Die Digitale Transformation verändert nachhaltig die Art, in der Applikationen und Services entwickelt, bereitgestellt und genutzt werden. Daraus entsteht auch eine Vielzahl neuer technischer und geschäftlicher Herausforderungen für Fachleute aus den Bereichen Sicherheit, Risikomanagement und Compliance. Ein Best-Practice-Leitfaden unterstützt CISOs bei der Bewältigung der Risiken in der digitalen Ära.
Projekte rund um die Digitale Transformation stellen CISOs und alle Verantwortlichen für Informationssicherheit vor neue Herausforderungen. Dabei gehören zu den zentralen Aufgaben die Überprüfung und Adaptierung vorhandener Sicherheitssysteme und -prozesse, um den gestiegenen Anforderungen an Agilität, Skalierbarkeit und Mobilität in der Cloud-basierten, digitalen Welt gerecht zu werden.
Für die stärkere Verankerung des Themas Sicherheit bei Projekten der Digitalen Transformation sind vor allem die Sensibilisierung der Führungskräfte, die Bereitstellung angemessener Finanzmittel und die Umsetzung einer stringenten Security-Strategie von entscheidender Bedeutung. CISOs müssen dabei nicht auf der grünen Wiese starten, denn es gibt etablierte Verfahren für die erfolgreiche und sichere Durchführung digitaler Projekte. Bei einer Befragung von CISOs durch CyberArk und die Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers (PwC) konnten fünf Best Practices herauskristallisiert werden: die Beachtung des Security-by-Design-Prinzips, die Etablierung einer Security-First-Kultur, die Integration von Sicherheit in DevOps-Prozesse, die individuelle Risikobewertung und die Einbindung der Führungsebene.
Beachtung des Security-by-Design-Prinzips
Es ist nach wie vor die Regel, dass bei Projekten der Digitalen Transformation die Sicherheit nicht von Anfang an berücksichtigt wird. Ein solches Vorgehen ist weder sicher noch kosteneffizient. Zu den Best Practices gehören das Verfolgen eines proaktiven Ansatzes für das Risikomanagement und die Beachtung von Sicherheitsanforderungen vom ersten Projekttag an. Nur so kann ein Unternehmen die Risiken maximal eindämmen und die Ergebnisse der digitalen Transformation verbessern, ohne nachträgliche Kosten für Sicherheitsmaßnahmen in Kauf nehmen zu müssen.
Etablierung einer Security-First-Kultur
Die Schaffung einer sicherheitsorientierten Unternehmenskultur ist von elementarer Bedeutung. Jeder Entwickler, Testingenieur oder Systemadministrator sollte sich persönlich für die Cybersicherheit verantwortlich fühlen. Und Security-Awareness-Trainings sollten verpflichtend sein – mit einer kontinuierlichen Aufklärung über Cybersicherheits-Trends und Best Practices. Innovative CISOs fördern eine Kultur der Sicherheit, verbessern die Kommunikation und etablieren Sicherheit als eine Kernkompetenz des gesamten Unterneh-mens.
Natürlich kann eine Unternehmenskultur nicht über Nacht geändert werden, aber durch eine Steigerung des allgemeinen Sicherheitsbewusstseins und die Ausstattung der Entwickler mit den richtigen Tools und Ressourcen können die Weichen in die richtige Richtung gestellt werden. Außerdem ist es unerlässlich, die wichtige Rolle, die Sicherheit bei der digitalen Transformation spielt, unternehmensweit zu kommunizieren und eine aktive Beteiligung einzufordern.
Integration von Sicherheit in DevOps-Prozesse
Die Etablierung einer Security-First-Kultur bedeutet auch, dass Sicherheit integraler Bestandteil von DevOps-Prozessen sein muss. DevOps muss somit zu DevSecOps weiterentwickelt werden.
