Die Ernennung eines zentralen Entscheidungsträgers, der umfassende Sicherheitsstrategien plant und umsetzt, ist für viele Organisationen noch immer keine Selbstverständlichkeit. Zu diesem Ergebnis kommt eine Umfrage, welche Check Point im Februar dieses Jahres auf seinem Forum Cyber Talk vorgestellt hat.
Um innerhalb einer Organisation eine Sicherheitsarchitektur strategisch anzulegen und erfolgreich aufrechtzuerhalten, bedarf es einer zentralen Führungsfigur, welche die hierzu erforderlichen Maßnahmen anleitet und begleitet. Dies ist das Aufgabengebiet eines Chief Security Officers (CSO), beziehungsweise eines Chief Information Security Officers (CISO).
Ein wichtiger Posten. Doch haben sich bislang nur wenige Organisationen zur Einsetzung eines solchen Entscheidungsträgers entschließen können. In der im Frühjahr von Check Point veröffentlichten Umfrage gaben nur 40 Prozent der Befragten zu Protokoll, dass ihre Organisation dieses Amt mittlerweile besetzt habe. 33 Prozent sahen sich außerstande, eine Angabe zu machen; 27 Prozent waren überzeugt, dass ihr Arbeitsplatz derzeit weder über einen CSO, noch über einen CISO verfüge. Dabei ist die Ernennung eines solchen Entscheidungsträgers für den effektiven Aufbau einer umfassenden Sicherheitsstrategie eigentlich unerlässlich.
Zu diesem Erkenntnis war im vergangenen Jahr zumindest der 2018 Hiscox Cyber Readiness Report gekommen. In ihm waren Organisationen im Hinblick auf ihre Maßnahmen zur Cybersicherheit beurteilt und in drei Kategorien eingeteilt worden: 73 Prozent wurde hierbei ein niedriges, 16 Prozent ein mittleres und lediglich 11 Prozent ein hohes Sicherheitsniveau bescheinigt. Dabei konnte ein deutlicher Zusammenhang zwischen dem festgestellten Sicherheitsniveau und dem Grad der Einbindung von Entscheidungsträgern festgestellt werden. Während Organisationen mit niedrigem Sicherheitsniveau nur zu 26 Prozent über einen zentralen Entscheidungsträger und zu lediglich 38 Prozent über eine formelle Unterstützung durch ihr Management verfügten, lagen diese Werte bei Organisationen mit hohem Sicherheitsniveau bei 52 beziehungsweise 86 Prozent – mit entsprechend positiven Auswirkungen auf die Effizienz ihrer Sicherheitsarchitekturen. 89 Prozent der Organisationen mit hohem Sicherheitsniveau besaßen eine klar definierte Sicherheitsstrategie. Und für fast alle – 97 Prozent – beinhaltete der strategisch angelegte Schutz auch regelmäßige Sicherheitstrainings für die gesamte Belegschaft.
Letztere sind ein klares Muss für eine effiziente, strategisch angelegte Sicherheitsarchitektur. Dieser Auffassung ist auch das US-amerikanischen National Institute of Standards and Technology (NIST). In seinem Framework for Improving Critical Infrastructure Cybersecurity – dessen Anwendungsbereich sich nicht allein auf Organisationen der kritischen Infrastrukturen beschränkt – werden Awareness- und Security-Trainings der Belegschaft mehrfach angeraten. Denn regelmäßige Security Awareness Trainings können die strategische Bedeutung der Mitarbeiter für den Sicherheitsapparat spürbar erhöhen. Die Sicherheitsarchitektur einer Organisation kann hier mit relativ einfachen Mitteln um einen bedeutenden Baustein erweitert werden, der ihr Risiko, Opfer eines Angriffs zu werden, deutlich reduziert.