Übersicht
Der Schutz von IT-Ressourcen und Daten vor externen und internen Bedrohungen ist komplex. Bei der Entwicklung einer Sicherheitsstrategie ist es wichtig, zu ermitteln, welchen Bedrohungen ein Unternehmen ausgesetzt ist, welche Ressourcen geschützt werden müssen und wer für was verantwortlich ist.
In diesem Whitepaper werden wir die Unterschiede und Gemeinsamkeiten zwischen Cybersicherheit und IT-Sicherheit vergleichen. Wir werden die Rolle des CIO (Chief Information Officer) erörtern (der den Prozess der Ermittlung von Risiken beaufsichtigt und sicherstellt, dass das Unternehmen ausreichend geschützt ist) und untersuchen, wie sich die Tools unterscheiden, die von den Teams für Cybersicherheit und IT-Sicherheit benötigt werden.
Was ist Cybersicherheit?
Cybersicherheit ist die Anwendung von Kontrollen, Prozessen und Technologien zum Schutz von Daten und Geräten vor Cyberangriffen. Cybersicherheit wird oft als Oberbegriff verwendet, der zahlreiche Möglichkeiten zum Schutz von Daten, Servern und der Datenverarbeitung von Endnutzern umfasst. Letztendlich zielt Cybersicherheit darauf ab, das Gesamtrisiko von Cyberangriffen zu verringern und Systeme, Netzwerke und Technologien vor unbefugter Nutzung zu schützen.
Cyberkriminalität kostet Unternehmen jedes Jahr Tausende von Dollar und verursacht massive Störungen in Unternehmen. Jedes Jahr hat etwa die Hälfte aller Unternehmen in den USA und im Vereinigten Königreich mindestens ein Sicherheitsproblem.
Altman Vilandrie & Company, eine Strategieberatungsgruppe, hat unter 400 IT-Entscheidungsträgern in 19 Branchen eine Umfrage durchgeführt. Diese hat ergeben, dass 48 % der Unternehmen in den USA von einer Sicherheitsverletzung betroffen waren. Und im Vereinigten Königreich ergab eine vom Ministerium für Kultur, Medien und Sport (DCMS) in Auftrag gegebene Umfrage a survey commissioned dass ein durchschnittliches britisches Unternehmen in den letzten 12 Monaten 998 Sicherheitsverletzungen registriert hat - 13 % dieser Unternehmen wurden täglich angegriffen.
IT-Sicherheit vs Cybersicherheit
IT-Sicherheit umfasst einen Teil der traditionellen Sicherheitsmethoden wie die Roten Teams, die Blauen Teams, Ethical Walls und Penetrationstests. Aber im Gegensatz zur Cybersicherheit bezieht sich die IT-Sicherheit auf den Schutz von Servern, Netzwerken, Computern und Informationen, unabhängig davon, ob sie mit einem öffentlichen Netz wie dem Internet verbunden sind.
IT-Sicherheitsfunktionen können Aufgaben wie das Einrichten einer Richtlinie für sichere Passwörter für Windows Server Active Directory (AD) und die Bereitstellung eines sicheren Zugriffs auf Netzwerkfreigaben auf einem Datenserver umfassen. Der Begriff Cybersicherheit ist zwar neuer, umfasst aber ein breiteres Spektrum an Disziplinen als die IT-Sicherheit allein. Dennoch gibt es erhebliche Überschneidungen zwischen IT-Sicherheit und Cybersicherheit.
Wer ist gefährdet?
Es ist wichtig zu beachten, dass nicht nur große Unternehmen oder Finanzorganisationen von Sicherheitsbedrohungen betroffen sein können. Alle Arten von Unternehmen sind gefährdet, unabhängig von ihrer Größe oder Branche. In der Realität spielt es keine Rolle, ob ein Unternehmen 5 Nutzer, 500 Nutzer oder mehr hat. Unternehmen sind dazu verpflichtet, Kunden-, Firmen- und Mitarbeiterdaten zu sichern und zu schützen.
Letztendlich sind Cybersicherheit und IT-Sicherheit ein Teil der Informationssicherheitsmaßnahmen jedes Unternehmens, um Computer, Netzwerke und Programme vor unbefugtem Zugriff zu schützen.
Wer ist zuständig für Cyber- und IT-Sicherheit?
Es ist wichtig, zu verstehen, dass jeder Teil eines Unternehmens von Sicherheitsproblemen betroffen werden kann. Die verschiedenen Arten von Angriffen auf Unternehmen können sich unterschiedlich auf die Abteilungen auswirken, aber alle Firmenbereiche sind mit den Problemen konfrontiert - unabhängig davon, ob sie nun allgemein oder speziell sind.
