Dieser CISO sagt es seinem Vorstand: 'Identität ist die neue Firewall'

Jedes Unternehmen ist anders. Aber selbst im Zeitalter der digitalen Transformation könnte dieses globale Immobilienunternehmen die Leser mit seinem extremen Cloud-First-Ansatz für seine technologischen "Kronjuwelen" überraschen. Ganz zu schweigen von der Erleuchtung, die der Chief Information Security Officer (CISO) des Unternehmens kürzlich hatte: "Identität ist die neue Firewall". 

Schon vor der Pandemie, so erzählte uns der CISO, waren ein Drittel oder weniger der über 50.000 Mitarbeiter des Unternehmens Stammgäste im Büro. Stattdessen arbeiteten sie bei den Kunden vor Ort und übernahmen eine Vielzahl von Aufgaben im Bereich der Immobilienverwaltung; sie waren unterwegs, auf Reisen, von zu Hause aus oder anderweitig im Außendienst tätig. Das bedeutet natürlich, dass sie auf Laptops, Handys und Tablets funktionieren. Und als der Vorstand nach den Geschäftsrisiken fragte, die mit der geschäftskritischen Technologie des Unternehmens verbunden sind - den Systemen, ohne die der Unternehmensbetrieb zum Erliegen käme -, stellte sich heraus, dass sie sich alle in der Cloud befinden. Kunden- und Vertriebsmanagement, Personalwesen, Büroproduktivität und sogar die Hunderte kleinerer "Punkt"-Lösungen, die eingesetzt werden, um das Unternehmen bei der Bereitstellung einer breiten Palette spezifischer Dienstleistungen für Kunden zu unterstützen, wurden (und werden) fast alle über Software-as-a-Service (SaaS) bereitgestellt, auf die über das Internet zugegriffen wird.

Als er vor fünf Jahren in die US-Zentrale des Immobilienunternehmens kam, bewertete der CISO diese Landschaft technologiegestützter Geschäftspraktiken und begann mit der Entwicklung einer Cybersicherheitsstrategie zum Schutz des Unternehmens. "Für ein solches Cloud-first-Unternehmen ohne Perimeter sollte sich die Sicherheit nicht auf den Schutz von Geräten an bestimmten geografischen Standorten konzentrieren, und auch nicht auf Intrusion Detection Systems [IDS] oder Intrusion Prevention Systems [IPS]", so der CISO. "Stattdessen wurde die Identität zum Schlüssel. Heute binden wir Identitäten an Geschäftsprozesse - und je mehr Risiko ein bestimmter Geschäftsprozess birgt, desto mehr Identitätsauthentifizierungs-Firewalls bauen wir ein, um ihn zu schützen. 

Die Metapher der "Firewall" kommt beim Vorstand gut an

Es mag für ein Unternehmen, das so sehr auf die Cloud setzt, ironisch erscheinen, aber das Identitäts- und Zugriffsmanagementsystem des Unternehmens wurde aufgrund seiner entscheidenden Rolle intern entwickelt. "Ich nenne es Identitätsmanagement und Automatisierung, und es wurde von Grund auf selbst entwickelt", so der CISO. Während die komplizierten Regeln und Kontrollen des Systems in Zusammenarbeit zwischen dem CISO-Team und den Leitern der Geschäftsbereiche des Unternehmens entwickelt wurden, fanden die Gespräche mit der Geschäftsleitung auf einer viel höheren Ebene statt. 

"Ich habe der Geschäftsleitung und dem Vorstand gesagt: 'Identität ist die neue Firewall'. Denn jeder im Vorstand, unabhängig von seinem Kenntnisstand, weiß, was eine Firewall ist - sie verhindert, dass böse Dinge ein- und ausgehen", so der CISO. Und der Satz traf ins Schwarze, zum Teil wegen des Verständnisses des Vorstands für die digitale Transformation. 

"Sie sind sich natürlich bewusst, welche Auswirkungen die digitale Transformation auf uns hat. Aber vielleicht noch wichtiger ist, dass sie sehen, wie sich das auf unsere Kunden auswirkt und wie sich dadurch die Anforderungen der Kunden an uns in Bezug auf die Bereitstellung von Dienstleistungen verändert haben", erklärt der CISO. "Wir haben jetzt einen Kunden, bei dem alle Mitarbeiter, einschließlich der Hausmeister, Mobiltelefone erhalten, um mit ihm Geschäfte machen zu können, und es gibt Anwendungen, in denen sie bestimmte Informationen registrieren müssen". Hausmeister verwenden digitale Sensoren oder Scancodes, um zu erfassen, welche Bereiche sie beispielsweise gereinigt haben. 

Angesichts der zunehmenden Verbreitung mobiler Geräte in den Händen der Mitarbeiter und der firmeneigenen digitalen Transformation hin zur Cloud war es für die leitenden Angestellten und den Vorstand ein Leichtes, den Wert von zu erkennen und die Identität in den Mittelpunkt der Cybersicherheitsstrategie des Unternehmens zu stellen .

Halten Sie das Gespräch mit dem Vorstand auf hohem Niveau

Das Beispiel der Identität ist eine perfekte Illustration der Philosophie des CISO für die Kommunikation mit dem Vorstand. "Die Vorstandsmitglieder sind nicht die bezahlten Experten für Cybersicherheit, auch wenn einige von ihnen über gute Kenntnisse verfügen", sagte er. "Ich werde dafür bezahlt - und mein Team wird dafür bezahlt -, die Fachexperten zu sein. Wenn also der Vorstand die Cyberstrategie vorantreibt, bedeutet das, dass wir versagt haben. 

