Jacques Boschung, EMC-Vice President, Europe West. (Foto: EMC)
Zürich – Widerstandsfähigkeit gegenüber Cyber-Gefahren, optimierte Anwendererfahrung und Cloud-Security sind die drei Kernbereiche, auf die sich Unternehmen bei ihren Investitionen in die IT-Sicherheit konzentrieren sollten. Das ist eines der zentralen Ergebnisse eines neuen Reports, den RSA, die Sicherheitssparte von EMC, im Namen des Security for Business Innovation Council (SBIC) veröffentlicht hat.
Des Weiteren empfiehlt der SBIC Investitionen in drei Technologiebereiche, um bessere, vorausschauende Verteidigungsmechanismen gegen Cyber-Gefahren aufzubauen: Big Data Analytics, Anti-Malware-Technologien der nächsten Generation und flexibles Identity and Access Management (IAM). Der SBIC-Report bündelt die Erkenntnisse internationaler Sicherheitsexperten, unter anderem von den Unternehmen Coca-Cola, eBay, EMC, Intel und der SAP. Diese Erkenntnisse sollen Unternehmen dabei helfen, ihre IT-Sicherheit zu verbessern und Technologieinvestitionen bestmöglich zu schützen.
Als Bestandteil ihrer jeweiligen Aufgabenbereiche verfolgen die Mitglieder des SBIC-Rates die bedeutenden Innovationen, die es derzeit in der Sicherheitstechnologie gibt. Sie kommen zu dem Schluss, dass diese neuen Technologien nicht schnell genug entwickelt und implementiert werden. Denn: Unternehmen haben erkannt, dass Sicherheitslücken unvermeidbar sind und ihre Aufmerksamkeit darauf verlagert, den daraus entstehenden Schaden zu minimieren.
Big Data Analytics und Anti-Malware-Systeme der nächsten Generation
Als Folge konzentrieren sich Sicherheitsexperten nun auf Strategien und Technologien, die die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen erhöhen, statt ausschliesslich auf Prävention zu setzen. Sie priorisieren Investitionen in Lösungen, die bessere Erkennungs- und Reaktionsfähigkeiten bieten. Vor diesem Hintergrund bekräftigt der SBIC-Report, dass Big-Data-Analytik als eine grundlegende Technologie benötigt wird, um die Cyber-Gefahrenabwehr zu stärken.
Anti-Malware-Technologien der nächsten Generation sind ebenso unverzichtbar. Dazu zählen zum Beispiel Technologien, die nach Verhaltensmustern von Malware suchen und sie so erkennen. Diese haben ausserdem den Vorteil, dass sie effektiv gegen Zero-Day-Angriffe sind und relativ schnell eingeführt werden können, gegebenenfalls auch als Pilotinstallation auf Abteilungsebene. Big-Data-Analytics-Projekte können sich hingegen über mehrere Jahre erstrecken. Die Mitglieder des SBIC-Rates heben auch die Wichtigkeit der Anwendererfahrung für geschäftliche Produktivitätssteigerungen hervor. Sie empfehlen Investitionen in flexible Methoden für Authentifizierung und Zugangsverwaltung, die Risiken reduzieren. Darüber hinaus evaluiert der Report die neuesten Anforderungen an Cloud-Sicherheitsdienste, die mehr Transparenz und Steuerungsmöglichkeiten bieten.
Konkret gibt der SBIC-Rat drei Empfehlungen zur Einführung von Sicherheitstechnologien:
- Mindestens drei Jahre vorausschauen: Organisationen sollten eine Stärken-Schwächen-Analyse durchführen, die IT an geschäftlichen Anforderungen ausrichten, eine unternehmensweite Big-Data-Strategie entwickeln und externe Prüfer einbinden. Auf dieser Grundlage sollten sie dann Pläne ausarbeiten, welche Sicherheitsfähigkeiten benötigt werden, um sich vor einer dynamischen Bedrohungslandschaft zu schützen.
- Durch Integration einen umfassenden Überblick erhalten: Heute werden in der Regel die grössten Erfolge erzielt, wenn Informationen aus einer Vielzahl von Anwendungen zusammengeführt und konsolidiert werden. Mittlerweile gibt es Technologien, mit denen Systeme zur Datenanalyse, Sicherheitsanwendungen und GRC-Plattformen (GRC = Governance, Risk and Compliance) einfacher miteinander integriert werden können. Der Vorteil für Unternehmen ist, dass eine sorgfältig integrierte Systemlandschaft weit leistungsfähiger ist als ihre einzelnen Bestandteile.
- mit formalisierter Technologieprojektierung den Nutzen erhöhen: Führende Sicherheitsteams empfehlen formelle Konzepte für Sicherheitsprojekte, um Risiken proaktiv zu begegnen. Diese Empfehlung haben die Experten im Wissen darüber ausgesprochen, welche Tücken der technologische Wandel bereithält. Probleme verursachen ausserdem Budgetzwänge sowie enttäuschte Erwartungen an neu eingeführte Systeme. Einer der häufigsten Fehler ist laut dem SBIC-Rat mangelnde Vorausplanung der laufenden Betriebskosten neuer Lösungen.
Jacques Boschung, Vice President, Europe West, EMC: „Um eine erfolgreiche Unternehmensentwicklung in der heutigen digitalen Welt zu gewährleisten, müssen Sicherheitsteams ihr Cyber-Risiko-Management überdenken, weg von einer reaktiven, perimeter-basierten Herangehensweise, hin zu einer proaktiven Zusammenarbeit mit dem Unternehmen. Die im SBIC Report beschriebenen Prozesse zeigen exemplarisch auf, wie Unternehmen die Sichtbarkeit möglicher Risiken erhöhen können.“ (EMC/mc)
Über den Security for Business Innovation Council
Der Security for Business Innovation Council (SBIC) ist eine Gruppe von Top-Sicherheitsexperten aus den „Global 1000“- Unternehmen. Sie haben sich dazu verpflichtet, die Informationssicherheit weltweit zu erhöhen, indem sie ihre unterschiedlichen beruflichen Erfahrungen und Erkenntnisse miteinander teilen. Das SBIC publiziert regelmässige Reports, die die Rolle der Informationssicherheit für die unternehmerische Innovation beleuchten. Der SBIC-Report „Informationssicherheit im Wandel – Zukunftsorientierte Prozesssteuerung“ ist der dritte einer dreiteiligen Serie über die Einführung von Informationssicherheit der nächsten Generation. Zum aktuellen Report trugen insgesamt 18 Sicherheitsexperten bei.
