Aufgaben, die Sicherheitsteams ausbremsen (und was man dagegen tun kann)

Jul 19, 2023

Budget- und Personalprobleme setzen CISOs und andere Sicherheitsverantwortliche unter Druck. Hier sind 10 Aufgaben, die Cyber-Teams normalerweise blockieren, und was einige Sicherheitschefs getan haben, um die Probleme zu lösen.

Die meisten CISOs kennen die Herausforderungen, die mit Budget- und Personalengpässen einhergehen, und sie glauben nicht, dass diese so schnell verschwinden werden. Jüngste Forschungsergebnisse untermauern ihre Besorgnis – der Voice of the CISO-Bericht 2023 von Proofpoint ergab, dass 58 % der weltweit befragten CISOs angaben, dass sich der Wirtschaftsabschwung zu Beginn des Jahres negativ auf das Cybersicherheitsbudget ihrer Organisation ausgewirkt habe, 61 % sagten, sie seien mit überzogenen Erwartungen konfrontiert und 60 % hätten währenddessen einen Burnout erlebt das Vorjahr.

Umfragen des Sicherheitssoftwareunternehmens Tessian ergaben, dass die meisten Sicherheitsexperten in der aktuellen Umgebung besonders lange arbeiten. In einem Bericht wurde festgestellt, dass Sicherheitspersonal durchschnittlich 17 Stunden mehr arbeitet als vertraglich vereinbart. Die CISO-Umfrage „Lost Hours“ ergab, dass 18 % der Sicherheitsverantwortlichen 25 zusätzliche Stunden pro Woche arbeiten.

Herausforderungen im Zusammenhang mit Budget- und Personalengpässen sowie die Erkenntnis, dass Cyber-Bedrohungen weiter zunehmen, veranlassen viele Sicherheitsverantwortliche, darüber nachzudenken, wie sie effizienter und produktiver arbeiten können. Um bei dieser Aufgabe erfolgreich zu sein, haben sich einige darauf konzentriert, Aufgaben umzugestalten, deren Ausführung zwar notwendig ist, aber mehr Zeit in Anspruch nimmt, als sie wert sind. Hier beschreiben Sicherheitschefs zehn Aktivitäten, die ihre Teams blockierten, und wie sie darauf reagierten.

Eine der wichtigsten Aufgaben innerhalb eines Sicherheitsprogramms ist die Reaktion auf Warnungen, doch CISOs und ihre Mitarbeiter sagen, dass diese Arbeit sie überfordern kann. Eine aktuelle Umfrage des Sicherheitsunternehmens Censornet ergab, dass 47 % der Sicherheitsexperten sich von der Menge an Warnungen überfordert fühlten. Eine Umfrage von Sapio Research für den Sicherheitssoftwarehersteller Vectra ergab, dass 67 % der Sicherheitszentralen nicht in der Lage waren, die Anzahl der täglich eingegangenen Warnungen zu verwalten.

Benjamin Dulieu, CISO von Duck Creek Technologies, sagt, er könne solche Erkenntnisse nachvollziehen. „Der manuelle Aufwand, jedes Mal eingreifen zu müssen, wenn etwas ausgelöst wird, kann ermüdend sein“, sagt er. „Allein dieser Prozess erfordert einen enormen Zeitaufwand. Und bei den meisten dieser Warnungen stellt sich heraus, dass sie nichts sind; . Es ist fast so, als ob ständig jemand an der Tür klingelt.“

Dulieu schloss einen Vertrag mit einem Managed Security Service Provider (MSSP) ab, um seinem Team die Aufgabe abzunehmen. „Jetzt antwortet ein Butler an der Tür“, sagt er und merkt an, dass der Umzug Zeit spart und es seinen Mitarbeitern ermöglicht, konzentrierter zu bleiben und den Zeitplan einzuhalten, da sie nicht mehr durch Alarme abgelenkt werden.

Andere CISOs machten ähnliche Erfahrungen, einige entschieden sich ebenfalls für MSSPs; andere implementierten Intelligenz und Automatisierung, um sowohl die Anzahl falsch positiver Ergebnisse als auch die Zeit ihres Teams für die Aufgabe zu reduzieren.

