Am dritten und letzten Tag der InfoSecurity Europe 2022 moderierte Sarb Sembhi, Global CISO von Aireye, die Podiumsdiskussion mit dem Titel ‚Boosting SME’s Cyber Security Strategy‘. Sembhi wurde von weiteren Experten begleitet: Milos Pesic, Vice President of InfoSec &; CyberSec bei Marken, Diane Abela, Chief Information Security Officer bei AccuRx und Vincent Blake, VP, Digital Technology Security Officer & GRCA bei Pearson.
Die Diskussionsteilnehmer gaben Einblicke in die Schritte, die kleine und mittlere Unternehmen (KMU) unternehmen können, um sich gegen Cyber-Risiken und -Bedrohungen zu schützen, die Daten ihrer Kunden zu sichern und auf einen Vorfall mit begrenzten Mitteln und Ressourcen zu reagieren. Die Sitzung befasste sich mit praktischen Strategien zur Implementierung von Sicherheit mit einem begrenzten Budget, der Bewertung der Risikolandschaft zur Identifizierung von Bedrohungen für KMU, der Analyse der wichtigsten Anforderungen der Datenschutz-Grundverordnung und ihrer Bedeutung für KMU sowie der Identifizierung der wichtigsten Schritte zur Einhaltung der Vorschriften und des Verständnisses der Folgen einer Nichteinhaltung
Das Gremium betonte zunächst die Bedeutung der Unternehmenskultur für die Förderung der Cybersicherheitsstrategie eines KMU und stellte fest, dass der Aufbau einer Vertrauenskultur entscheidend ist. Die Diskussionsteilnehmer waren sich einig, dass einige Unternehmen den Fehler begehen, Sicherheit eher als „Blocker“ zu betrachten und eine Kultur des „Misstrauens“ zu schaffen, indem sie schwerfällige Sicherheitsmethoden wie „das Anbringen von Vorhängeschlössern an Computern auf den Schreibtischen“ anwenden.
Eine wirksame Cybersicherheitsstrategie konzentriert sich auf drei zentrale Bereiche, betonten die Redner auf dem Podium:
Bei der Nutzung der richtigen Tools für die Cybersicherheit müssen diese auf die Prozesse und Richtlinien eines Unternehmens abgestimmt werden, um effektiv zu arbeiten, betonte Podiumsteilnehmer Milos Pesic.
Die Diskussion verlagerte sich dann auf die Frage der Einstellung, insbesondere auf die wünschenswertesten Fähigkeiten und Kenntnisse. Während technische Fähigkeiten bei der Einstellung im Bereich der Cyber- und Informationssicherheit wichtig sind, sind Soft Skills ebenfalls entscheidend, so Pesic. Abela erklärte den Zuhörern, dass die Einstellung von Personen, die sich für eine bestimmte Aufgabe engagieren und eine „klare Leidenschaft“ haben, ebenfalls wichtig ist, auch wenn die technischen Fähigkeiten nach wie vor entscheidend sind. Abela relativierte diesen Punkt und fügte hinzu, dass eine stärkere Betonung von Erfahrung anstelle von Qualifikationen auch der Einstellungsstrategie und der Widerstandsfähigkeit eines Unternehmens zugute kommen könnte. Blake schloss sich den Ansichten des Gremiums an und betonte, dass Bewerber Neugier und Leidenschaft mitbringen müssen. Er ist der Meinung, dass diese Attribute im Vorstellungsgespräch ermittelt werden können, indem man die Bewerber nach ihren eigenen realen Projekten fragt und danach, auf welche dieser Projekte sie am stolzesten sind.
Moderator Sembhi fügte zu dieser Diskussion hinzu, dass ein Unternehmen nicht zu technisch orientiert sein sollte, da es das größere strategische Bild sehen muss. Darüber hinaus betonte Blake erneut die Notwendigkeit für Unternehmen, Menschen mit sozialen und geschäftlichen Fähigkeiten einzustellen, um die technischen Mitarbeiter einer Organisation zu ergänzen. Pesic stimmte zwar zu, dass eine Belegschaft einen Querschnitt von Talenten benötigt, doch sollten kleine Unternehmen bei der Einstellung von Mitarbeitern und der Erhöhung ihrer Cybersicherheit mehr auf technische Fähigkeiten Wert legen.
Auf der Grundlage von Fragen aus dem Publikum erörterte das Podium die Grundlagen einer guten Cyber-Hygiene für KMU. Abela wies darauf hin, dass die „Sichtbarkeit“ der Cybersicherheit innerhalb eines Unternehmens von größter Bedeutung ist und dass Initiativen wie Sensibilisierungsprogramme ein fester Bestandteil der Unternehmensabläufe sein müssen. Die Diskussionsteilnehmer wiesen auch darauf hin, wie wichtig die Durchführung von Sicherheitsbewertungen für das Verständnis möglicher Schwachstellen ist, wobei grundlegende Fragen wie „Wo stehen wir jetzt?“ und „Wo sind die Lücken?“ besonders wichtig sind.
Weitere Fragen aus dem Publikum konzentrierten sich auf die Interessengruppen der Unternehmen. Abela vertrat die Ansicht, dass die Unternehmen den Aktionären die Bedeutung der Sicherheit und ihre Auswirkungen auf den Unternehmenswert verdeutlichen müssen. Vincent Blake bekräftigte, dass es notwendig sei, „nicht einfach nur über Cybersicherheit zu sprechen“, sondern die Bedeutung der Sicherheit mit einer Geschichte und einer Erzählung zu untermauern. Milos Pesic schloss diesen Teil der Diskussion, indem er vorschlug, die übertriebene Negativität, die das Thema Cybersicherheit oft umgibt, einschließlich des Ausmaßes des Problems und der Häufigkeit der Angriffe, zu vermindern und eine positivere Perspektive einzunehmen.
Zum Abschluss der Sitzung ging Moderator Sembhi auf die Frage ein, welche Sicherheitsvorkehrungen KMU Ihrer Meinung nach bereits getroffen haben und was sie besser machen könnten.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
#InfosecurityEurope2022: Anwälte aktualisieren Sicherheit für neue Arbeitsweisen