CISA stellt ihre Cybersecurity-Strategie 2023-2025 vor

Jedes Jahr um diese Zeit machen sich die Verantwortlichen für Cybersecurity Gedanken, um eine Art von Strategie für das kommende Jahr zu entwerfen. Es ist immer etwas schwierig, eine genaue Cybersecurity-Strategie festzulegen, da sich die Art der Bedrohungen wie immer stets weiterentwickeln wird. Die Cybersecurity und Infrastructure Security Agency (CISA) hat jedoch freundlicherweise einen strategischen Plan für die Jahre 2023 bis 2025 veröffentlicht, den viele Cybersecurity-Führungskräfte vielleicht einfach übernehmen möchten.

Das 37-seitige Dokument ist nicht übermäßig reglementierend, skizziert jedoch grob die Cybersecurity-Ziele, auf deren Erreichung jeder innerhalb einer Organisation hinarbeiten sollte. Aus der Sicht einer Unternehmens-IT-Organisation lassen sie sich wie folgt zusammenfassen:

1. Eine Vorreiterrolle bei den Anstrengungen zur Gewährleistung von Verteidigung und Widerstandsfähigkeit spielen, um die Abwehr von Cyberangriffen und Vorfällen zu erleichtern. Im Rahmen dieser Anstrengungen sollten sich Organisationen auf die Verbesserung ihrer Fähigkeiten konzentrieren, Cyber-Bedrohungen aktiv zu erkennen, kritische Cyber-Schwachstellen aufzudecken und zu mindern und IT-Umgebungen nach Möglichkeit standardmäßig zu sichern.
2. Reduzierung der Risiken kritischer Infrastrukturen durch Verbesserung der Sichtbarkeit über Investitionen in Risikoanalysetools, um die Zuordnung begrenzter Ressourcen besser zu priorisieren.
3. Stärkung der operativen Zusammenarbeit und des Informationsaustausches unter Stakeholdern.
4. Integration von Funktionen, Fähigkeiten und Belegschaft, um ein einheitliches Cybersecurity-Team zu schaffen, das auf einer exzellenten Unternehmenskultur basiert.

Erschaffen Sie Ihren Polarstern

Die meisten Cybersecurity-Experten verstehen intuitiv, worum es geht. Aus ihrer Sicht stellt sich die Frage, welche Mittel dafür zur Verfügung gestellt werden. Schließlich bestimmen die verfügbaren Ressourcen in der Regel, welche Taktiken zur Bekämpfung der unterschiedlichen Arten von Risiken eingesetzt werden können. Das Festlegen einer Strategie ist jedoch wichtig, denn sie schafft, wie CISA-Direktorin Jen Easterly es beschrieb, einen „Polarstern“, der alle daran erinnert, wie und warum Mittel für die Cybersecurity zugewiesen werden müssen, insbesondere in Stresssituationen.

Im Rahmen dieses Auftrags teilte Jen Easterly dem Cybersecurity Advisory Committee mit, dass die Agentur plant, sich auf die Frage zu konzentrieren, „was Vorstände und Führungskräfte tun müssen, um Cybersecurity-Risiken effektiv zu managen", und zwar über einen Unterausschuss, der gebildet wird, um dieses spezifische Ziel voranzutreiben.

Schwierige Entscheidungen

Seit dem Aufkommen von Ransomware wissen Führungskräfte den Wert von Cybersecurity natürlich so sehr zu schätzen wie nie zuvor. Etwas zu schätzen ist jedoch nicht immer gleichbedeutend mit Verstehen. In einer Zeit, in der viele Führungskräfte schwierige wirtschaftliche Entscheidungen treffen müssen, gehört Cybersecurity nicht gerade zu den Bereichen, in denen man mit weniger mehr erreichen kann.

Es besteht immer die Möglichkeit, Budgets so umzuverteilen, dass die Effizienz gefördert wird, aber da Cyberangriffe weiterhin an Umfang und Raffinesse zunehmen, wird jede Kürzung von Ausgaben mit Sicherheit das Geschäftsrisiko erhöhen. Es mag Umstände geben, unter denen keine andere Wahl getroffen werden kann, aber Führungskräfte müssen genau verstehen, welche Kompromisse eingegangen werden.

In der Zwischenzeit bietet sich Cybersecurity-Experten die einzigartige Gelegenheit, innerhalb ihrer Organisation eine Führungsrolle zu übernehmen. Perfekte Cybersicherheit mag zwar unerreichbar sein, aber je größer das Bewusstsein für die Bedrohungslage wird, desto mehr werden die meisten Mitglieder eines Unternehmens auf Cybersecurity-Experten setzen, nicht nur zwecks Beratung, sondern auch in Bezug auf Zielstrebigkeit und Zuversicht.

Journey Notes abonnieren