CISOs schränken manchmal die Nutzung oder den Zugriff auf Technologien ein oder blockieren sie sogar. Auch wenn sie starke Argumente dafür haben, kann dies für die Sicherheitsteams mehr Arbeit bedeuten, als überhaupt erforderlich ist, um die richtigen Leitplanken einzurichten.

Wenn Sie Ihre Zeit damit verbringen, [anderen Abteilungen] zu sagen, was sie nicht tun können, ohne den Geschäftskontext zu berücksichtigen, werden die Leute Sie umgehen und am Ende eine kontroverse Beziehung aufbauen, in der der Rest des Unternehmens Sie meiden wird“, sagt Greg Notch. CISO bei Expel, einem Unternehmen für Sicherheitssoftware. „Eine zu harte Haltung führt dazu, dass Ihr Team ausbrennt und Sie nichts von der Arbeit erledigen, die wirklich etwas bewegt“, fügt er hinzu.

Notch spricht aus Erfahrung und weist auf eine Situation hin, die sich während seiner Amtszeit in der National Hockey League (NHL) ergab, wo er verschiedene Positionen innehatte, darunter Senior Vice President für IT und Sicherheit.

Als die Marketingabteilung eine Datenbank mit NHL-Fans aufbaute, „erachtete ich das als großes Risiko und hatte Datenschutz- und Sicherheitsbeschränkungen bei der Art und Weise, wie mit Daten gearbeitet werden sollte, die übermäßig restriktiv waren, was es schwierig machte, die entsprechende Technologie überhaupt zu entwickeln.“ Marketing erforderlich“, sagt Notch. „Das Marketing kam immer wieder und fragte nach Ausnahmen, und unser Sicherheitsteam verbrachte so viele Stunden pro Woche damit, diese [Anfragen] zu beantworten, dass wir speziell dafür jemanden eingestellt haben.“

„Wir hatten viel zu viel Reibung auf das Geschäft ausgeübt. Also trat ich einen Schritt zurück und fragte, wie wir uns ändern, sodass die Standardantwort nicht Nein, sondern Ja lautet.“ Notch hat die Beziehungen der Sicherheit zum Rest der Organisationseinheiten neu gestaltet, sich bemüht, „sehr gut auf die Ziele des Unternehmens abgestimmt“ zu sein, die Geschäftsrisiken (nicht die Sicherheitsprobleme) klarer zum Ausdruck gebracht und „gepflasterte Wege“ geschaffen, denen das Unternehmen folgen kann um die Sicherheit zu gewährleisten und dennoch seine Ziele zu erreichen.

Wie viele Führungskräfte verfügte auch Dulieu über eine Handvoll Ansprechpartner, die aufgrund ihrer Erkenntnisse und ihres Fachwissens ständig angefragt wurden. Er sah in dieser Situation mehrere Probleme.

Erstens war es eine ineffiziente Nutzung der Zeit seiner Mitarbeiter, da dadurch die Aushilfskräfte von geplanten, priorisierten Aufgaben abgehalten wurden, während die Mitarbeiter, die an weniger dringenden Projekten arbeiteten, nicht ausreichend eingesetzt wurden.

Zweitens führte die Situation zu mehr Ineffizienz bei seinem Personal. Dulieu sagt, dass der Einsatz dieser Aushilfskräfte dazu geführt habe, dass sie ihr Fachwissen und Wissen kontinuierlich ausbauen konnten, andere Mitarbeiter jedoch davon abgehalten hätten, so viel wie möglich zu lernen. Und all das zusammen könnte sich negativ auf die Mitarbeiterbindung auswirken, fügt er hinzu, da es einige überlasten und zum Burnout führen könnte, während andere unterbewertet werden könnten, die dadurch möglicherweise nur begrenzte Wachstumschancen sehen.

Um solchen Problemen vorzubeugen und die Zeit seines Teams besser zu verteilen, gründete Dulieu SWAT-Teams. Er ordnete jeder IT-Implementierung ein Team zu und beauftragte sie, ein tiefes Verständnis dafür zu entwickeln, wobei diese Teammitglieder dann für die Beantwortung sicherheitsrelevanter Fragen zu ihnen verantwortlich waren. „Das ermöglicht Cross-Training und sorgt für eine tiefere Bankkraft“, sagt Dulieu.

