Im Bereich der Cybersicherheit ist die Entwicklung eines umfassenden Plans oder einer Roadmap von entscheidender Bedeutung. Dieser Plan sollte technische Lösungen, Protokolle für den Vorfallumgang und das menschliche Element umfassen. Bevor der Plan initiiert wird, muss man sich der verschiedenen Lösungen, Software, Prozesse, Aktivitäten und Risiken bewusst sein, die in ihrer Umgebung vorhanden sind.
Um eine Cybersicherheits-Roadmap von Grund auf aufzubauen, ist der erste Schritt die Sammlung von Informationen über die Umgebung. Dies kann auf verschiedene Arten geschehen, je nach Größe, Struktur und IT-Fähigkeiten der Organisation. Typischerweise erhalten Organisationen die erforderlichen Informationen durch Kommunikation mit verschiedenen Abteilungen, Nutzung von Windows Event Log/Syslog, Ausführung von Skripten und Erstellung von Berichten. Eine andere Möglichkeit besteht darin, eine Endpoint Detection & Response (EDR)-Lösung wie Crowdstrike, Microsoft Defender for Endpoint oder Sentinel One zu nutzen, die auf den meisten Endgeräten installiert werden muss, um brauchbare Informationen zu sammeln. Dieser Ansatz gewährleistet die Sicherheit der Geräte und liefert gleichzeitig eine Liste aller installierten Software sowie Versionen und Schwachstellen. Kleinere und mittelgroße Organisationen, die nicht weit verstreut sind und eine einfache und schnelle Kommunikation zwischen den Standorten haben, nutzen in der Regel den ersten Ansatz. Im Gegensatz dazu können größere Organisationen, die bereits eine EDR-Lösung implementiert haben, sich für den letzten Ansatz entscheiden, da sie Informationen aus verschiedenen Regionen sammeln müssen, was aufgrund von Bandbreitenbeschränkungen, Satellitenverbindungen und Zeitunterschieden herausfordernd sein kann. Die von einer EDR-Lösung gesammelten Informationen werden direkt in die Cloud gesendet, anstatt an einen zentralen Ort weitergeleitet zu werden, und der Datenupload ist optimiert, um Staus zu minimieren, insbesondere in Satellitenverbindungen. Sobald die erforderlichen Informationen mithilfe einer EDR-Lösung gesammelt wurden, müssen die Informationen nur noch von den Standorten bestätigt werden.
Die Entwicklung eines Cybersicherheitsplans, der Sicherheit und Transparenz in allen Bereichen der IT gewährleistet, einschließlich Kommunikation (E-Mail, MS Teams, Cisco Webex, Slack, etc.), Server und Arbeitsstationen, Identitäten, Cloud-Ressourcen und SaaS-Anwendungen, muss als eine einzige, symbiotische Lösung für die nächsten drei Jahre entwickelt werden. CISOs und IT-Sicherheitsteams müssen die Benutzerfreundlichkeit der vorgeschlagenen Lösungen, ihre Integration in die Umgebung und untereinander, ihre Auswirkungen auf aktuelle operative Prozesse und Mitarbeiter, das für Bereitstellung und Verwaltung der Lösungen erforderliche Wissen und wer die Umgebung überwachen wird, berücksichtigen. Das Nichtbefolgen dieser Richtlinien kann dazu führen, dass suboptimale Lösungen bereitgestellt werden, die nicht symbiotisch zusammenarbeiten und zu zusätzlichen Kosten führen.
Ein weiterer entscheidender Aspekt der Cybersicherheit, der gleichzeitig angegangen werden muss, ist die Vorbereitung eines Vorfallreaktionsplans und -teams. Organisationen müssen einen klar definierten Prozess für die Erkennung und Reaktion auf Vorfälle haben, einschließlich regelmäßiger Überprüfungen von Vorfällen, die von Sicherheitstools generiert oder von einem externen Security Operation Center (SOC) gemeldet wurden, Threat Hunting und Tischübungen, um die Wirksamkeit des Plans zu testen. Das Incident-Response-Team muss klare Rollen und Verantwortlichkeiten haben und darauf trainiert sein, Vorfälle effektiv zu handhaben.
Der dritte Bereich der Cybersicherheit, der oft übersehen wird, ist das menschliche Element und das Management. Cybersicherheit ist nicht nur ein IT-Problem, sondern ein Geschäftsproblem. Die Bedeutung der Cybersicherheit muss dem Management und allen Mitarbeitern kommuniziert werden. Schulungen zur Sicherheitsaufklärung sollten allen Mitarbeitern angeboten werden, um ihnen zu helfen, ihre Rolle bei der Aufrechterhaltung der Sicherheit der Organisation zu verstehen. Das Management spielt eine entscheidende Rolle dabei, sicherzustellen, dass Cybersicherheit innerhalb der Organisation ernst genommen wird, indem es die erforderlichen Ressourcen und Unterstützung für die IT-Abteilung bereitstellt, um die richtigen Sicherheitslösungen bereitzustellen und sicherzustellen, dass Prozesse implementiert sind, um Vorfälle zu erkennen und darauf zu reagieren. Sie müssen auch sicherstellen, dass Cybersicherheit Teil der Gesamtgeschäftsstrategie ist.
Zusammenfassend umfasst Cybersicherheit mehrere Säulen: IT-Lösungen, Menschen und Führung, die zusammenarbeiten müssen, um eine gut gesicherte Umgebung zu schaffen. Die IT-Abteilungen müssen eine Cybersicherheits-Roadmap und einen Vorfallreaktionsplan durch eine Kombination von Tools, Prozessen und Menschen entwickeln. Das Management spielt eine entscheidende Rolle dabei, sicherzustellen, dass Cybersicherheit innerhalb der Organisation ernst genommen wird, und jeder innerhalb der Organisation hat eine Rolle bei der Aufrechterhaltung der Sicherheit der Organisation.