Die Geschäftsleitung und der Vorstand sind sich zum Beispiel darüber im Klaren, dass die Multifaktor-Authentifizierung (MFA) und die unternehmensweite Cybersecurity-Schulung für die "Identität als Firewall"-Strategie von entscheidender Bedeutung sind, aber sie überlassen die Details dem CISO und seinem Team. Stattdessen erstattet der CISO dem Vorstand regelmäßig Bericht über qualitative und quantitative Kennzahlen, die den Fortschritt bei der Umsetzung der Strategie belegen. Dazu gehören die Quantifizierung des zunehmenden Einsatzes von MFA (der bei Eintritt des CISO bei Null lag) und die Abschlussquoten von Awareness-Schulungen (die erheblich gestiegen sind). Darüber hinaus stellt er dem Vorstand Informationen zur Verfügung, aus denen hervorgeht, wie die Praktiken des Unternehmens mit den Empfehlungen unabhängiger Dritter, z. B. von Cyber-Versicherern und Sicherheitsprüfern, übereinstimmen.

Er hat diesen Rat für andere CISOs, die vor ihren Vorständen präsentieren: "Vor allem sollten Sie Ihr Publikum kennen. Jeder Vorstand und jedes Führungsteam ist anders. Ich habe einmal für ein Technologieunternehmen gearbeitet, und die Erwartungen des Vorstands dort waren ganz anders als die Erwartungen hier in einem Immobilienunternehmen. Erkundigen Sie sich bei anderen Kollegen, die bereits Präsentationen vor dem Vorstand gehalten haben, was gut funktioniert, und finden Sie heraus, wie der Vorstand Informationen präsentiert haben möchte. Der CISO nannte zwei Beispiele für sehr unterschiedliche Kommunikationspräferenzen, auf die er gestoßen ist: Einige Vorstände wollen mit einer Folienpräsentation "belehrt" werden, während andere schriftliche Berichte vor der Sitzung mit anschließender Diskussion im Frage-Antwort-Stil vorziehen. "Wenn Sie sich auf die eine Richtung vorbereiten und der Vorstand die andere sucht, wird das nicht gut ausgehen", warnte er. 

Identität als Firewall, in der Praxis 

Das Herzstück der identitätszentrierten Cybersicherheitsstrategie des CISO ist das hausinterne Identitätsmanagementsystem mit Single Sign-on für das breite Spektrum an SaaS-Anwendungen, die von der Firma eingesetzt werden, einschließlich derjenigen, die ihre Kunden unterstützen. Automatisierte Funktionen lösen viele Prozesse aus, von der Aufnahme von Mitarbeitern bis zur Kündigung. Wenn verdächtige Aktivitäten im Zusammenhang mit einem Benutzerkonto entdeckt werden oder wenn bestimmte risikoreiche Aktionen eingeleitet werden, löst das System zusätzliche Protokolle zur Identitätsauthentifizierung aus, häufig MFA. 

Aber das ist nur die allgemeine Beschreibung des Systems auf hoher Ebene. Der CISO betont, dass sein Team eng mit den Leitern der einzelnen Geschäftsbereiche des Unternehmens zusammenarbeitet, um das Verhalten des Systems so anzupassen, dass es dem Grad des Geschäftsrisikos jedes Bereichs und/oder dem jeweiligen Geschäftsprozess entspricht. Da die Firma beispielsweise normalerweise keine personenbezogenen Daten oder Gesundheitsdaten im Namen von Kunden verarbeitet, ist die Sensibilität der Informationen nicht immer hoch. Auf der anderen Seite können viele Finanztransaktionen nicht nur eine zusätzliche Authentifizierungsanfrage, sondern auch eine mündliche Bestätigung oder die Genehmigung eines Vorgesetzten erfordern. 

Der CISO erinnerte daran, dass das Unternehmen nach dem jüngsten Zusammenbruch der Silicon Valley Bank eine Reihe von Kundenanfragen zur Änderung der Bankkontodaten von Lieferanten für den Zahlungsverkehr erhielt. Die Geschäftsprozesse des Unternehmens für solche Änderungen verhinderten jede Aktion auf der Grundlage von E-Mails oder sogar einer einzigen mündlichen Bestätigung; es waren mehrere Dokumente und Bestätigungen erforderlich. "Ich habe früher im Bankwesen gearbeitet, und es ist ähnlich wie bei diesen Prozessen. Es gab jemanden, der eine Überweisung veranlasste, und dann gab es einen ganz anderen, der die Überweisung genehmigen musste", sagte er. 

Er betonte auch die Notwendigkeit für Unternehmen, starke Kontrollen in ihre Geschäftsprozesse einzubauen, wo immer Geschäftsrisiken identifiziert werden können. "Nichts von dem, was ich tun kann, wird gute Finanz- und/oder Geschäftsprozesse ersetzen", sagte er.

Die Quintessenz

Die "Identität als Firewall"-Strategie des CISO und sein Kommunikationsstil mit dem Vorstand sind entscheidend für die Fähigkeit seines Unternehmens, eine Kultur des Cyber-Bewusstseins aufzubauen, die in der jüngsten Mimecast-Umfrage "Behind the Screens" als entscheidender Faktor für den Schutz von Unternehmen festgestellt wurde: The Board's Evolving Perceptions of Cyber Risk." Eingehende Interviews mit 78 Führungskräften aus Wirtschaft und Sicherheit in 13 Ländern über die Wahrnehmung von Cyberrisiken auf Vorstands- und Aufsichtsratsebene ergaben, dass immer mehr Führungskräfte erkennen, wie wertvoll eine Kultur, die der Cybersicherheit Priorität einräumt, für die langfristige Sicherheit ist.