Dulieu räumt ein, dass sein Ansatz keine „Lösung über Nacht“ ist, sagt aber, dass er sich sehr ausgezahlt hat. Der Ansatz verteilt das Fachwissen und sorgt so für eine bessere Arbeitsverteilung für alle. Es hat dazu beigetragen, mehr Arbeitnehmer weiterzubilden, die mehr Anerkennung erhalten – einschließlich Spotprämien. Und all das hat dazu beigetragen, die Bemühungen zur Kundenbindung zu steigern. Dadurch entstand wiederum ein eingespielteres und effizienteres Team.

Dulieu sagt, dass die Erforschung, Auswahl und Implementierung neuer Sicherheitstechnologien dazu führen kann, dass CISOs und ihre Sicherheitsteams in Bewertungen und Analystenberichten versunken sind, anstatt die Sicherheitsdienste bereitzustellen, für die sie eigentlich beauftragt sind. Es gibt jedoch keinen Grund, die ganze Arbeit alleine zu erledigen.

Dulieu baute eine enge Arbeitsbeziehung mit einem Value-Added-Reseller (VAR) auf und sagte, er verlasse sich darauf, dass dieses Unternehmen und sein Expertenteam diese Vorarbeit erledigen und ihn zu den Ergebnissen beraten. „Sie bringen ein gewisses Maß an Fachwissen mit; das ist der beste Mehrwert.“ Sie verbringen den ganzen Tag damit, Anbieter zu bewerten. Das ist nur ein Teil dessen, was ich als CISO tun kann, aber das ist alles, was sie tun“, sagt er.

Dulieu sagt, dass die Partnerschaft nicht alle Schritte überflüssig macht, die er und sein Team unternehmen müssen; Beispielsweise überwacht er weiterhin die Proof-of-Concept-Arbeit, die bei der Prüfung neuer Tools erforderlich ist. Aber die Partnerschaft hat ihm Zeit zurückgebracht: Dulieu schätzt, dass die Zusammenarbeit mit einem VAR ihm und seinem Team etwa 120 Stunden Arbeit erspart und den gesamten Prozess bei jeder neuen Implementierung um sechs Wochen beschleunigt.

Da Sicherheit mittlerweile ein Anliegen auf Vorstandsebene ist und im Mittelpunkt einer wachsenden Zahl von Vorschriften steht, verbringen CISOs und ihre Teammitglieder heute viel mehr Zeit mit der Beantwortung von Fragen zu ihren Sicherheitsprogrammen. Die Bereitstellung von Antworten – sei es für interne Compliance-Teams, die die Informationen zur Erfüllung gesetzlicher Verpflichtungen benötigen, oder für externe Geschäftspartner, die Zusicherungen wünschen – gehört heute zu den erwarteten Aufgaben einer modernen Sicherheitsabteilung. Dennoch ist es nicht die effektivste Nutzung der Arbeitszeit.

„Das ist nicht nur frustrierend, sondern kostet auch viel Zeit“, sagt Kayne McGladrey, leitendes Mitglied des Institute of Electrical and Electronics Engineers (IEEE), einem gemeinnützigen Berufsverband, und Field CISO bei Hyperproof. Es gebe Strategien, um den Informationspflichten der Sicherheit nachzukommen, ohne die CISOs und ihre Teams zu sehr zu binden, sagen er und andere. McGladrey sagt, dass Automatisierung eine solche Strategie ist: „Der Nachweis von Kontrollvorgängen sollte automatisiert werden, und der Nachweis der Wirksamkeit kann ebenfalls automatisiert werden.“

Eine andere Strategie: Informationen bereithalten. „Die meisten CISOs verbringen übermäßig viel Zeit mit der Beantwortung von Sicherheitsfragebögen. Um dem also einen Schritt voraus zu sein, teilen Sie Dinge wie einen SOC-2-Bericht mit“, sagt McGladrey.