Betrachtet man die IT-Organisation in ihrer Gesamtheit, so gibt es Teams, die sich sämtlich auf Aspekte der Sicherheit eines Netzwerks konzentrieren. Diese Teams sind z.B. Für Firewalls zuständig, die nur bestimmten Ports und Protokollen den Zugang durch einen spezifischen Port auf einer IP-Adresse oder einem Bereich von IP-Adressen erlauben.
Im Bereich der Datenspeicherung gibt es möglicherweise ein Team, das sich mit dem Digital Rights Management (DRM) befasst, um sicherzustellen, dass Informationen im Falle eines Verstoßes nicht außerhalb des Unternehmens verwendet werden können. Dieses Team ordnet die Daten nach Sensibilität und Notwendigkeit. Es ist auch die erste Anlaufstelle, wenn Daten nach außen dringen oder gestohlen werden.
Dann gibt es die eigentlichen Teams zur Datenverarbeitung. Weil sie glauben, dass der Punkt, an dem die Daten verarbeitet werden, essenziell ist, verschlüsseln sie die Daten immer und stellen sicher, dass nur die richtigen Personen auf die Daten zugreifen können - entweder durch privilegierten Zugang oder auf andere Weise.
Alle diese Fachbereiche sind wichtig. Aber das schwächste Glied in diesen Bereichen sind nicht die Daten, die Dringlichkeit, die Verarbeitung oder das Netzwerk - es sind die Menschen.
Die Rolle des Chief Information Officer (CIO)
Als CIO ist es wichtig, alle Risiken im Auge zu behalten. Dazu gehört, dass man weiß, wo die Daten gespeichert sind, ob sie verschlüsselt sind, ob sie bei der Übertragung verschlüsselt werden sollten und welche Programmierschnittstellen (APIs) zur Verarbeitung der Daten verwendet werden.
IT-Sicherheitsrichtlinien
Viele Unternehmen verfügen über IT-Sicherheitsrichtlinien und es liegt in der Verantwortung der Mitarbeiter, an den entsprechenden Schulungen teilzunehmen und sich an die Richtlinien und Verfahren zu halten. Diese Richtlinien können spezifisch für den Arbeitsplatz und die mit ihm verbundenen Risiken sein. Unterschiedliche Teams, unterschiedliche Probleme.
Das Verständnis und das Bewusstsein der Mitarbeiter sind der Schlüssel zum Schutz von Systemen und Daten. Jeder Mitarbeiter muss dafür verantwortlich sein, Informationen zu schützen.
Über das Netz, die Dienste und das Rechenzentrum hinaus
Durch die Einführung starker IT-Sicherheitsrichtlinien auf der Grundlage einer Risikobewertung des Unternehmens kann die IT-Abteilung definieren, welche Richtlinien und Verfahren alle Mitarbeiter befolgen müssen, um die Sicherheit von Daten und Systemen zu gewährleisten.
Im Folgenden werden drei wichtige Aspekte der IT-Sicherheit aufgeführt, die üblicherweise in einem Dokument zu den IT-Sicherheitsrichtlinien enthalten sind. Diese Verantwortlichkeiten werden in der Regel von IT-Sicherheitsteams wahrgenommen und nicht von den Teams für Cybersicherheit.
1. Speichern von Daten an sanktionierten Orten
Die Speicherung von Unternehmensdaten an Orten, die angemessen geschützt sind, unabhängig davon, ob diese Daten sensibles geistiges Eigentum oder persönlich identifizierbare Informationen (PII) enthalten, ist wichtig für die Sicherung des zukünftigen Betriebs eines Unternehmens.
2. Sichere Passwörter
Es müssen starke Passwörter durchgesetzt werden: Das ist eine grundlegende Sicherheitsmaßnahme. Schwache Passwörter lassen eine Tür offen, durch die jemand versuchen kann, auf Daten und Systeme zuzugreifen. Ein gutes und starkes Passwort besteht aus einer Folge von Buchstaben, Zahlen oder anderen Zeichen - je länger, desto besser.
Es ist wichtig, die Mitarbeiter dazu anzuhalten, ihre Passwörter nicht aufzuschreiben oder in ihrem Telefon oder einer Tabelle aufzubewahren. Wenn Mitarbeiter Schwierigkeiten damit haben, sollten sie ermutigt werden, einen Passwortmanager zu verwenden, der einen sicheren Tresor zur Verwaltung aller geschäftlichen Passwörter des Endnutzers an einem einzigen Ort bereitstellt.
