Was sind Ihre außergewöhnlichen Erwartungen?

In der Cybersicherheit gibt es immer ein neues, glänzendes Ziel zu verfolgen: Zero Trust, KI, passwortlose Authentifizierung, Quantencomputing. Dies sind nur einige der aktuellsten Themen, und Unternehmen stehen unter dem Druck, sich diese anzueignen, um den aktuellen Bedrohungen einen Schritt voraus zu sein.

Obwohl diese neuen Technologien sicherlich relevant sind, sind sie möglicherweise nicht so wichtig wie die richtigen „Cyber-Grundlagen“. Der Kauf neuer, hochmoderner Tools oder die Planung einer völlig neuen Architektur ersetzen nicht die hervorragende Beherrschung der grundlegenden, strukturellen Grundlagen, die ein erfolgreiches Sicherheitsprogramm ausmachen. Ein Beispiel für diese grundsätzlichen Überlegungen ist der Bereich der „Ausnahmen“. 

Es ist in jedem Unternehmen einfach eine Selbstverständlichkeit, dass es Ausnahmen von den Cybersicherheitsrichtlinien und -verfahren gibt. Diese reichen von Patch-Ausnahmen über Ausnahmen bei der Multifaktor-Authentifizierung (MFA) bis hin zu Zugriffs- und Firewall-Ausnahmen. Die Art und Weise, wie eine Organisation Ausnahmeanfragen verarbeitet und verfolgt und mit Ausnahmen verbundene Risiken bewertet, kann einen großen Einfluss darauf haben, wie einfach oder schwierig es für die Organisation ist, Cyberangriffe zu überwachen, zu erkennen und darauf zu reagieren.

Sind Ausnahmen im Bereich der Cybersicherheit gerechtfertigt? 

Angreifer nutzen Ausnahmen, weil sie einen einfacheren Zugang zur Umgebung einer Organisation ermöglichen. Ich habe beispielsweise einen Militärvertrag unterstützt und das Kommando führte die Zulassungsliste für Bewerbungen ein. Die Mitarbeiter leitender Beamter beantragten Ausnahmen für diese leitenden Beamten, weil sie befürchteten, dass die Technologie die Arbeit der leitenden Beamten „beeinträchtigen“ könnte. Allerdings waren die leitenden Beamten genau die Gruppe, die zusätzlichen Sicherheitsschutz benötigte. 

Wir konnten die Helfer treffen und ihnen erklären, wie die Technologie diese VIPs besser schützen würde, und wir konnten uns mit ihren Büros abstimmen, um etwaige Probleme mit der Technologie schnell zu lösen. Trotz einiger Bedenken waren die VIPs letztendlich besser geschützt und die Ausnahmeanträge wurden fallen gelassen. Es genügte, sich hinzusetzen, die Sorgen der Benutzer zu besprechen und geduldig zu erklären, wie man diese Sorgen lindern kann. 

Ausnahmen zeigen letztendlich an, wie gut Ihre Sicherheit sein könnte – wenn es weniger Ausnahmen (oder gar keine) gäbe. Hier sind einige Dinge, die Sie beachten sollten:

• Stellen Sie sicher, dass Sie über ein klares und präzises Verfahren für die Beantragung und Genehmigung von Ausnahmen verfügen. (Hinweis: Bequemlichkeit ist keine gute Grundlage für die Gewährung von Ausnahmen!) Dieser Prozess sollte mit anderen Sicherheitsrichtlinien übereinstimmen, beispielsweise mit der Richtlinie zur akzeptablen Nutzung der Organisation.
• Der Prozess sollte eine Risikobewertung umfassen, um die Auswirkungen der Ausnahme zu bestimmen.
• Verfolgen Sie alle Ausnahmen, um sicherzustellen, dass sie nicht missbraucht werden.
• Wenn Sie zu viele Ausnahmeanträge haben, müssen Sie möglicherweise Ihre Richtlinie ändern, damit die Mitarbeiter ihre Arbeit sicher erledigen können.
• Ausnahmen sollten auslaufen. Bei Bedarf können sie auf ihre Gültigkeit überprüft werden.

Wenn Sie die Grundlagen der Cybersicherheit nicht erfüllen, beispielsweise einen Ausnahmeprozess, werden Sie mit Sicherheitsproblemen konfrontiert, unabhängig davon, wie viel Zeit und Geld Sie in neue Technologien investieren. Automatisierung und andere Lösungen können helfen, aber sie beseitigen nicht alle Probleme, auch nicht solche, die neue menschliche Verhaltensweisen und Prozesse erfordern. Genau wie Achilles aus der griechischen Mythologie vergisst man leicht eine Schwachstelle, wenn man schon lange damit lebt. Und genau wie Achilles kann eine solche Vergesslichkeit schwerwiegende Folgen haben.

Lesen Sie weiter Partnerperspektiven von Google Cloud

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/google-cloud-security/what-are-your-exception-expectations