Jamil Farshchi, Executive Vice President und CISO bei Equifax, sagt, dass sein Team, obwohl es sich um Sicherheitsexperten handelte, an der obligatorischen jährlichen Sicherheitsschulung des Unternehmens teilnehmen musste, an der auch er teilnehmen musste. „Ich dachte: ‚Warum verschwende ich eine Stunde?‘“

Frustriert über die verlorene Zeit entwickelten und implementierten Farshchi und sein Team einen Testprozess. Sie erstellten sorgfältig eine Sammlung von Fragen und entwarfen einen Test, bei dem nach dem Zufallsprinzip 50 Fragen aus verschiedenen Themenbereichen ausgewählt wurden, die jedem Testteilnehmer vorgelegt wurden. Wenn der Mitarbeiter eine ausreichend hohe Punktzahl erreicht und damit ein solides Verständnis für alle Sicherheitspraktiken nachweist, kann er oder sie sich von der obligatorischen Schulung abmelden.

Farshchi sagt, er habe die Unterstützung der Führungskräfte für das Programm erhalten. Er weist außerdem darauf hin, dass sein Sicherheitsteam Scorecards erstellt, die das sicherheitsrelevante Verhalten von Arbeitern und Auftragnehmern bewerten, sodass sie Personen identifizieren können, deren Verhalten darauf hindeutet, dass sie zusätzliche oder gezielte Schulungen benötigen. Infolgedessen sei er zuversichtlich gewesen und habe nachweisen können, dass der Testansatz das Risiko für das Unternehmen nicht erhöht habe. Er sagt, dass dieser Ansatz seinen Sicherheitsmitarbeitern und dem Unternehmen als Ganzes Tausende von Stunden zurückgewonnen hat.

Laut Farshchi hatte sein Unternehmen einen etablierten Prozess, bei dem geplante Technologieprojekte vor der Umsetzung einer Reihe von Genehmigungen unterzogen wurden, wobei mehrere Einzelpersonen oder Teams die Pläne bewerteten. Er ließ sein Team untersuchen, warum an dem Prozess mehrere Teams beteiligt waren und ob alle diese Bewertungsebenen einen Mehrwert boten. „Sie stellten fest, dass das Wertversprechen wirklich gering war. Wir machten viel Arbeit, die wenig Wert bot, und das führte zu Kapazitätsengpässen bei der Sicherheit“, sagt Farshchi. Also eliminierte er überflüssige Glieder in dieser Genehmigungskette.

Dann ging er noch einen Schritt weiter, indem er Sicherheitskontrollen automatisierte und ein „Fast-Pass“-Programm erstellte, bei dem Entwicklungsteams, die sich konsequent an Sicherheitsanforderungen halten, vor der endgültigen Produktion nur noch eine Sicherheitsbewertung benötigen. Diese Änderungen, sagt Farshchi, haben den Sicherheitsteams mehr Zeit verschafft, ohne neue Risiken zu erhöhen.

Mike Manrod, CISO von Grand Canyon Education, hatte ein Problem mit E-Mails: Sowohl er als auch sein Team bekamen zu viele. Als er seinen aktuellen CISO-Posten antrat, erhielt das allgemeine E-Mail-Konto des Sicherheitsteams jährlich etwa eine Million E-Mails von Verteilerlisten, Sicherheitssystemen, die Warnungen sendeten, und anderen Quellen. Es handelt sich um eine Zahl, die Manrod sofort als eine Belastung für die Zeit seines Teams und für das E-Mail-System erkannte (das regelmäßig abstürzte, als er seinen Job antrat). Als CISO erhielt Manrod auch viele dieser Nachrichten in seinem eigenen Posteingang. Er schätzte, dass er etwa 100.000 pro Jahr erhielt und fünf bis zehn Stunden pro Woche brauchte, um sich durchzuarbeiten.

Er beschloss, einen Teil dieser Zeit für sein Team und sich selbst zurückzugewinnen, indem er ein neues SIEM-System (Security Information and Event Management) implementierte. Dadurch wurde die Gesamtzahl der Warnungen, die von unterschiedlichen Systemen stammen, reduziert. Außerdem konnte das Team Regeln darüber erstellen, welche Informationen in Dashboards angezeigt werden könnten und welche Informationen als Warnungen gesendet werden sollten, wodurch das E-Mail-Volumen weiter reduziert würde.

