Der CISO-Risikokalkül: Auf dem schmalen Grat zwischen Paranoia und Wachsamkeit navigieren

Sind Sie bereit, Ihrer Marke mehr Bekanntheit zu verleihen? Erwägen Sie, Sponsor der AI Impact Tour zu werden. Erfahren Sie hier mehr über die Möglichkeiten.

Ich bin in Israel geboren und aufgewachsen und erinnere mich an das erste Mal, als ich mich in ein amerikanisches Einkaufszentrum wagte. Der Parkplatz war voller Autos und die Leute drängten sich umher, aber ich konnte nicht herausfinden, wo sich der Eingang befand. Es dauerte ein paar Minuten, bis mir klar wurde, dass die Einkaufszentren in den USA im Gegensatz zu Israel nicht vor jeder Tür bewaffnete Wachen und Metalldetektoren haben.

Ich teile diese Anekdote oft, um das Konzept der „gesunden Paranoia“ im Bereich der Cybersicherheit zu beleuchten. So wie die politische Realität Israels seinen Bürgern zu Recht einen Zustand ständiger Wachsamkeit hinsichtlich der physischen Sicherheit eingeflößt hat, muss der CISO von heute auch bei seinen Mitarbeitern ein ähnliches Ethos pflegen, um sie auf eine sich ständig weiterentwickelnde Reihe digitaler Bedrohungen vorzubereiten und zu schützen.

Natürlich haben CISOs von Natur aus keine andere Wahl, als wegen all der Dinge, die schief gehen können, paranoid zu sein. Umgekehrt werden andere in einer Organisation normalerweise nicht paranoid, bis etwas Schlimmes passiert.

Wo ziehen Sie also die Grenze zwischen nützlicher Wachsamkeit und schwächender Paranoia?

VB-Ereignis

Die AI Impact Tour

Treten Sie mit der Unternehmens-KI-Community auf der AI Impact Tour von VentureBeat in eine Stadt in Ihrer Nähe in Kontakt!

Erfahren Sie mehr

Paranoia braucht einen Zweck

Von den Benutzern zu verlangen, dass sie ständig wachsam bleiben, ist sowohl unrealistisch als auch kontraproduktiv. Auf psychologischer Ebene kann anhaltende Wachsamkeit geistig erschöpfend sein und oft zu Müdigkeit und Burnout führen. Wenn Einzelpersonen ständig aufgefordert werden, in höchster Alarmbereitschaft zu sein, kann dies zu verminderten kognitiven Funktionen, verringerter Produktivität und erhöhter Fehleranfälligkeit führen. Eine solche Wachsamkeitsmüdigkeit kann letztendlich die Vorteile der Wachsamkeit zunichte machen und Menschen anfälliger für Fehler machen.

Lesen Sie auch  38 % der Spiele in Brasilien wurden für mobile Geräte entwickelt

Diese Tendenzen werden im Zeitalter des Null-Vertrauens noch verstärkt, in dem wir aufgefordert werden, „niemals zu vertrauen und immer zu überprüfen“. Es ist leicht zu verstehen, wie manche diesen Erlass auf die Spitze treiben und die Grenzen zwischen gesundem Skeptizismus und schwächendem Misstrauen verwischen können.

Während die Zero-Trust-Prinzipien in der Cybersicherheit eine strenge Verifizierung und Überwachung befürworten, ist es wichtig, zwischen diesem strategischen Ansatz und einer allumfassenden Paranoia zu unterscheiden, die den Betrieb, die Zusammenarbeit und die Innovation behindern kann.

Bedenken Sie, wie Unternehmen ihre Paranoia bei der Sicherung ihrer Systeme und Daten in einem ungesunden Maße kodifiziert haben.

  • Anspruchsvolle Passwortanforderungen: Heutzutage sind sich die meisten Benutzer der Unzulänglichkeiten von Passwörtern bewusst, ihre Verwendung ist jedoch nach wie vor weit verbreitet. Daher verlangen die meisten großen Unternehmen von ihren Mitarbeitern, dass sie komplexe Kombinationen aus Zeichen, Zahlen und Symbolen verwenden und regelmäßig ändern. Solche Protokolle übersehen jedoch häufig die Tatsache, dass viele Authentifizierungsverletzungen nicht auf das Knacken eines Passworts zurückzuführen sind, sondern durch relativ einfache Social-Engineering-Maßnahmen rückgängig gemacht werden. Wenn Ihr sicheres Passwort darüber hinaus im Dark Web durchsickert, kann keine noch so große Komplexität den Angreifer daran hindern, Credential-Stuffing-Angriffe durchzuführen.
  • Streben nach „Null-Risiko“: Wie bei vielen strategischen Unternehmungen unterliegt auch die Risikominderung häufig dem Gesetz sinkender Erträge. Zu restriktive Sicherheitsmaßnahmen können die Produktivität beeinträchtigen und Benutzer frustrieren, sodass sie nach Workarounds suchen, die unbeabsichtigt neue Schwachstellen schaffen könnten. Während das Streben nach absoluter Sicherheit natürlich lobenswert ist, ist es oft praktischer, Ressourcen den Bereichen zuzuweisen, in denen sie den größten Einfluss auf die Reduzierung des Gesamtrisikos haben.
  • Von Angst getriebene Entscheidungsfindung: Zu oft treffen wir Entscheidungen auf der Grundlage emotionaler Reaktionen, die auf Angst und Unsicherheit beruhen, und nicht auf der Grundlage einer objektiven Analyse und eines rationalen Urteils. Wenn ein Mitarbeiter beispielsweise versehentlich auf eine Malware-Phishing-E-Mail klickt, könnte die aus Angst getriebene Reaktion darin bestehen, den Internetzugang für alle Mitarbeiter stark einzuschränken und so die Produktivität und Zusammenarbeit zu beeinträchtigen, anstatt die Ursache durch bessere Schulungen oder differenziertere Zugriffskontrollen anzugehen.
Lesen Sie auch  Google wird nächsten Monat die Registerkarte „Wichtig“ in der Dateien-App schließen und Dokumente löschen

Stärkung der menschlichen Firewall

Manchmal vergessen wir die entscheidende Überlebensrolle, die Paranoia und Angst für das kollektive Überleben unserer Spezies gespielt haben. Unsere frühen Vorfahren lebten in Umgebungen voller Raubtiere und anderer unbekannter Bedrohungen. Eine gesunde Portion Paranoia ermöglichte es ihnen, wachsamer zu sein und potenzielle Gefahren zu erkennen und zu vermeiden.

