3 Security-Tipps für CISOs für 2018

F-Secure experts say companies should focus on educating people and getting the basics right when looking at improving their cyber security.

Verfasser: F-Secure Business Security Insider
Datum: 29. Januar 2018
Lesedauer: 3 Minuten

Menschen machen den Unterschied

Im Gespräch über die Sicherheitsmaßnahmen in der Cybersecurity, die den größten Einfluss haben, weist Tomi Tuominen, Practice Leader für Technical Security Consultancy und Cyber Intelligence bei den Cyber Security Services von F-Secure, auf drei Dinge besonders hin:

  • Investieren Sie in gutes Personal
  • Investieren Sie in gutes Personal
  • Investieren Sie in gutes Personal

Die Schulung von Anwendern und das Einräumen von genügend Zeit zur Weiterbildung und Zertifizierung für die Administratoren sind ebenfalls Kernelemente für Marvin Jackson, Technical Capability Manager von F-Secure. Menschliche Fehler sind das sich wiederholende Element bei vielen erfolgreichen Cyberattacken. Deshalb sollte das Schaffen von Sicherheitsbewusstsein bei den Angestellten höchste Priorität haben.

Bleiben Sie bei den Grundlagen

Viele Unternehmen suchen nach einer Wunderwaffe, aber sollten sich auf die Kernpunkte der Cybersicherheit fokussieren. Grundlegende Maßnahmen wie Patch Management, schnelles Reagieren auf Vorfälle, solide Backup-Prozesse, Netzwerksegmentierung etc. sind zeitaufwendig und benötigen einen hohen Aufwand. Tuomo Makkonen, Principal Security Consultant der Cyber Security Services von F-Secure gibt CISOs deshalb folgenden Rat:

Bleiben Sie bei den Grundlagen. Es ist nicht notwendig, hochkomplex zu werden, wenn noch keine guten Vorsorgemaßnahmen, Erkennungsmaßnahmen, Reaktionsmuster und Prozesse verfügbar sind. Im Normalfall ist das Geld, das in extravagante Next-Generation-Lösungen gesteckt wird, besser angelegt in einer Sicherstellung, dass das, was bereits vorhanden ist, so effizient wie möglich funktioniert.

Die Empfehlung unseres Senior Security Consultant Antti Laatikainen ist genau die Selbe:

Althergebrachte IT ist nicht verschwunden. Es gibt jetzt die Cloud, Container, die neuesten Mikroservices und vieles mehr. Aber auf der anderen Seite gibt es Patching, Verstärkung von Services, Firewalls, Netzwerksegmentierung und Einbruchserkennung.

Und, was sehen wir am meisten? Riesige flache Netzwerke, Altsysteme und -Server, die noch als Produktionssysteme laufen, ungepatchte Systeme und Angriffsflächen in der Größe von Fußballfeldern. Ich liebe all die neuen und tollen Sachen, aber hier kann man eine Lektion lernen: Man muss sich erst um ein gutes Fundament kümmern, um ein stabiles Haus bauen zu können. Das ist nun mal wie es läuft.

Denken Sie ganzheitlich

Cybersicherheit sollte als ein niemals endender Prozess mit ständigen Entwicklungen gesehen werden; als ein ganzheitlicher Ansatz, mit dem Attacken vorhergesagt, verhindert, erkannt und auf sie reagiert werden kann, was dann das Unternehmen bei der Erreichung der sich stetig verändernden strategischen Ziele unterstützt. Marvin Jackson fasst zusammen: „Denken Sie nicht über ‚diese eine Sache‘ nach, sondern denken Sie ganzheitlich darüber nach, wie Sie die Sicherheit des Unternehmens verbessern können.“

„Wenn Sie einen Prozess noch nicht verifiziert oder getestet haben, verlassen Sie sich auf Annahmen. Und wir alle wissen, was Annahmen mit Leuten machen“, so Tom Van de Wiele, Principal Security Consultant bei F-Secure und Red Teaming Profi. Tom ermutigt Unternehmen dazu, sich die eigene Situation wirklich ehrlich anzuschauen:

Erkennen und verstehen Sie, welche Daten wirklich wertvoll sind und unbedingt geschützt werden müssen und beginnen Sie darauf basierend mit einer Analyse der Schwachstellen, um herauszufinden, wo Sie stehen und wo Sie hin wollen. Verbessern Sie Ihre Möglichkeiten zum Monitoring als Teil Ihrer Abwehrstrategie. Akzeptieren Sie, dass es zu Angriffen kommen wird. Alles weitere findet sich.

Vorfälle geschehen und werden immer weiter passieren, solange man Cybersicherheit als eine einmalige Aufgabe betrachtet. Die Ratschläge unserer Experten, um Ihre Cybersicherheit dieses Jahr zu verbessern, sind deshalb: konzentrieren Sie sich auf einen ganzheitlichen Ansatz, um effektiv Attacken vorauszusagen, zu verhindern, sie zu erkennen und dann auf sie zu reagieren. Schulen Sie Ihre User stetig und kümmern Sie sich um die Grundlagen. Keine Wunderwaffe, nur harte Arbeit. Und vergessen Sie nicht, dass Sie jederzeit Hilfe von Experten wie Tom Van de Wiele bekommen können:

Stellen Sie sich selbst die unangenehmen Fragen, bevor es jemand anderes tut und haben Sie keine Angst vor den Antworten. Das ist alles nicht so einfach. Aber das ist der Grund, warum wir es tun.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s