Sicherheit hat oft einen schlechten Ruf, weil sie die Produktivität verlangsamt und die User Experience (UX) beeinträchtigt. Bei Okta wissen wir, dass dies nicht weiter von der Wahrheit entfernt sein könnte. Die heutigen CISOs sind fest entschlossen, reibungslose Experience für Mitarbeiter und Kunden zu schaffen. Wir haben kürzlich mit zwei von ihnen Spoke (Speiche), um ihre Meinung zum Ausgleich dieser wichtigen Geschäftsziele zu erfahren.
Die Herausforderung besteht darin, innovative Lösungen zu finden, die die Sicherheit stärken, ohne Effizienz oder Zufriedenheit zu beeinträchtigen. Mit praktischen Strategien, einem ganzheitlichen Ansatz und Benutzer-Feedback können CISOs die Sicherheitslage verbessern, die Produktivität steigern und eine nahtlose Benutzererfahrung ermöglichen. So geht es.
1. Priorisieren Sie die User Experience im Sicherheitsdesign
Ein benutzerzentrierter Ansatz für die Sicherheit ist von größter Bedeutung, um die Akzeptanz zu fördern und Widerstände zu minimieren. Egal ob für Mitarbeiter oder Kunden, CISOs sollten Sicherheitsmaßnahmen mit Blick auf die Endbenutzer designen, um ein reibungsloses und intuitives Experience zu schaffen. Zum Beispiel können sichere Anmeldefunktionen wie die Multi-Faktor-Authentifizierung Benutzer frustrieren. Mit Optionen wie biometrischer oder passwortloser Authentifizierung kann jedoch die Sicherheit gewährleistet werden, ohne Unannehmlichkeiten zu verursachen.
Jane Domboski, CISO bei OneMain Financial, sagt, dass es auch wichtig ist, Sicherheitsrisiken und -anforderungen in klarer und prägnanter Sprache zu kommunizieren. Hilfreiche Erklärungen und Anleitungen anzubieten – und technischen Jargon zu vermeiden – wird die Benutzer letztendlich befähigen, fundierte Entscheidungen im Sicherheits-Design zu treffen.
„Eines der ersten Dinge, die ich als CISO getan habe, war, mich mit unserem CTO abzustimmen, um sicherzustellen, dass die Anwendungen, die wir entwickeln, sicher durch Design sind“, sagt Domboski „Sein Team dazu zu bringen, diese Terminologie zu verwenden, hilft dabei, die Sicherheit bei der Entwicklung neuer Produkte im Vordergrund zu halten.“
2. Automatisierung und KI einsetzen
Die Automatisierung kann die Sicherheit erheblich verbessern und gleichzeitig Personalressourcen für strategische Aufgaben freisetzen. Durch die Automatisierung von Routine-Sicherheits-Workflows – wie z. B. das Zurücksetzen von Passwörtern, Schwachstellenscans und Incident Response – können Unternehmen die Effizienz steigern und das Risiko menschlicher Fehler reduzieren.
CISOs können auch KI einsetzen, um große Datenmengen zu analysieren und potenzielle Bedrohungen in Echtzeit zu erkennen, um proaktive Bedrohungsjagd und schnellere Incident Response zu ermöglichen. Und wenn ein Vorfall erkannt wird, kann die Automatisierung routinemäßiger Schritte der Incident Response, wie zum Beispiel Eindämmung und Beseitigung, dazu beitragen, Ausfallzeiten und Schäden zu minimieren. Wie Cory Musselman, CISO bei Kyndryl, sagt, geht es darum, Sicherheit als Geschäftsförderer und nicht als Hindernis zu nutzen.
„Die Konsolidierung unserer Prozesse im Bereich Identitäts- und Zugriffsmanagement mit Okta war ein großer Gewinn für unsere Mitarbeiter und das Unternehmen“, erklärt er. „Es verdeutlichte, dass Sicherheitsteams nicht nur Dinge implementieren, die das Leben erschweren.“ Wir arbeiten aktiv daran, ihnen das Leben zu erleichtern und das Unternehmen agiler zu gestalten.“
3. Einführung einer Zero Trust-Architektur
Ein Zero-Trust-Modell verändert das Sicherheitsparadigma von implizitem Vertrauen hin zu kontinuierlicher Verifizierung. Die Einführung dieses Ansatzes kann Unternehmen dabei helfen, ihre Sicherheitslage erheblich zu stärken und gleichzeitig die Produktivität aufrechtzuerhalten.