3. Privileged access management (PAM)
Die Verwaltung privilegierter Zugriffe ist der Prozess der Verwaltung und Kontrolle des Zugangs zu privilegierten Konten. PAM ist in jedem Unternehmen unabhängig von seiner Größe von entscheidender Bedeutung.
PAM kontrolliert den Zugriff privilegierter Nutzer auf Systeme. Ein privilegierter Nutzer ist eine Person, die eine erhöhte Zugangsberechtigung zu einem Netzwerk, Computer, System oder einer Funktion hat und die dazu autorisiert ist, Funktionen auszuführen, zu denen normale Nutzer und solche mit erhöhten Rechten nicht berechtigt sind.
Letztendlich reduziert PAM die Bedrohungen für Systeme und Daten, auf die Nutzer nicht mehr zugreifen sollen. PAM verwendet Kontrollen zur Identifizierung und zur Authentifizierung, um das Risiko eines unbefugten Zugriffs zu kontrollieren. So sorgt es für die korrekte Verwaltung von Nutzerkonten und die Überprüfung der Nutzung ihres privilegierten Zugriffs.
PAM-Richtlinien sollten die Verwendung eines Passwort-Tresors und eine Zwei-Faktor-Authentifizierung vorsehen. Idealerweise sollte eine PAM-Lösung direkt mit Active Directory (AD) und Office 365 zusammenarbeiten, um eine rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) auf Geschäftssysteme zu ermöglichen, ohne dass die Erstellung neuer Konten in einem anderen System nötig werden.
Die Realität von Cybersicherheit und IT-Sicherheit
Während die Teams für Cybersicherheit mit Penetrationstests beschäftigt sind und das Blaue Team das Netzwerk vor externen Bedrohungen verteidigt, sind die IT-Sicherheitsexperten für die operativen Aspekte der alltäglichen Sicherheitsprobleme zuständig. Dazu gehört die Authentifizierung von Nutzern und die Autorisierung des Zugriffs von Mitarbeitern auf die IT-Ressourcen, die sie zur Erfüllung ihrer Aufgaben benötigen.
Es liegt auf der Hand, dass die Tools, die die IT-Sicherheitsexperten benötigen, um ihren Verpflichtungen zum Schutz des Unternehmens nachzukommen, sich von denen derer unterscheiden, die für die Cybersicherheit zuständig sind.
Bei der Sicherheit geht es nicht nur darum, alle Schwachstellen zu schließen, ohne dabei die Produktivität der Mitarbeiter einzuschränken. Lösungen für Cybersicherheit und IT-Sicherheit müssen nicht nur funktionieren, sondern den Endnutzern auch das Arbeiten ermöglichen. Oft finden wir uns in einer restriktiven Situation wieder, in der wir ein Unternehmen und seine Mitarbeiter einschließlich des IT-Teams daran hindern, das zu tun, was für den Erfolg nötig ist.
Sicherheit und Produktivität haben ein gemeinsames Ziel: die Förderung des Unternehmens. Bei dem Entwurf einer Sicherheitsstrategie und ihrer operationalen Einbindung treffen Sicherheit und Produktivität aufeinander.
Worauf läuft das Ganze hinaus? Es geht darum, die Unterbrechung der Geschäftstätigkeit zu minimieren. Wenn die Auswirkungen eines neuen Prozesses für die Mitarbeiter zu überwältigend sind, wird sich dies letztendlich negativ auf die Sicherheit auswirken. Dadurch entsteht eine neue Schwachstelle für das Unternehmen: Die Mitarbeiter werden versuchen, eine Notlösung oder andere Methoden zu finden, um ihre Arbeit zu erledigen.
Sicherheitslösungen sollten nicht im Widerspruch zur Produktivität stehen. Vielmehr sollten die im Rahmen von Sicherheitsmaßnahmen erfassten Daten beweisen, dass Sicherheitslösungen die Produktivität fördern.
Je leistungsfähiger die Sicherheitslösung ist, desto besseren Einblick können wir bieten und die Verbesserung der Sicherheit bewerten, ebenso wie jede Verhaltensanalyse für die Produktivität. Entscheidend ist es, die Akzeptanz und das Verständnis zu fördern, sowie durch Verhinderung und Unterbindung von Sicherheitsverstößen die Dienstleistungen des Unternehmens zu schützen.
Fazit
Die Welt bewegt sich weg von standardisierten Sicherheitsprozessen wie Penetrationstests und Datenverschlüsselung. Das größte Risiko für jedes Unternehmen ist jedoch nicht das Netzwerk, die Server oder das Rechenzentrum, sondern die Mitarbeiter.