). 73 Prozent der Schweizer IT-Entscheider haben bereits SASE-Lösungen (Secure Access Service Edge) etabliert, da sie in Cloud-Applikationen investieren, die entsprechend gesichert sein müssen (60 %), und weil die Mitarbeitenden auch künftig verteilt arbeiten werden (50 %).
“Cybersecurity erfordert eine gemeinsame Kultur der Achtsamkeit„
Roman Stefanov
Die drei Erfolgsfaktoren
- Integration: nahtloses Zusammenwirken aller technologischen Komponenten und der beteiligten Teams
- Sicherheitskultur: gemeinsames Verständnis fördern statt Drill
- Tech Refresh: regelmässige Aktualisierungen der Infrastruktur
Die Organisation auf Sicherheit ausrichten
Mit SASE ist es aber nicht getan. Es braucht eine neue Denkweise. Wir nennen vier Ansätze für sichere Organisationen:
• Angst besiegen
Wir sollten Respekt haben und unsere Risiken genau kennen. Das allein hilft schon beim Etablieren eines tragfähigen Schutzes. Das hat die Security Outcomes Study 2021, eine globale Cisco-Umfrage unter 4800 IT-Sicherheitsprofis, ergeben. Angst ist fehl am Platz, denn die Risiken können wir beherrschen und uns effektiv schützen, wenn wir unseren Denkansatz ändern.
Wir sollten Respekt haben und unsere Risiken genau kennen. Das allein hilft schon beim Etablieren eines tragfähigen Schutzes. Das hat die Security Outcomes Study 2021, eine globale Cisco-Umfrage unter 4800 IT-Sicherheitsprofis, ergeben. Angst ist fehl am Platz, denn die Risiken können wir beherrschen und uns effektiv schützen, wenn wir unseren Denkansatz ändern.
• Technologie-Stack erneuern
Antivirus-Tools und Firewalls werden ihre Daseinsberechtigung weiterhin haben, da wir von einer Layered Security Architecture sprechen. Es braucht aber mehr, vor allem konstante Veränderung und Modernisierung im Technologie-Stack. Die Studie zeigt deutlich, dass Unternehmen mit einem ganzheitlichen Security-Programm, das proaktive Best-of-Breed-Refreshes der Technologie beinhaltet, mehr Erfolg in ihrem Programm ausweisen.
Antivirus-Tools und Firewalls werden ihre Daseinsberechtigung weiterhin haben, da wir von einer Layered Security Architecture sprechen. Es braucht aber mehr, vor allem konstante Veränderung und Modernisierung im Technologie-Stack. Die Studie zeigt deutlich, dass Unternehmen mit einem ganzheitlichen Security-Programm, das proaktive Best-of-Breed-Refreshes der Technologie beinhaltet, mehr Erfolg in ihrem Programm ausweisen.
Organisationen benötigen Technologien, die Rücksicht auf die neuen Bedingungen nehmen: Die Angestellten arbeiten verteilt, der Firmenperimeter hat sich dynamisch erweitert, im Büro sind Schutzmassnahmen zu etablieren, mit denen auch die physische Zusammenarbeit problemlos möglich ist. Sicherheitstechnisch bedeutet dies, die Intelligenz ins Netzwerk zu verlagern, die Anomalien im Traffic selbstständig erkennt. Sicherheit wird aber auch geschaffen durch die Visibilität aller Vorgänge im Netzwerk.
• Passwort abschaffen
Es braucht dringend den Zero-Trust-Ansatz im Netzwerk mit passwortlosen Multi-Faktor-Authentifizierungstechnologien. Dabei wird jeder Zugriff beurteilt, ganz egal, woher er kommt. Der Schutz erfolgt über alle User, Applikationen und Netzwerke hinweg.
Es braucht dringend den Zero-Trust-Ansatz im Netzwerk mit passwortlosen Multi-Faktor-Authentifizierungstechnologien. Dabei wird jeder Zugriff beurteilt, ganz egal, woher er kommt. Der Schutz erfolgt über alle User, Applikationen und Netzwerke hinweg.
• Neue Sicherheitskultur etablieren
Die Security-Outcomes-Studie 2021 zeigt es deutlich: Es ist inzwischen zu anspruchsvoll, sich mit dem Thema Cybersecurity im Detail zu befassen. Mitarbeitende sollten sich um ihr Tagesgeschäft kümmern können. Es genügt, die allgemeinen Risiken zu kennen. IT-Teams werden heute von modernen Technologien unterstützt, sodass sie sich vorausschauend um Risiken kümmern können, damit diese gar nicht erst zur realen Gefahr werden.
Die Security-Outcomes-Studie 2021 zeigt es deutlich: Es ist inzwischen zu anspruchsvoll, sich mit dem Thema Cybersecurity im Detail zu befassen. Mitarbeitende sollten sich um ihr Tagesgeschäft kümmern können. Es genügt, die allgemeinen Risiken zu kennen. IT-Teams werden heute von modernen Technologien unterstützt, sodass sie sich vorausschauend um Risiken kümmern können, damit diese gar nicht erst zur realen Gefahr werden.
Fazit
Die neue Sicherheitskultur ist ein Mix aus moderner Technologie, einer klar kommunizierten Sicherheitsstrategie und – ganz wichtig – einer guten Zusammenarbeit zwischen IT, Security und dem Business. Es geht nicht nur um Trainings und Sanktionen bei Sicherheitsverstössen, sondern um eine gemeinsame Kultur der Achtsamkeit und dem damit verbundenen Sicherheitsbewusstsein, dass Cybersecurity ein wesentlicher Bestandteil der täglichen Arbeitsroutine ist: am Arbeitsplatz, unterwegs, im Home Office und auf den Ebenen Organisation sowie Geschäftsmodell.
Technologie ist die Antwort
Die Digitalisierung erfordert neue, flexible IT-Strukturen. Vier Kerntechnologien und Konzepte einer neuen, agilen und sicheren IT-Infrastruktur:
SASE (Secure Access Service Edge) ist eine neue Strategie. Sie kombiniert SD-WAN, Netzwerk und Sicherheitsfunktionen aus einer Hand und wird als SaaS geliefert. Bis jetzt wurden all diese Dienste isoliert angeschaut. Der Ansatz berücksichtigt die Konvergenz dieser Dienste und vereinfacht den zukünftigen Betrieb.
Zero Trust unterbindet prinzipiell, anders als heute, Netzwerkzugriffe mit vollen und unkontrollierten Zugriffsrechten. User, Applikationen und Geräte werden bei jedem Datentransfer von Neuem überprüft und beurteilt.
Hybrid-Cloud verbindet das Beste aus allen Cloud-Welten mit On-Premise, mit individueller Absicherung aus der Cloud.
Visibilität schafft Sicherheit mit nativen Tools für mehr Transparenz über alle Netzwerke und den gesamten Security Stack hinweg.
Der Autor
Roman Stefanov ist bei Cisco Schweiz für den Bereich Cybersecurity zuständig.
www.cisco.ch
www.cisco.ch
Autor(in)
Cisco
Systems GmbH