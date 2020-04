In Zeiten von COVID-19 und dem damit verbundenen wirtschaftlichen Abschwung dreht sich alles ums Budget. [...]

Jahrelang schienen die Sicherheitsbudgets nur in eine Richtung zu gehen: nach oben. Noch im Februar dieses Jahres gaben rund 62% der Unternehmen an, ihre Ausgaben für die Cybersicherheit bis 2020 erhöhen zu wollen, so eine Studie der Analysefirma ESG.

Aber das war damals.

Wie ihre Kollegen aus der C-Suite werden CISOs heute aufgefordert, mehr mit weniger zu leisten – und das wird wahrscheinlich noch eine Weile so bleiben, da die Welt in diesen unsicheren wirtschaftlichen Zeiten einfach weitergeht.

Eine im April von IDG durchgeführte Umfrage ergab, dass 35% der IT-Führungskräfte damit rechnen, dass ihre Budgets infolge von Covid-19 und dem damit verbundenen wirtschaftlichen Abschwung zurückgehen werden, und für 45% von ihnen ist das Ausgabenmanagement inzwischen zu ihrem Hauptschwerpunkt geworden.

„Man hat nie genug Geld, man hat nie genug Leute für die Arbeit, die erledigt werden muss. Aber die Aufgabe des CISO besteht jeden Tag aufs Neue darin, Risiken zu reduzieren, also muss man wirklich klug sein, wie man die Dinge angeht“, meint Curt Dalton, Geschäftsführer und globaler Leiter der Sicherheits- und Datenschutzpraxis bei der Beratungsfirma Protiviti.

Mit diesem Gedanken im Hinterkopf bieten Dalton und mehrere andere führende Sicherheitsexperten ihre Ideen an, wie sie und andere CISOs mehr aus ihren Sicherheitsbudgets herausholen können:

Automatisierung erhöhen

Führungskräfte im gesamten Unternehmen wenden sich der robotergestützten Prozessautomatisierung (RPA) und anderen Automatisierungstechnologien zu, um Prozesse zu beschleunigen und die Effizienz zu steigern. Auch CISOs sollten Automatisierungsmöglichkeiten nutzen, erklärt Dalton und stellt fest, dass die Effizienz von RPA es CISOs in der Regel erspart, Mitarbeiter für sich wiederholende Aufgaben einzustellen, während sie gleichzeitig in der Lage sind, vorhandenes Personal auf höherwertige Aufgaben zu verlagern. Die Automatisierung trägt auch dazu bei, einige der Herausforderungen bei der Suche nach qualifiziertem Sicherheitspersonal zu erleichtern, was zu weiteren finanziellen Einsparungen führt.

Dalton zufolge kann die Automatisierung von Teilen des Identitäts- und Zugriffsmanagements (IAM), bei dem in der Regel intensive manuelle Aufgaben anfallen, besonders gute Erträge bringen, ebenso wie die Automatisierung der Vorfallsreaktion.

CISOs sind bereits auf dem besten Weg: Der CISO-Benchmark-Report 2020 von Cisco ergab, dass 77% der 2.800 befragten Sicherheitsexperten, planen, die Automatisierung in ihren Sicherheitsökosystemen zu erhöhen.

Ihr Team ausgleichen

Dalton leitete einst eine Sicherheitsabteilung, in der die 15 Mitglieder seines Teams für die Bedrohungsanalyse und -abwehr völlig ausgelastet waren und oft zusätzlich zu ihrer üblichen Arbeitswoche noch Nächte und Wochenenden einlegten. Andererseits hatte sein Risikobeurteilungsteam im Laufe des Jahres mehrere arbeitsreiche Perioden, hatte aber sonst moderatere Zeitpläne.

Um das Ungleichgewicht der Arbeitsbelastung zu beheben, schulte Dalton Mitarbeiter des Risikobeurteilungsteams gegenseitig, damit sie einen Teil der Arbeit des Risikobeurteilungsteams während jener langen Zeitabschnitte übernehmen konnten, in denen das Risikobeurteilungsteam eine geringere Arbeitsbelastung hatte.