Die Herausforderung unserer modernen Zeit besteht darin, echte Bedrohungen vom endlosen Lärm falscher Alarme unterscheiden zu können und sicherzustellen, dass unsere angeborene Paranoia und Angst uns dient und nicht behindert. Es erfordert auch, dass wir den menschlichen Faktor im Sicherheitskalkül anerkennen und berücksichtigen.

Wie der verstorbene Kevin Mitnick schrieb: „Da Entwickler immer bessere Sicherheitstechnologien erfinden, die es immer schwieriger machen, technische Schwachstellen auszunutzen, werden Angreifer immer mehr auf die Ausnutzung des menschlichen Elements zurückgreifen.“ Die menschliche Firewall zu knacken ist oft einfach.“

Welche Schritte können Sicherheitsverantwortliche also unternehmen, um diese Instinkte konstruktiver zu nutzen, damit wir Benutzern helfen können, auf diese realen Gefahren aufmerksam zu sein und sie zu meistern, ohne überfordert zu werden? Hier sind einige Strategien, die helfen können.

  • Verfolgen Sie einen Security-by-Design-Ansatz: Während es eine gängige Rhetorik ist, zu behaupten, dass Sicherheit in der Verantwortung jedes Einzelnen liege und sich für eine allgegenwärtige Sicherheitskultur einsetzt, liegt die eigentliche Herausforderung darin, diese Denkweise in die Praxis umzusetzen und Sicherheitsmaßnahmen in das eigentliche Gefüge der Produkt- und Systementwicklung zu integrieren. Um dies wirklich zu erreichen, müssen Sicherheitsprinzipien nahtlos in Prozesse und Praktiken eingebettet werden und sicherstellen, dass sie zu instinktiven Verhaltensweisen und nicht nur zu vorgeschriebenen Aufgaben werden.
  • Betonen Sie die Randfälle: Ein Randfall bezieht sich auf eine Situation oder ein Benutzerverhalten, das außerhalb der erwarteten Parameter eines Systems auftritt. Während beispielsweise die meisten CISOs ihre Bemühungen auf den Schutz vor digitalen Bedrohungen priorisieren, stellt sich die Frage, was passiert, wenn sich jemand physischen Zugang zu einem Serverraum verschafft? Da sich Technologie und Benutzerverhalten weiterentwickeln, könnte das, was heute als Randfall gilt, in Zukunft häufiger vorkommen. Durch die Identifizierung und Vorbereitung dieser Ausnahmesituationen können Sicherheitsteams besser auf eine unsichere zukünftige Bedrohungslandschaft reagieren.
  • Die Sicherheitsschulung muss nachhaltig sein: Sicherheitsschulungen sollten keine einmalige Initiative sein. Obwohl die Festlegung robuster Richtlinien ein entscheidender erster Schritt ist, ist es unrealistisch zu erwarten, dass die Menschen sie automatisch verstehen und konsequent befolgen. Die menschliche Natur ist nicht von Natur aus darauf programmiert, nur einmal präsentierte Informationen zu speichern und darauf zu reagieren. Dabei geht es nicht nur um die Bereitstellung von Informationen; Es geht darum, dieses Wissen durch wiederholtes Training kontinuierlich zu vertiefen. Der gelegentliche Anstoß oder die Erinnerung, auch wenn es sich wie Nörgelei anfühlt, spielt eine wesentliche Rolle dabei, die Sicherheitsprinzipien im Auge zu behalten und die Einhaltung langfristig sicherzustellen.
Lesen Sie auch  Age of Wonders 4 Spielübersicht

Wie Joseph Heller schrieb Catch-22„Nur weil du paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind.“ Es ist eine gute Erinnerung daran, dass in unserer unvorhersehbaren Welt eine gesunde Portion Paranoia die beste Verteidigung gegen Selbstzufriedenheit sein kann.

Omer Cohen ist CISO bei Descope.

DataDecisionMakers

Willkommen in der VentureBeat-Community!

Bei DataDecisionMakers können Experten, einschließlich der Techniker, die mit Daten arbeiten, datenbezogene Erkenntnisse und Innovationen austauschen.

Wenn Sie mehr über innovative Ideen und aktuelle Informationen, Best Practices und die Zukunft von Daten und Datentechnologie erfahren möchten, besuchen Sie uns bei DataDecisionMakers.

Vielleicht erwägen Sie sogar, einen eigenen Artikel beizutragen!

Lesen Sie mehr von DataDecisionMakers

Recent News

Tags
als Auf aus bei Das Dass dem den der des die ein eine einem einen Einer Fußball FÜR gegen haben hat IST MEHR MIT nach Nachricht neue nicht sich SIE sind Sport tägliche Post Und Von Vor wegen werden Wie wird Wirtschaft Würde zum zur über

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Hosted by Byohosting - Most Recommended Web Hosting - for complains, abuse, advertising contact: o f f i c e @byohosting.com

Copyright 2023 Germanic.News. All rights reserved.