Durch diese Maßnahmen konnte die Zahl der E-Mails im allgemeinen Postfach auf 95.000 pro Jahr gesenkt werden. Anschließend wurden die E-Mails priorisiert, wodurch ein besser verwaltbares System entstand, das den Mitarbeitern das Durchwühlen unwichtiger Informationen erspart und ihnen die Möglichkeit gibt, sich auf die wichtigsten Informationen zu konzentrieren.

Mehrere CISOs nennen Kommunikationsanforderungen als eine weitere notwendige Aufgabe, die im Verhältnis zum Wert, den sie bietet, unverhältnismäßig viel Zeit und Energie in Anspruch nehmen kann. Sie bieten Ideen, wie man eine bessere Balance schaffen kann.

Manrod zum Beispiel sagt, er sei bei der Erstellung seiner Berichte wählerischer geworden. Er schreibt weiterhin Berichte, die er als wesentlich erachtet hat, beispielsweise solche, die an den Vorstand und andere Führungskräfte gehen. Andere ließ er jedoch fallen, da er vermutete, dass einige Berichte nichts Notwendiges boten und daher nicht übersehen würden, wenn sie verschwinden würden. „Normalerweise bemerkte niemand, dass es weg war“, fügt er hinzu.

Farshchi steigerte auch die Effizienz von Kommunikationsaufgaben, indem er diejenigen Personen identifizierte und einsetzte, die kommunikativ stark sind und sich mit der Entwicklung von Präsentationen auskennen. „Es gibt Architekten und Ingenieure, die versuchen, Folien zusammenzusetzen, und es ist einfach ein Zugunglück“, sagt Farshchi und gibt zu, dass er selbst für diese Aufgabe nicht begabt ist. „Es dauert zu lange und ich bin nicht gut darin.“

Andererseits sagt er, dass diejenigen, die talentierte Kommunikatoren sind, Sicherheitsnachrichten nicht nur schneller entwickeln können, sondern in der Regel auch ein qualitativ hochwertigeres Produkt produzieren.

Das Sicherheitsteam von Lexmark verfügt über einen Mechanismus, mit dem Mitarbeiter E-Mails melden können, bei denen es sich ihrer Meinung nach um Phishing-Versuche handeln könnte. „Es handelt sich um ein wichtiges Sicherheitsmerkmal, wenn man bedenkt, wie weit verbreitet und erfolgreich Phishing-Angriffe heutzutage sind“, sagt CISO Bryan S. Willett. „Wenn der Benutzer den zusätzlichen Schritt unternommen hat, auf die Fischalarmschaltfläche zu klicken, besteht unser Ziel in diesem Prozess darin, dem Benutzer schnell zu antworten und entweder zu sagen: „Ja, es war bösartig, danke für die Benachrichtigung“ oder „Nein, es ist kein Phishing.“ '“, sagt Willett.

Doch Willett sah auch, wie viel Zeit seine Sicherheitsabteilung für diesen Prozess aufwendete. Dadurch entwickelte er eine effizientere Methode zur Überprüfung verdächtiger E-Mails. Er ließ einen Mitarbeiter legitime E-Mails untersuchen, die als verdächtig markiert waren, und Schlüsselwörter identifizieren, die darauf hindeuteten, dass sie tatsächlich legitim waren.

Der Mitarbeiter nutzte diese Daten, um ein automatisiertes Tool zu erstellen, das fragwürdige Nachrichten überprüfte und dann den ursprünglichen Empfänger darüber informierte, ob es sich bei einer E-Mail um eine legitime Nachricht oder tatsächlich um eine Phishing-Nachricht handelte.

Willett sagt, dass die Automatisierung des Überprüfungsprozesses „echte Auswirkungen auf die Bandbreite des Teams hatte“ und erklärt, dass sie erhebliche Teile ihrer Arbeitsstunden zurückgewinnen konnten, die dann für höherwertige Sicherheitsaufgaben verwendet werden konnten.

Willett sagt, dass sein Sicherheitsteam die Filter weiterhin verfeinert, um sicherzustellen, dass bösartige E-Mails gestoppt werden, ohne legitime E-Mails zu blockieren – ein ständiger Balanceakt. Und er implementiert ein KI-gestütztes kommerzielles Tool, um seinen selbst entwickelten regelbasierten Filter zu ersetzen, und hofft, den E-Mail-Überprüfungsprozess noch effizienter zu gestalten.