Die Anzahl an Ransomware-Angriffen und Datenlecks ist im vergangenen Jahr einmal mehr gestiegen. Die Angriffe werden immer komplexer, die Strategien raffinierter – und eine Trendumkehr scheint nicht in Sicht. James Hadley, CEO von Immersive Labs, erläutert, was Unternehmen im Jahr 2022 tun können, um ihre Resilienz zu erhöhen und die Cyber-Kompetenz, die Cyber-Skills und das Urteilsvermögen ihrer gesamten Workforce strategisch für die Reduzierung von Cyber-Risiken und die Crisis Response zu nutzen. In diesem Beitrag erfahren Sie mehr über das Thema Cyber Workforce Optimization.
Cyber Workforce Optimization für mehr Resilienz im Jahr 2022
Etwas mehr als ein Jahr nach dem SolarWinds-Angriff steht das Thema Cybersecurity weiterhin ganz oben auf der Agenda vieler Vorstände. Unternehmensführung und CISOs stehen gleichermaßen unter Druck. Sie müssen dafür sorgen, dass ihre gesamte Workforce cyber-ready ist und angesichts der sich ständig verändernden Bedrohungslandschaft handlungsfähig bleibt.
Der effizienteste Weg, zu gewährleisten, dass Ihre Mitarbeiter auf Cyber-Krisen vorbereitet sind, besteht darin, deren Cyber-Kompetenz, Cyber Skills und Urteilsvermögen zu evaluieren und auf Augenhöhe mit dem dynamischen Risikoumfeld kontinuierlich zu optimieren. Keine Frage: Sich ein aktuelles, aussagekräftiges Bild vom Know-how ihrer Teams im Hinblick auf Cyberangriffe zu verschaffen, bleibt für CISOs auch weiterhin eine Herausforderung. Aber es gibt Hebel, an denen Sie ansetzen können, um sicherzustellen, dass Ihr gesamtes Unternehmen im Jahr 2022 cyber-ready ist.
Kontinuierliches und praxisrelevantes Training
Know-how und Readiness Ihrer Workforce lassen sich am effektivsten mit Hilfe von kontinuierlichen, kompakten Trainings messen. Indem Sie Ihre Teams mit praxisrelevantem, rollenspezifischem Content und Micro Drills auf der Grundlage aktueller Threat Intelligence konfrontieren, erhalten Sie einen Eindruck von Cyber-Kompetenz, Cyber Skills und Urteilsvermögen innerhalb Ihres Unternehmens. Auf diese Weise können Sie alles messen. Von der Reaktion von Vorstandsmitgliedern auf eine Cyber-Krise bis hin zu den Security Skills eines DevOps-Teams. Mit diesen Erkenntnissen wiederum können Sie besser verstehen, wo Ihr Unternehmen Schwachstellen aufweist. Wo besteht Handlungsbedarf, ähnlich wie beim Patchen – nur dass in diesem Fall nicht Software, sondern menschliche Cyber-Kompetenz optimiert wird.
Verlassen Sie sich beim menschlichen Aspekt Ihrer Cybersecurity-Strategie auf traditionelle Trainingsmethoden, Lebensläufe und Akkreditierungen, wird Ihr Team mit der Raffinesse aktueller und zukünftiger Threats sehr wahrscheinlich nicht Schritt halten können. Die Bedrohungslandschaft verändert sich rasant. So ist es keine Überraschung, dass traditionelle Ansätze, wie etwa Table-Top Exercises, nicht mehr ausreichen. Ihre Mitarbeiter haben das Potenzial, zu Ihrem wichtigsten Asset in puncto Cyberabwehr und Risikokontrolle zu werden. Sie müssen dieses Potenzial nur freisetzen.
Zusammenarbeit zwischen Teams
Cyberangriffe können heute jedes Team in jedem Unternehmensbereich betreffen. Zur Cyber Workforce – denjenigen, die für die Prävention und Reaktion verantwortlich sind – zählen nicht mehr nur die „Geeks im Keller“. Die Verantwortung liegt bei allen, von Security-Teams über Kommunikations- und Rechtsexperten bis hin zu Executives und Vorstandsmitgliedern. Deshalb ist es entscheidend, dass Ihre gesamte Workforce im Krisenfall an einem Strang zieht und jeder seine Rolle kennt.
Mangelnde Zusammenarbeit und Abstimmung zwischen Security- und Development-Teams beispielsweise hat schwerwiegende Auswirkungen auf die Anwendungssicherheit. Das belegt eine zusammen mit Osterman Research durchgeführte Studie. So gaben 81 Prozent der Entwickler an, wissentlich angreifbare Anwendungen auszurollen. Nur 31 Prozent der Security-Experten glaubten, dass ihre Entwicklungsumgebung sicher genug ist, um einem Angriff standzuhalten. Auch die Diskrepanz zwischen Entwicklern auf der einen und ihren Managern auf der anderen Seite ist besorgniserregend. Nur 27 Prozent der Entwickler verorteten Security in ihrem Aufgabenbereich, während 80 Prozent der Manager das taten. Die Ergebnisse der Studie sind ein Beweis dafür, dass Zusammenarbeit, klare Kommunikation und Aufklärung über Risiken, Rollen und Lösungen in allen Teams entscheidend sind für die Sicherheit Ihres gesamten Unternehmens.
Cyber Threats sind eine unternehmensweite Angelegenheit, die Verantwortung für die Risikominimierung und Response liegt in den Händen der gesamten Workforce. Angriffe können finanzielle, rufschädigende, regulatorische, rechtliche und technische Auswirkungen haben. Eine effektive Crisis Response erfordert also Cyber-Kompetenz, Cyber Skills und Urteilsvermögen in allen Unternehmensbereichen – solange wir deren Aufbau und Entwicklung keine Priorität einräumen, werden wir der Bedrohungslandschaft auch weiterhin hinterherhinken.
Fazit
Bei Executives und Vorstandsmitgliedern muss ein Umdenken stattfinden: Trainings und Upskilling sind nicht nur Mittel zur Mitarbeiterbindung, sondern wichtiger Bestandteil von Strategien zur Crisis Response und Reduzierung von Cyber-Risiken. Wenn nicht nur das Security-Team, sondern die gesamte Workforce über das entsprechende Know-how verfügt, erreichen Unternehmen ein Höchstmaß an Resilienz und sind gewappnet für neu auftretende Bedrohungen. Das ist die Definition von Cyber Workforce Optimization – ein Thema, das für Unternehmen im Jahr 2022 und darüber hinaus höchste Priorität haben sollte.