Zusammenfassung der neuesten Trends von der Infosecurity Europe 2023

Messen haben die Tendenz, das Publikum zu polarisieren. Viele Cybersecurity-Experten rollen mit den Augen, bei der Aussicht, durch Hunderte von Anbieter-Ständen in einem Gebäude von der Größe eines Flugzeughangars zu navigieren, das meilenweit vom Büro entfernt liegt. Aber Vortragsprogramme auf Konferenzen sind eine andere Sache. Hier liegt der Wert von Infosecurity Europe. Seit rund einem Vierteljahrhundert nutzen Vordenker und Branchenexperten die Messe, um ihre Erkenntnisse auszutauschen.

Auch wenn die Auswahl der Vortragenden kein demokratischer Prozess ist, kann das Konferenzprogramm dennoch einen nützlichen Einblick darin geben, welche Themen auf dem Markt das größte Interesse wecken. Interessanterweise wurde ungeachtet des ganzen Hype die KI auf der Keynote-Bühne zugunsten vertrauterer Themen außer Acht gelassen: Kultur, Compliance, Fähigkeiten und Strategie.

Hier sind meine fünf Erkenntnisse aus den drei Tagen auf der Messe:

1. Unternehmen müssen außerhalb festgefahrener Bahnen denken, um Qualifikationsprobleme zu bewältigen

Wir alle wissen, dass die Security-Branche unter einem Mangel an Cybersecurity-Experten leidet. Im Vereinigten Königreich mangelt es an fast 57.000 Cybersecurity-Experten und weltweit sind es laut ISC2 über 3,4 Millionen. Aber Organisationen tun sich selbst auch keinen Gefallen. Experten haben festgestellt, dass man sich bei Stellenbeschreibungen zu sehr auf Zertifizierungen verlässt, was den Pool der potenziellen Bewerber*innen unnötig einschränkt. Security-Teams sollten nach Möglichkeit versuchen, Stellen aus nicht-technischen Bereichen intern zu besetzen. Und wenn es ein externes Vorstellungsgespräch ist, kann es von Vorteil sein, den Prozess für die Kandidatinnen und Kandidaten entspannter zu gestalten, um festzustellen, was deren wahres Potenzial ist. Andernfalls landen nur diejenigen in den Top-Jobs, die Vorstellungsgespräche mit Bravour bestehen und am Ende sind sie möglicherweise nicht die besten Kandidatinnen und Kandidaten.

2. Unternehmen müssen mehr für die Neuro-Integration tun

Am dritten Tag der Show appellierte Dan Harris, CEO von Neurodiversity in Business, leidenschaftlich an die Security-Experten, sich in ihren Vorständen für mehr Neuro-Inklusion einzusetzen. Obwohl bis zu jeder Fünfte der Belegschaft neurodivergent sein könnte, schöpfen Organisationen deren Fähigkeiten nicht so gut aus, wie sie könnten, argumentierte er. In einigen Fällen werden geeignete Kandidatinnen und Kandidaten zu Unrecht ausgeschlossen, weil man sich zu sehr auf bestimmte Zertifizierungen verlässt. Der Handlungsaufruf von Dan Harris an die Branchenexperten war, ihren Einfluss in der Organisation für das Gute zu nutzen, indem sie sich für Neurodiversität-Programme an ihrem Arbeitsplatz einsetzen. Angesichts der Tatsache, dass einige Arbeitgeber heute aktiv nach neurodiversen Kandidatinnen und Kandidaten suchen, warnte er: „Wenn Sie es nicht tun, tun es Ihre Konkurrenten.“

3. Wir brauchen DevSecUserOps

Nach zwei Jahren der digitalen Transformation im Zeitalter der Pandemie, könnte man denken, es wären zahlreiche Erkenntnisse darüber gewonnen worden wie wichtig es ist, Security von vornherein in Projekte zu integrieren. Nun, dem ist nicht so, sagen Experten am zweiten Tag der Messe. Sie erklärten, dass die Unternehmen immer noch schnell handeln und Fehler machen, aber nicht unbedingt aus den Erfahrungen lernen. Die unzureichende Schulung der Mitarbeitenden wurde in diesem Zusammenhang als großes Versagen hervorgehoben, das potenziell zu Cyberrisiken führen kann. Tatsächlich belaufen sich die Kosten eines Insider-Bedrohungsvorfall inzwischen auf fast 7 Millionen USD.

Dave Cartwright von Santander International wendete ein, dass obwohl DevSecOps bei weitem nicht universell ist, Organisationen über ein weiteres Element nachdenken sollten – den Benutzer. Bei DevSecUserOps geht es darum, Endbenutzer frühzeitig in den Entwicklungsprozess einzubeziehen, damit das Endprodukt etwas ist, das sie sowohl haben als auch verwenden möchten. Er argumentierte, dass dadurch eine Menge Zeit und Geld bei späteren Schulungen eingespart werden könne.

4. Konformität bedeutet nicht gleich Sicherheit

Das mag offensichtlich erscheinen, ist aber dennoch eine Überlegung wert. Es liegt an der Anzahl der Organisationen, deren Compliance-Ansatz immer noch von einer Denkweise des Kästchen-Ankreuzens bestimmt ist. Da das regulatorische Umfeld immer komplexer wird, lohnt es sich, einen Moment innezuhalten und sich daran zu erinnern, dass gute Security zwar Compliance-Programme unterstützt, Compliance jedoch keine effektive Security garantiert. Die Experten waren sich einig, dass die Kluft zwischen der Compliance auf dem Papier und der zugrunde liegenden Realität vor Ort erheblich sein kann. Wenn sie ein bestimmtes Framework oder eine bestimmte Rechtsvorschrift in Betracht ziehen, wäre es für Security-Teams wahrscheinlich besser, sich auf den Geist als auf den Buchstaben des Gesetzes zu konzentrieren und dann darüber nachzudenken, wie sie diese Absicht im Kontext ihrer eigenen Organisation anwenden können.

5. IoT und APIs stellen eine wachsende Bedrohung dar

Die Hauptredner der Messe neigen glücklicherweise dazu, sich eher auf anspruchsvolle Strategiethemen zu konzentrieren als auf tiefgreifende Technologiediskussionen fixiert zu sein. Doch zwei neue Bedrohungen waren auffällig. Das Internet der Dinge (IoT) ist alles andere als neu, aber Experten von Forrester und Transport for London zufolge, hat es aufgrund seiner wachsenden Beliebtheit bei den Nutzern die Aufmerksamkeit von Cyberkriminellen auf sich gezogen. Die Analystin Madelein van der Hout stellte fest, dass der Anteil der Unternehmen, die Angriffe erleben, bei denen der Zugriff auf ihre Netzwerke über IoT-Geräte versucht wird, in den ersten Monaten 2023 von 41 % auf 54 % gestiegen ist. Die Beliebtheit des Homeoffice wird den Trend nur beschleunigen. Auch APIs wurden als aufkommende Bedrohung hervorgehoben, vor allem, weil spezielle Sicherheitslösungen noch nicht allgemein übernommen wurden. Organisationen sind sich des Ausmaßes der Cyber-Bedrohung durch APIs vielleicht noch nicht bewusst, aber Security durch Verborgenheit funktioniert nicht, wenn die Bösewichte wissen, wie sie Ihre wichtigsten Assets kompromittieren können.