„Wir möchten, dass die Bremsschwellen aus den richtigen Gründen an der richtigen Stelle platziert werden, um die Experience mit der Sicherheit in Einklang zu bringen“, sagt Musselman „Risikomanagement ist ein großer Teil dieser Evaluierung.“ Sie müssen die Risikobereitschaft und das Bedrohungsprofil Ihres Unternehmens verstehen, damit Sie kluge Entscheidungen treffen und nicht mehr Hürden aufbauen als nötig.
Beginnen Sie mit der Implementierung starker Authentifizierungs- und Autorisierungsmechanismen, um sicherzustellen, dass nur autorisierte Personen und Geräte auf Ressourcen zugreifen können. Isolieren Sie sensible Daten und Anwendungen, indem Sie Ihre Netzwerke segmentieren, um Ihre Angriffsfläche zu verringern und die potenziellen Auswirkungen einer Sicherheitsverletzung zu begrenzen. Und senken Sie das Risiko von unbefugtem Zugriff und Datenexfiltration, indem Sie das Prinzip des „Least Privilege“ anwenden und den Benutzern nur die Berechtigungen gewähren, die sie zur Ausübung ihrer Aufgaben benötigen.
4. Schaffen Sie eine Sicherheitskultur
Eine gut informierte und engagierte Belegschaft ist die erste Verteidigungslinie gegen Cyberbedrohungen. CISOs können eine sicherheitsbewusste Kultur aufbauen, indem sie in interaktive Training Sessions investieren, die Themen wie Phishing, Social Engineering und Passworthygiene abdecken. Regelmäßige Tests der Fähigkeit der Mitarbeiter, Phishing-Versuche zu erkennen und zu melden, werden die Best Practices für Sicherheit weiter stärken.
„Bildung ist unglaublich wichtig, und wir investieren in kontinuierliches Training, um unseren Developer beizubringen, wie man sicher programmiert“, sagt Domboski „Wir spielen sogar Cybersicherheitstipps ab, wenn Kunden anrufen und in der Warteschleife sind.“ „Wir sind fest davon überzeugt, dass Cybersicherheitsaufklärung nicht nur für Mitarbeiter, sondern auch für unsere Kunden wichtig sein sollte.“
Um den Wert von Sicherheitsinitiativen wirklich zu verdeutlichen, sei es wichtig, die Bemühungen der Mitarbeiter anzuerkennen und zu belohnen, sagt Musselman. „Wir heben die Erfolge hervor, wenn wir mit verschiedenen Geschäftsbereichen zusammenarbeiten, um die Sicherheit auf eine Weise zu erhöhen, die keine Reibungsverluste verursacht“, erklärt er. Dies trägt dazu bei, eine Kultur der gemeinsamen Verantwortung für Sicherheit zu fördern.
5. Kontinuierlich evaluieren und verbessern.
Die Sicherheitslandschaft entwickelt sich ständig weiter, daher ist es wichtig, einen proaktiven Ansatz im Sicherheitsmanagement beizubehalten. Die regelmäßige Beurteilung Ihrer Sicherheitslage und das Informiertbleiben über neue Bedrohungen helfen Ihnen, potenzielle Schwachstellen zu erkennen und proaktive Entscheidungen zu treffen.
Das Einholen von Feedback von Mitarbeitern ist eine wirkungsvolle Methode, um die Auswirkungen von Sicherheitsmaßnahmen auf die Produktivität und die Benutzererfahrung zu verstehen. Indem Sie alle in den Prozess einbeziehen, können Sie notwendige Anpassungen vornehmen und Ihre Sicherheitsstrategie für die Zukunft weiterentwickeln.
Wie Musselman sagt: „Es ist wichtig, mit Führungskräften aus verschiedenen Bereichen Ihres Unternehmens zusammenzuarbeiten, um zu verstehen, wie deren Teams arbeiten.“ Dies trägt dazu bei, die Umsetzung von Sicherheitskontrollen zu gestalten und unsere Risikoentscheidungen so zu lenken, dass ein angemessenes Gleichgewicht für unsere Nutzer geschaffen wird.“
Durch die Umsetzung dieser Strategien können CISOs die Sicherheitslage ihrer Organisationen deutlich verbessern, gleichzeitig ein positives Benutzererlebnis schaffen und die Produktivität steigern.
Sehen Sie sich unser On-Demand-Webinar mit Jane Domboski, CISO bei OneMain Financial, und Cory Musselman, CISO bei Kyndryl, an, um mehr darüber zu erfahren, wie sie Identity zu einem Schlüsselelement ihrer Sicherheitsorganisation machen.