Dalton erklärt, dass viele CISOs möglicherweise feststellen, dass die Evaluierung und Neuanpassung der Personalstärke bestehender Teams ihnen ersparen kann, mehr Leute einstellen zu müssen (einer der kostspieligsten Faktoren in jedem Unternehmen), während gleichzeitig die Widerstandsfähigkeit des Teams verbessert und die Moral durch Cross-Training und Höherqualifizierung gestärkt wird.

Risiko überprüfen und neu ausrichten

CISOs haben viel Zeit mit taktischer Arbeit verbracht, aber diese taktischen Projekte bringen möglicherweise nicht viel Nutzen, wenn es darum geht, ihre Unternehmen vor den größten Risiken zu schützen, denen sie ausgesetzt sind, so Kayne McGladrey, Mitglied der technischen Berufsorganisation IEEE und ehemalige CISO bei Pensar Development.

McGladrey empfiehlt Sicherheitsleitern, die Risiken, denen ihre Organisationen ausgesetzt sind, regelmäßig neu zu bewerten, die größten Risiken zu identifizieren und ihre Investitionen auf diese Risiken neu auszurichten.

„Es ist an der Zeit, einen Blick auf die größten Risiken für das Unternehmen zu werfen und zu fragen: ‚Wir können nur drei Dinge wirklich gut, also sind diese auf unsere Risiken ausgerichtet oder sind sie auf irgend etwas anderes ausgerichtet? Es geht darum, Geld in das zu investieren, was den größten Wert schafft, und nicht in das, was gut aussieht“, sagt McGladrey.

Neuverhandlung mit Anbietern

Angesichts der sich verschlechternden Wirtschaftslage könnten die CISOs bessere Angebote für die Produkte finden, mit denen sie ihre Geschäfte betreiben – aber sie müssen sich um diese Angebote bemühen. „Es geht hier wirklich darum, dass CISOs nach Möglichkeiten suchen, mehr Wert zu einem besseren Preis zu erwerben“, erklärt McGladrey.

Er empfiehlt den CISOs, die in ihren Organisationen verwendeten Sicherheitsprodukte zusammen mit den Anbietern, die sie liefern, zu evaluieren und zu bestimmen, welche am wichtigsten sind, welche den besten Wert erbringen und welche es wert sind, zu besseren Preisen und Bedingungen eingekauft zu werden.

„Oder vielleicht haben Sie den Vertrag noch nicht unterzeichnet, so dass es ein guter Zeitpunkt sein könnte, nach niedrigeren Preisen zu fragen oder sich die Konkurrenz anzusehen“, fügt er hinzu. „Und wenn Sie sich etwas ansehen und sagen können: ‚Wir brauchen es eigentlich gar nicht‘, dann können Sie es streichen.

Abtrennung des Sicherheitsbudgets von der IT

Nathan Beu, ein Direktor in der Technologie-Praxis bei West Monroe Partners, einer Management-Beratungsfirma, hat Sicherheit in mehreren Unternehmen als eine Aussparung innerhalb des größeren IT-Budgets erlebt. Er stellt fest, dass an diesen Orten die Finanzierung der Sicherheit an zweiter Stelle hinter den Bedürfnissen der IT steht, so dass der Sicherheitsleiter nicht in der Lage ist, alle seine Mittel effektiv einzusetzen, weil das Budget ziemlich prekär ist.

Er und sein Kollege David Chaddock, ein leitender Manager in der in Chicago ansässigen Technologiepraxis von West Monroe Partner, weisen auf einen besonderen Fall hin, bei dem die Sicherheitsausgaben eines Gesundheitsunternehmens Teil des größeren IT-Budgets waren, das unter der Kontrolle des CIO stand. Die IT-Bedürfnisse hatten im Allgemeinen Vorrang, so dass der CISO sich um eine stabile Finanzierung bemühte, um die erforderlichen Talente zu gewinnen. Stattdessen setzte der CISO Entwickler aus dem IT-Team ein, um Lücken zu füllen, eine Situation, die laut Chaddock „alle möglichen Schwachstellen eröffnete“.

