CISO Voices: Die wachsende Rolle des CISOs als Kommunikationsexperten – Teil 4
Vor Kurzem sprach Jenny Radcliffe im Podcast „Human Factor Security“ mit Daniela Almeida. Als Kommunikations- und Kulturwissenschaftlerin kennt sich Daniela Almeida gut mit Menschen aus. Heute setzt sie dieses Wissen als Chief Information Security Officer (CISO) im niederländischen Fintech-Unternehmen Tinka ein. Der Faktor Mensch spielt schließlich eine entscheidende Rolle beim effektiven Schutz von Unternehmen.
Nachfolgend finden Sie eine Zusammenfassung von Daniela Almeidas Gedanken über personenzentrierte Sicherheit, das Vermächtnis der Pandemie und die Sprache der CISOs.
Übersetzung von Cyberrisiken in Unternehmensrisiken
Es ist nicht leicht, Cyberrisiken in eine Sprache zu übersetzen, die in der allgemeinen Geschäftswelt verstanden wird. Wenn ein Unternehmen wachsen will, eine andere Richtung einschlagen möchte oder vor einer großen Entscheidung steht, liegt es an uns, die damit verbundenen Risiken und alle potenziellen Auswirkungen aufzuzeigen, damit der Vorstand eine fundierte Entscheidung treffen kann.
Um effektiv mit dem Vorstand zusammenarbeiten zu können, müssen wir jedoch die gleiche Sprache sprechen. Es nützt nichts, nur Angst zu erzeugen. Wenn jede Präsentation aus „Wir werden alle sterben“ besteht, hört bald keiner mehr zu. Stattdessen sollten wir die Risiken mit begreifbaren Konsequenzen in Zusammenhang bringen.
Wenn ein Unternehmen seine Produkte im Internet verkauft, sollten wir auf die Bedrohungen eingehen, die eine Gefahr für die Online-Präsenz darstellen. Wir sollten uns auf die Risiken konzentrieren, die das Unternehmen bereits bedrohen bzw. es bedrohen werden, und ein Bedrohungsprofil entwickeln. Vor allem sollten wir versuchen, alle ins Boot zu holen und zusammen Prioritäten festzulegen, sodass niemand einen Tunnelblick entwickelt.
Über die langfristigen Folgen der Pandemie
Die Pandemie hat das Bewusstsein der Menschen für Cybersicherheit sicherlich geschärft, da die Risiken aus dem Arbeitsumfeld ins Homeoffice verlagert wurden. Betrugsversuche wie solche mit COVID-19-Themen fühlen sich eher wie ein Angriff an, wenn sie in den eigenen vier Wänden passieren. Das steigert das Bedürfnis, sich zu schützen.
Doch bei der Rückkehr ins Büro sind viele unsicher und fragen sich, ob sie immer noch die gleichen Vorsichtsmaßnahmen einhalten müssen. Erschwerend kommt hinzu, dass die Cyberkriminellen im Rahmen der Pandemie immer kreativer und raffinierter geworden sind, wodurch die Situation heute sehr dynamisch ist. (Mehr über Statistiken zu diesem Verhalten finden Sie im Proofpoint-Bericht zum Faktor Mensch für 2022.)
In den letzten Jahren gab es eine Zunahme bei Spearphishing-Angriffen. Bedrohungsakteure nutzen soziale Netzwerke und andere Quellen, um ihre Erfolgschancen zu erhöhen. Ich frage mich, wohin das führt, wenn Cyberkriminelle immer wieder neue Wege finden, Mitarbeiter ins Visier zu nehmen.
Im Mittelpunkt steht der Mensch
Unternehmen bestehen aus Menschen. Ganz gleich, welche Konfigurationen oder Sicherheitsmechanismen zum Einsatz kommen – dahinter sitzen immer Menschen.
Die menschliche Ebene gilt häufig als das schwächste Glied. Ich glaube jedoch, dass es zum stärksten werden kann. Wenn wir wissen, welche Fehler ein Risiko darstellen, können wir Gegenmaßnahmen ergreifen. Und wenn es gelingt, den Menschen zu vermitteln, auf welche Weise Bedrohungsakteure angreifen, können wir den Anwendern beibringen, geschickt mit den Gefahren des Internets umzugehen und so eine Schutzmauer errichten.
Doch um dies umzusetzen, müssen wir in Bewusstsein investieren. Es geht dabei nicht nur um allgemeines Bewusstsein, sondern um Schulungen zur Steigerung des Sicherheitsbewusstseins, die auf bestimmte Bedrohungen, Angriffsmethoden, Positionen und anderes zugeschnitten sind.
Außerdem müssen wir bedenken, dass die Illusion von Wissen gefährlicher ist als Unwissenheit. Beim Aufbau effektiver Schutzmaßnahmen müssen die IT- und Cybersicherheitsteams deshalb darauf achten, sich in ihrem Verständnis über die neuesten Bedrohungen und deren Gefahren nicht selbst zu überschätzen.
Möchten Sie mehr von CISOs hören?
In unserem Podcast „CISO Voices“ können Sie sich das vollständige Interview von Jenny Radcliffe mit Daniela Almeida sowie weitere Folgen anhören. Jenny Radcliffes Human Factor Security-Podcasts bietet auch weitere interessante Einblicke von Cybersicherheitsexperten. Und halten Sie Ausschau nach der nächsten Folge der Podcast-Serie, in der Bridget Kenyon von Thales zusammen mit Jenny Radcliffe über Cybersicherheit diskutiert – von Hochdramatischem bis zum Alltäglichen.
Proofpoint CISO Hub
In unserem CISO Hub finden Sie regelmäßig aktuelle Informationen zur Cybersicherheitsforschung, Einblicke sowie Ressourcen speziell für CISOs auf der ganzen Welt.