Ein richtig aufgesetzter DevSecOps-Prozess dämmt Risiken ein, ohne das Tempo der Entwicklung zu verlangsamen. Mit DevSecOps können Entwicklungs-, Test-, Sicherheits- und Betriebsexperten Hand in Hand arbeiten – von der Konzeption bis zur Bereitstellung von Anwendungen. Durch die Automatisierung von Sicherheitstests, die Integration von Schwachstellenanalysen in bestehende DevOps-Tools und -Prozesse und die Einbindung von Sicherheits-Services direkt in die Anwendungen können Entwickler qualitativ hochwertigeren und gleichzeitig risikoärmeren Code generieren, und zwar schnell und kosteneffizient.
Individuelle Risikobewertung
Die Bewertung von Risiken der Digitalen Transformation und die Priorisierung von Investitionen in die Cybersicherheit sind für viele Un-ternehmen eine Herausforderung. Vielfach limitieren begrenzte Budgets CISOs bei der Anschaffung von Sicherheitsprodukten und der Durchführung von Sicherheitstests.
Bei jedem Projekt der Digitalen Transformation sollten CISOs deshalb das Risiko hinsichtlich Sicherheit und Compliance individuell bewerten. Auf dieser Basis müssen sie dann von Fall zu Fall Investitionsentscheidungen treffen. Durch die exakte Analyse jedes Pro-jekts mit einer Ermittlung der genutzten Daten, einer Bewertung interner und externer Bedrohungen und einer Evaluierung aller beteiligten Systeme und Anbieter über den gesamten Anwendungslebenszyklus hinweg können Unternehmen das Risiko reduzieren und zielgerichtete Investitionsentscheidungen treffen.
Einbindung der Führungsebene
Zu den Aufgaben von CISOs gehört, die Vorstands- und Geschäfts-führungsebene über sicherheitsrelevante Themen auf dem Laufenden zu halten. Die Einbindung der Leitungsebene ist unverzichtbar, um „top down“ eine sicherheitsorientierte Unternehmenskultur zu etablieren. Zudem ist damit eine Voraussetzung für die Bereitstellung erforderlicher Budgets für Cybersicherheitsprogramme geschaffen. CEO und Vorstand benötigen zwar keine Details, aber allgemeine Informationen zum Sicherheitsstatus des Unternehmens oder zur aktuellen Bedrohungslandschaft sollten auch auf der Leitungsebene immer vorhanden sein. Außerdem muss die Führung immer über die Risikobewertung neuer Programme in Kenntnis gesetzt werden – und das gilt insbesondere für Projekte im Rahmen der Digitalen Transformation, da sie die Grundlage der zukünftigen Geschäftsprozesse und des Geschäftserfolgs darstellen.
Dass die Digitale Transformation nicht mehr aufzuhalten ist, wird kaum ein Unternehmen bestreiten. Dafür sind die Vorteile zu umfangreich: von der Beschleunigung der Geschäftsprozesse über die Steigerung der Produktivität und Reduzierung von Kosten bis hin zur Verbesserung der Customer Experience. Dabei darf aber nicht ver-gessen werden, dass traditionelle Sicherheitsansätze und -praktiken, die für konventionelle Anwendungen und Services konzipiert sind, den gestiegenen Anforderungen der digitalen Welt an Agilität und Skalierbarkeit nicht gerecht werden. Unternehmen müssen einen neuen Blick auf die Sicherheit werfen, um im digitalen Zeitalter erfolgreich zu sein.
Die fünf genannten Best Practices geben CISOs ein erstes Hilfsmittel an die Hand, um das generelle Bewusstsein für Cybersicherheit zu schärfen, die Gewohnheiten von Mitarbeitern zu verändern und die Finanzierungsprobleme und organisatorischen Barrieren zu überwinden, die digitale Transformationsprogramme oft behindern. Die Schaffung einer Kultur der Sicherheit und die Integration von Sicherheit in die Entwicklung und den Betrieb von Anwen-dungen können dazu beitragen, die Digitale Transformation des Unternehmens zu beschleunigen und gleichzeitig die Risiken zu minimieren.