Beu empfiehlt CISOs, sich für einen autonomen Sicherheitshaushalt einzusetzen, der es ihnen ermöglicht, zuverlässige mehrjährige Ausgabenpläne und -projektionen zu erstellen, damit sie längerfristige Investitionen in Menschen und Technologie tätigen können, die sie für angemessen halten – eine Planung, die nicht nur dazu beiträgt, dass sie gute Vertragsbedingungen und ein qualifiziertes Team erhalten, sondern auch ihre Sicherheitslage in diesem Prozess verbessert.

Mehr externe Ressourcen nutzen

Der 2020 State of Cybersecurity-Report von ISACA, einem Berufsverband, der sich auf IT-Governance konzentriert, zeigte, dass bei den meisten CISOs weiterhin Personalprobleme herrschen. Der Bericht stellte fest, dass 62% der über 2.000 befragten Cybersicherheitsexperten angeben, ihr Team sei unterbesetzt und 57% hätten unbesetzte Stellen.

Und, wie CISOs wissen, sind Talente nicht nur schwer zu finden, sondern auch teuer einzustellen und zu halten; ZipRecruiter beziffert das durchschnittliche Jahresgehalt für einen Cybersicherheits-Fachmann in den Vereinigten Staaten im April 2020 auf 100.439 Dollar pro Jahr.

CISOs, die ihre Gelder maximieren wollen, sollten ihren Personalbedarf prüfen und feststellen, ob einige Positionen oder Funktionen ausgelagert werden könnten, sagt Beu. Zum Beispiel könnten CISOs feststellen, dass die Einstellung von Managed-Service-Providern für einige hochspezialisierte Fähigkeiten, die nicht in Vollzeit benötigt werden, Geld sparen könnte, oder sie könnten spezialisiertes Fachwissen und Dienstleistungen von bestehenden Anbietern als Teil bereits bestehender Verträge nutzen.

Trainieren Sie mit einem knappen Budget

Thomas Johnson, CISO bei der ServerCentral Turing Group, einem AWS-Cloud-Beratungsunternehmen, implementierte bei einem früheren Unternehmen ein Schulungsprogramm zur Sicherheitshygiene für Benutzer, ein Schulungsprogramm, das er für ein paar hundert Mitarbeiter unter Verwendung seiner eigenen PowerPoint-Präsentation zusammen mit Skype und dem Microsoft Stream Video-Sharing-Dienst zur Verteilung des Materials zusammenstellte. Johnson zufolge sollten sich CISOs an interne Experten wenden, insbesondere an ihre Personal- und/oder Schulungsteams, um Sicherheitsschulungen für die Organisation durchzuführen.

Dazu gehört auch die Schulung ihrer eigenen Sicherheitsteams.

„CISOs neigen dazu, zu denken, dass niemand außerhalb des Sicherheitsdienstes ein Sicherheitsschulungsmodul anbieten kann, aber die Schulungsabteilung im Unternehmen voll auszuschöpfen, könnte gute Ergebnisse bringen“, so Johnsson. Er fügt hinzu, dass die Verwendung von internen Schulungsprogrammen und Modulen, die bereits vom Schulungsteam gekauft wurden, die Schulungskosten für die Sicherheit in Grenzen hält und gleichzeitig eine schnelle und einfache Möglichkeit für die Mitarbeiter bietet, auf Schulungsmaterial zuzugreifen.

Vorhandene Tools maximieren

John Shaffer, der als CIO bei der unabhängigen Investmentbank Greenhill auch die Sicherheitsfunktion innehat, will das bekommen, wofür er bezahlt.

„Das Wichtigste ist, das, was man bereits hat, auch wirklich zu testen“, so Shaffer. „Ich glaube, dass die Leute all diese Tools einsetzen, um ein Kästchen anzukreuzen oder irgendeine Art von Anforderung für einen Rahmen zu erfüllen oder eine Prüfung zu bestehen, aber woher wissen Sie wirklich, dass sie funktionieren? Man muss sie testen und sicherstellen, dass sie das tun, was sie versprechen.“

Dazu habe er, so sagt er, eine Plattform des Softwareherstellers Randoori implementiert, um Schwachstellen in seiner Sicherheitshaltung zu identifizieren, „und dann die Füße dieser Anbieter ins Feuer zu halten“, wobei er jegliche Unterleistungen nutze, um eine bessere Abdeckung oder Vertragsbedingungen auszuhandeln oder einen neuen Anbieter zu finden, der bessere Leistungen erbringe.

„Es kann dazu führen, dass Sie etwas finden, das die gleiche Arbeit besser oder billiger macht. Es kommen immer mehr Anbieter auf den Markt, so dass Sie mehr Einfluss auf die Kostenverhandlungen haben“, fügt er hinzu.

Wechsel zur Best-of-Suite

Seit Jahren suchen Sicherheitsbeauftragte nach Best-of-Breed-Sicherheitstools für die verschiedenen Funktionen innerhalb ihrer Sicherheitsumgebung. Michael Coden, Leiter der Cybersicherheitspraxis bei BCG Platinion, einem Teil der Boston Consulting Group, sagt jedoch, dass ein Best-of-Suite-Ansatz, bei dem ein einziger Kauf mehrere Tools liefern kann, eine bessere finanzielle Option sein könnte. Der Best-of-Suite-Ansatz könnte nicht nur weniger kosten, sondern die CISOs werden wahrscheinlich feststellen, dass sie die Zeit für die Schulung ihrer Mitarbeiter verkürzen können, da sie nur ein Tool – nicht viele – beherrschen müssen. Ebenso könnten CISOs feststellen, dass sie weniger Personal (und damit weniger Geld) für die Überwachung und Verwaltung eines einzigen Best-of-Suite-Tools gegenüber mehreren Best-of-Breed-Lösungen einsetzen müssen.

Überprüfung geschäftsgeführter Initiativen auf zusätzliche Sicherheitskosten

Führungskräfte vieler Unternehmen, insbesondere größerer Organisationen, bauen oft einige ihrer eigenen Kompetenzen auf Abteilungsebene auf, einschließlich ihrer eigenen Sicherheitstools für Pet Projekte oder besondere Initiativen.

Das kann zu einer Duplizierung von Sicherheitssystemen innerhalb des Unternehmens führen, von denen viele oder alle unter verschiedenen Anbietervereinbarungen gekauft wurden, was die Kosten schnell in die Höhe treibt.

„Sie sehen, dass verschiedene Abteilungen in einem Unternehmen unterschiedliche Sicherheitsteams haben und sie alle Tool X kaufen werden, jedes vielleicht für eine andere Funktion. Aber wenn sie zusammenkämen, könnte der CISO mit dem Verkäufer über einen niedrigeren Preis verhandeln“, meint Coden.

Er fügt hinzu: „Die Zentralisierung des Erwerbs und der Verwaltung von Cyber-Sicherheitstools ist wirklich wichtig, um die Kosten [im Zaum] zu halten“.

Coden berichtet, dass er ein ähnliches Szenario bei Cloud-Implementierungen erlebt habe, bei denen verschiedene Geschäftseinheiten ihre eigenen Cloud-Services oder SaaS-Angebote mit Sicherheitsfunktionen und -tools als Teil der Anschaffungen gekauft hätten. Die Sicherheitsteams verwalten diese Sicherheitstools dann schließlich selbst, was zusätzliche Komplexität und Kosten für sie bedeutet. Oder wenn die Cloud-Käufe der einzelnen Geschäftseinheiten dasselbe Sicherheitsangebot umfassen, kann dies zu doppelten Kosten führen.

In all diesen Fällen könnten die CISOs ihren Umsatz maximieren, indem sie alle Käufe auf Abteilungsebene überprüfen und dann Duplikate und Komplexitäten eliminieren, so Coden und rät den CISOs, Standards und Rahmenbedingungen zu schaffen, die den Geschäftsführern helfen, solche Situationen und damit verbundene zusätzliche Kosten in Zukunft zu vermeiden.

*Mary K. Pratt ist freiberufliche Journalistin mit Sitz in Massachusetts.