Warum sind einige Sicherheitsorganisationen erfolgreicher als andere - und wie sieht eine erfolgreiche Sicherheitsorganisation aus? AWS CISO Steve Schmidt bietet seine Perspektive an und hebt drei gemeinsame Merkmale hervor, die er in erfolgreichen Sicherheitsorganisationen beobachtet hat, sowie drei andere CISOs, die diese Merkmale zu ihrem Vorteil anwenden. Erfahren Sie, warum diese CISOs in der Lage sind, die Risikostellung ihrer Unternehmen zu verbessern und schneller und effizienter als andere neue Geschäftswerte zu schaffen.
Die Demokratisierung der Sicherheit
Es ist kein Geheimnis, dass die Verantwortlichkeiten von Führungskräften im Sicherheits- und Risikomanagement wie CISOs, CSOs und CTOs dramatisch zunehmen.
Wir sind nicht nur dafür verantwortlich, vorbeugend und wachsam gegenüber Sicherheitsbedrohungen zu sein und Unternehmensnetzwerke zu schützen, sondern entwickeln uns jetzt rasch zu Verwaltern der Marke unseres Unternehmens, stärken dessen Ruf und stärken gleichzeitig die Glaubwürdigkeit des Vorstands und das Vertrauen der Kunden.
In meinen über 12 Jahren als CISO von Amazon Web Services, als ich mit zahlreichen AWS-Kunden auf ihren Cloud- und Sicherheitsreisen zusammengearbeitet habe, habe ich einige herausragende Unternehmen erkannt, die diese Transformation bemerkenswert gut angehen. Ich konnte auch aus erster Hand sehen, wie sie es machen.
Was verstehen wir unter erfolgreichen Sicherheitsorganisationen? Hierbei handelt es sich um Unternehmen, die ihre Risikostellung effizienter als andere verbessern und gleichzeitig die Nutzung der Cloud optimieren, um schneller neue Formen des Geschäftswerts zu schaffen.
Merkmal Nr. 1: Sie sind in Bezug auf Prüfung und Recht vorwärtsgerichtet
Die engste Zusammenarbeit mit Rechts- und Compliance-Fachleuten, Prüfungspartnern und Aufsichtsbehörden ist möglicherweise das kritischste der drei Merkmale. Genau wie Sicherheitsexperten haben diese Personen die Aufgabe, ihre Organisationen zu schützen. Daher müssen sie frühzeitig und häufig eingesetzt werden. Sicherheitsorganisationen, die in der Lage sind, die Cloud schnell einzuführen, erkennen, dass Stakeholder aus den Bereichen Recht, Prüfung und Compliance zu starken Verbündeten werden können.
Kommunizieren Sie früh und oft
Erfolgreiche Sicherheitsorganisationen kommunizieren proaktiv und priorisieren die Ausrichtung mit Fachleuten aus den Bereichen Recht, Prüfung und Compliance. Dies scheint offensichtlich zu sein, aber ziemlich oft sehen wir, dass Organisationen ihre internen Kontrollsysteme einrichten und die Dynamik nur ins Wanken geraten, weil sie auf dem Weg nicht richtig auf die richtigen Teams ausgerichtet sind. Es ist nicht immer einfach, die traditionelle Arbeitsweise zu überwinden, die für einige Organisationen darin bestand, Stakeholder in der Mitte oder gegen Ende eines bestimmten Prozesses zu gewinnen. Als Sicherheitsverantwortliche möchten wir nicht, dass die Sicherheit nach dem Bau eines Produkts „angeschraubt“ wird. Ebenso sollten wir die erforderlichen Schritte in unsere Sicherheitsprozesse integrieren, um proaktiv die Einhaltung der gesetzlichen, Prüfungs- und Compliance-Anforderungen sicherzustellen. Eines der Dinge, die wir bei AWS regelmäßig tun, ist die frühzeitige Zusammenarbeit mit unseren Kunden und ihren internen Prüfern, damit sie ihren Stakeholdern beibringen können, wie sie erfolgreich in der Cloud prüfen können. Wir tun dies, indem wir Anleitungen und Werkzeuge bereitstellen und Scheinprüfungsübungen am „Spieltag“ durchführen.
Wie führen Sie Ihre Teams in die Cloud?