Das Messen und Sichtbarmachen der Erfolge ihrer Arbeit stellt CISOs und Security-Verantwortliche vor große Herausforderungen. Obwohl die meisten IT-Sicherheitsexperten eine Reihe von Key Performance Indicators (KPIs) verfolgen, fällt es mehr als der Hälfte von ihnen nach wie vor schwer, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten. Laut einer im Auftrag von Thycotic liegt das unter anderem daran, dass rund zwei Fünftel der Befragten die Geschäftsziele nicht kennen (43 %) bzw. nicht gänzlich verstehen (36 %).
Der Analyse zufolge ist die beliebteste Leistungskennzahl der IT-Departments die Anzahl der Sicherheitsverletzungen und Angriffe (49 %) – gefolgt von der Anzahl aller gemeldeten Vorfälle (46 %) und der Ausfallzeiten nach einem Ereignis. Dabei sei es jedoch fraglich, inwiefern diese Kennzahlen geeignet sind, die Leistungen der Sicherheitsteams und die Erfolge neuer Sicherheitsmaßnahmen umfassend widerzuspiegeln. Immerhin geben zwei von fünf der Befragten (45 %) selbst an, dass sie keine Möglichkeit haben, zu messen, welche Auswirkungen die bisherigen Sicherheitsinitiativen auf das Unternehmen haben. 40 Prozent sind zudem gar nicht in der Lage, den Erfolg von Sicherheitsinitiativen nach deren Einführung zu messen bzw. für 39 Prozent hat dies überhaupt keine Priorität.
Fehlende Erfolgsnachweise erschweren die Budgetverhandlungen
Dies sei umso erstaunlicher, als sich diese Unwissenheit und Unklarheiten nachweislich negativ auf die Finanzierung weiterer Sicherheitsprojekte auswirken. Denn bei der Rechtfertigung neuer Sicherheitsausgaben spielt vor allem der ROI früherer Maßnahmen eine Rolle, wie rund die Hälfte der Befragten bestätigt.
Weitere wichtige Faktoren bei Budgetverhandlungen seien Daten und Zahlen, die positive Auswirkungen auf Mitarbeiterproduktivität und Roll-Out-Zeiten belegen (44 %), Hinweise auf Compliance-Anforderungen und entsprechende Bußgelder (40 %) sowie Empfehlungen, die Wettbewerbfähigkeit durch gezieltes Engagement für den Datenschutz zu erhöhen.
Es mangelt an Kommunikation
Erschwerend komme hinzu, dass viele Sicherheitsteams in ihrem Arbeitsalltag so sehr mit der Abwehr von unmittelbaren Bedrohungen und der Reaktion auf Cyberangriffe und Sicherheitsvorfälle beschäftigt sind, dass sie von Herausforderungen anderer Abteilungen nur wenig mitbekommen und dementsprechend auch kein förderlicher Austausch stattfinden kann. So muss fast die Hälfte der Befragten gestehen, keine klare Vorstellung zu haben, wie andere Abteilungen ihre Erfolge messen, und 43 Prozent beklagen, dass Unternehmensziele nicht an sie kommuniziert werden.
Diese mangelnde Kommunikation habe auch Auswirkungen auf die Rolle der IT-Teams im Unternehmen und die Erwartungen an sie. Wie der Thycotic-Report offenbart, glauben nur 21 Prozent der Security-Manager, die an sie gestellten Erwartungen konsequent zu erfüllen. 14 Prozent sind der Meinung, regelmäßig hinter den Erwartungen zurückzubleiben.
Vorteile einer unternehmensweiten Cybersicherheitskultur
„Die Arbeit von IT-Sicherheitsexperten ist oft von reaktiver Natur: Um ihre Leistung zu demonstrieren, suchen sie ständig nach vergangenen Erfolgen. Mit der aktuellen Situation des Unternehmens und dem Gewährleisten eines reibungslosen Arbeitsalltags steht dies aber in keinem Zusammenhang und wird der tatsächlichen Rolle des Security-Teams deshalb auch nicht gerecht. Vielmehr stehen die Teams ständig unter Druck, einen positiven Eindruck bei Geschäftsführung, Vorstand und Kollegen zu hinterlassen“, kommentiert Joseph Carson, Chief Security Scientist und Advisory CISO bei Thycotic, die Ergebnisse der Befragung.
„Eine gute Möglichkeit, dieser negativen Entwicklung entgegenzuwirken, ist die Einführung einer unternehmensweiten Cybersicherheitskultur. Jedes Unternehmen sollte dazu einen Cyber-Botschafter ernennen, der sowohl technisch versiert als auch kommunikativ ist und eine abteilungsübergreifende Zusammenarbeit unterstützt, die darauf abzielt, alle Abteilungen frühzeitig vor potenziell schädlichen Aktivitäten zu warnen. Dies fördert eine proaktivere Auseinandersetzung mit dem Thema IT-Security und hilft Unternehmen, Sicherheitsprobleme nachhaltig zu reduzieren.“