Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-Mail-Sicherheit

    Die Entwicklung der CISO-Strategien

    Wie hat sich die Rolle des CISO im Laufe der Jahre verändert?

    by Boris Vaynberg
    gettyimages-951007694.jpg

    Charles Darwin schrieb 1859 "Über die Entstehung der Arten" und führte das Konzept ein, dass Organismen durch die natürliche Auslese kleiner, vererbter Variationen entstehen und sich entwickeln, die die Fähigkeit des Individuums erhöhen, zu konkurrieren, zu überleben und sich fortzupflanzen.

    Das Konzept der Evolution passt nicht nur zu einem Glauben an die menschliche Entwicklung, sondern ist auch repräsentativ für die Wachstumsstadien, die bei anderen Organismen auftreten. Obwohl die IT-Sicherheit ein wesentlich jüngerer Bereich ist als die menschliche Evolution, gibt es auch hier Wachstumsstufen, die wir analysieren und von denen wir lernen können.

    Rollen in der IT-Sicherheit

    IT-Sicherheit ist nicht nur ein "Ein-Personen-Job". SecurityWizardry.com hat 33 verschiedene Sicherheitsfunktionen ermittelt , die heute in Unternehmen ausgeübt werden. Vom Intrusion Detection Specialist über den Security Architect und den Information Security Director bis hin zum Chief Information Security Officer (CISO) reichen die Gehälter von mehreren zehntausend bis zu mehreren hunderttausend pro Jahr. Auch wenn die Verantwortung beim CISO liegt, ist es wichtig zu erkennen, dass sich diese prestigeträchtige Rolle im Laufe der Zeit zu dem entwickelt hat, was sie heute ist.

    Die fünf CISO-Stufen

    Die Rolle des CISO und die entsprechenden Strategien haben sich seit ihrer Einführung im Jahr 1995 erheblich weiterentwickelt. Ein kürzlich erschienener Artikel in DarkReading mit dem Titel "The 5 Stages of CISO Success, Past & Future" bietet diese fünf Stufen der CISO-Entwicklung in den letzten 29 Jahren:

    1. Eingeschränkte Sicherheit = Login & Passwort (erster CISO): Vor dem Jahr 2000 war diese Ära darauf beschränkt, nur den Login-Zugang und die Autorisierung für Dateien zu ermöglichen. Unglücklicherweise führte ein größerer Sicherheitsverstoß dazu, dass der erste CISO ernannt wurde. Dies war auch der Startschuss für die Einführung von mehr Vorschriften zum Schutz des durchschnittlichen Unternehmens und der Verbraucher.
    2. Ära der Einhaltung von Vorschriften CISO: Von 2000 bis 2004 war diese Ära durch die Verabschiedung einer Fülle neuer Gesetze zum Datenschutz und zur Sicherheit im Gesundheitswesen, bei Behörden und im Finanzsektor gekennzeichnet. Es wurden Ressourcen mobilisiert, um "" die Einhaltung von Sicherheitsvorschriften zu gewährleisten, wobei in der Regel eine Reihe von Kontrollen gemäß ISO27001/2 oder COBIT befolgt wurden.
    3. Risikoorientierter CISO: Von 2004 bis 2008 lag der Schwerpunkt dieser Ära auf der Festlegung neuer Erwartungen, da es sich Unternehmen nicht leisten konnten, alle Informationen gleichermaßen zu schützen. Die Umstellung auf einen risikobasierten Ansatz erleichterte die Zuweisung von Mitteln für kritischere Anlagen und eine bessere Nutzung von Menschen, Prozessen und Technologien. Dies ermöglichte auch den Einstieg in ein unternehmensweites Risikomanagement und führte dazu, dass das Informationssicherheitsrisiko zusammen mit anderen Unternehmensrisiken diskutiert wurde.
    4. Bedrohungsbewusste Cybersicherheit, Social-Mobile-Cloud CISO: Von 2008 bis 2016 führte diese Ära dazu, dass CISOs offener für neue Technologien waren. Schatten-IT-Projekte für neue Technologien wurden auf Abteilungsebene implementiert, z. B. die massenhafte Einführung sozialer Medien, ein Smartphone in jeder Tasche, die Consumerization von Technologie und die Migration zur Cloud. Dies erforderte vom CISO ein besseres Verständnis der Bedrohungslandschaft und eine entsprechende Vorbereitung.
    5. Der datenschutz- und datenbewusste CISO: Von 2016 bis heute (und möglicherweise bis 2020) steht diese Ära für das Verständnis des CISO, dass mehrere größere Vorfälle im Zusammenhang mit dem Diebstahl und Missbrauch von Anmeldedaten zu einer stärkeren Fokussierung auf den Datenschutz geführt haben. Die im Mai 2018 in Kraft getretene Allgemeine Datenschutzverordnung (GDPR) erhöht ebenfalls die Sichtbarkeit des Datenschutzes durch die Einführung erheblicher Geldbußen von bis zu 4 % des Jahresumsatzes.

    Eine neue Strategie in Betracht ziehen

    Eine Binsenweisheit, über die wir schon oft geschrieben haben, ist, dass Prävention als Hauptaufgabe des CISO immer besser ist als Abhilfe. Die Auswahl von Lösungen, die jede einzelne Codezeile auswerten und gut dokumentierte Umgehungstechniken unwirksam machen, während sie unabhängig vom Dateityp, der Art der Client-Anwendung oder dem im Unternehmen verwendeten Client-Betriebssystem sind, ist das beste Kriterium für die Technologieauswahl. Die ausgewählten Lösungen sollten unabhängig von Betriebssystem, CPU-Architektur und Funktion (Client, Server) des Zielrechners Schutz bieten.

    Erfahren Sie mehr hier.

    gettyimages-890153720.jpg
    Nächster Punkt
    E-Mail-Sicherheit |
    Verlagerung von E-Mail in die Cloud? Cyber-Resilienz ist ein Muss

    Verwandte Artikel

    E-Mail-Sicherheit
    Wie Sie Ihre Sicherheitsintegrationen gestalten
    E-Mail-Sicherheit
    Cybersicherheit wird zum Wachstumsmotor für Unternehmen
    E-Mail-Sicherheit
    Was ist VSOC und GSOC Sicherheit?

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang