CH
Wo Dezentralisierung auf Cybersicherheit trifft
23. April 2020
Die digitale Transformation zwingt die IT dazu, ihre Architektur in Richtung einer dezentralen Infrastruktur umzugestalten, die Barrieren durch die Datengravitation beseitigt und allgegenwärtige und bedarfsgesteuerte Vorgänge ermöglicht. Dies kann jedoch zu neuen Sicherheitsbedenken führen, da mehr Eintrittspunkte vorhanden sind.
Was erwartet die sich verändernde IT-Sicherheitslandschaft? Um mehr über Best Practices zu erfahren, die Unternehmen bei der Gestaltung ihrer physischen und Cyber-Sicherheitsstrategien berücksichtigen sollten, haben wir Don Freese, Leiter von PwCs Cyber Strategy, Transformation & Risk, zu einer Live-Frage-und-Antwort-Runde bei unserem MarketplaceLIVE-Event in mit Ed Diver, dem CIO von Digital Realty, eingeladen New York City im November 2019. Mit mehr als 22 Jahren Erfahrung in der globalen Datenschutzabteilung des FBI brachte Don eine Fülle von Wissen und Erfahrung mit und teilte seine Gedanken zu folgenden Themen:
- Vorteile, die die Cloud für Sicherheitsstrategien bietet
- Wie man über das Risiko nachdenkt, das mit überall verstreuten Daten verbunden ist
- Bewältigung einzigartiger Herausforderungen aus Sicherheitsgründen in Bezug auf Datenschwerkraftbarrieren und Umstellung auf eine dezentrale Umgebung
- Wie man Kriseneinsätze bewältigt
- Ausblick auf die Konvergenz von physischer und virtueller Sicherheit
ED: Welchen Rat würden Sie CEOs und CSOs geben, wenn es um die Einführung der Cloud geht? Wie sollten sie vorgehen und welche Vorteile könnte ihnen die Cloud für ihre Sicherheitsstrategie bieten?
DF: Das ist eine tolle erste Frage zum Einstieg. Ich denke, es ist wirklich das, was dich und mich zusammengebracht hat. Dadurch kam es zu dieser Situation, in der Sie und ich uns auf der Bühne unterhielten. Ich meine, es gibt verschiedene Möglichkeiten, in der IT-Welt eine Führungsrolle zu übernehmen, aber eine Sache ist, dass Beziehungen wichtig sind und wir versuchen, mit gutem Beispiel voranzugehen. Für Sie und mich – als CIO und als jemand, der ständig mit CSOs zusammenarbeitet und selbst zuvor in diesen Rollen tätig war – besteht ein großer Unterschied zwischen uns, die über Budgets und Strategien streiten, oder dem Versuch, dass ich versuche, das, was Sie tun, zu verlangsamen auf der Innovationsseite oder einer der Leute in der Sicherheitswelt, die das tun.
Die Cloud-Frage beschäftigt uns alle; ob wir virtualisieren oder in einer lokalen Umgebung bleiben. Die Cloud ist ein großartiger Faktor für die Sicherheit und wird den meisten Unternehmen dabei helfen, aus einer veralteten Netzwerksituation herauszukommen, die oft mit technischen Defiziten verbunden ist, insbesondere auf der Seite der Datenspeicherung. Wenn Unternehmen versuchen, diese Dinge mit veralteter Ausrüstung selbst zu verwalten, kommt es zu End-of-Life-Problemen, allein schon bei der Patch-Verantwortung.
„Die Cloud ist ein großartiger Faktor für die Sicherheit und wird den meisten Unternehmen dabei helfen, aus einer veralteten Netzwerksituation herauszukommen.“
Das Eingehen einer sehr verantwortungsvollen und robusten Beziehung zu Cloud-Anbietern ist eine großartige Möglichkeit, Sicherheitsprogramme voranzutreiben und gleichzeitig viele Elemente der Geschäftsstrategie zu erfüllen. Es schafft nur einen Mehrwert. In bestimmten Bereichen erhöht es sicherlich auch das Risiko, wenn Sie beginnen, Daten an einen zentraleren Ort zu übertragen. Dadurch verändert sich die Angriffsfläche ein wenig. Es ermöglicht jedoch auch viele weitere Strategien, um den Zugriff über die Identität zu kontrollieren, den Zugriff zu kontrollieren und zu verstehen, wer welche Daten wann und wohin entnimmt. Und auch die Möglichkeit zu haben, den Zugriff sehr schnell zu stoppen, was ehrlich gesagt in den meisten alten Netzwerken unmöglich ist.
Diese Strategie muss in Zusammenarbeit mit dem CIO, mit dem Gesamtstrategieunternehmen, mit der Geschäftsleitung sowie mit den Geschäftsbereichen und Produkten umgesetzt werden. Und hier beginnt man zu erkennen, dass Sicherheit das Geschäft tatsächlich ermöglicht, anstatt es zu verfolgen oder zu bremsen.
ED: Unsere Daten sind überall verteilt. Computing ist allgegenwärtig, wenn es um Cloud- und On-Prem-Anwendungen geht. Wie sollte ein CIO oder CSO über das damit verbundene Risiko denken? Wie sollten sie die Arbeit kategorisieren und priorisieren, um Sicherheitsherausforderungen auf den richtigen Oberflächen zu bewältigen?
DF: Das geht auf den ersten Teil Ihrer Frage zurück, denn die Daten sind überall verstreut. Ohne die Organisation der Daten und das Verständnis darüber, wo sie sich befinden, warum wir sie speichern, wie sie sich bewegen und welche Kunden – sei es intern oder extern – Zugriff auf diese Daten benötigen, wird es wirklich inkohärent, zu versuchen, ein Netzwerk um diese Dinge herum zu sichern.
Die Umstellung Ihrer Sicherheitsstrategie auf eine datenzentrierte Strategie hilft also auch dabei, die Daten für das gesamte Unternehmen zu bereinigen. Es hilft bei sich ändernden regulatorischen Rahmenbedingungen wie DSGVO und CCPA.
Ich würde mich auf die Umkehrung dieser Frage konzentrieren: Wie viel Privatsphäre ist mit diesen Datensätzen verbunden? Daher gefällt mir sehr, dass wir als Team mit der CIO-Welt, der Sicherheitswelt, den Datenschutzbeauftragten, den Generalräten und der Produktumgebung sprechen und sagen können: „Wie viele Daten benötigen wir tatsächlich in unserer Umgebung?“ ?“ Und lasst uns das organisieren, kategorisieren und den Zugriff darauf basierend auf der Identität und einigen anderen sinnvollen Dingen kontrollieren.
Jetzt ist es an der Zeit, den Speicherort für Daten zu nutzen oder eine Modernisierung in Betracht zu ziehen. Cloud-Umgebungen sind dafür der perfekte Weg.
ED: Barrieren im Zusammenhang mit der Datengravitation zwingen IT-Verantwortliche dazu, auf eine dezentralere Umgebung umzusteigen. Aus sicherheitstechnischer Sicht muss das einige besondere Herausforderungen mit sich bringen.
DF: Die meisten Unternehmen, mit denen wir zusammenarbeiten, sind weltweit vertreten. Wenn wir uns die Architektur ansehen, ist die Betrachtung nach Ländern ein wenig irrelevant, mit Ausnahme der Datenverwaltung pro Land, aber wir betrachten das als zweitrangigen Ansatz. Und wenn wir das betrachten, können wir das Unternehmen oft wirklich herausfordern, indem wir fragen:
- Warum speichern Sie so viele Daten?
- Warum haben Sie es über einen bestimmten Zeitraum?
- Welchen Nutzen hat es für Sie für Ihren Betrieb?
Das sind Fragen, die sich Unternehmen einfach nicht stellen. Wenn Unternehmen über ein digitales Transformationsprojekt oder eine Migration in eine Cloud-Umgebung diskutieren, gehen sie oft von vornherein davon aus, wie viele Daten sie verarbeiten, wie viel sie derzeit speichern und was sie einfach tun Berechnungen darüber, was es kosten würde, in einer Cloud-Umgebung zu sein. Wenn man das noch ein paar Schritte untermauert, sich die Datenschutzbestimmungen anschaut und sich anschaut, wie die Daten geschäftlich genutzt werden, ist es erstaunlich, wie das nicht berücksichtigt wird. Oftmals stellen wir fest, dass es enorme Effizienzgewinne bringt, wenn weniger Daten gespeichert oder zumindest regelmäßig archiviert werden. Und dann beschäftigen wir uns mit Themen wie: Wie stellen Sie die Daten wieder her und wie planen Sie dies in der modernen Bedrohungsumgebung?
Warum konzentrieren Sie sich nicht auf die Daten, die Sie tatsächlich für den Betrieb benötigen? Was ist für Sie als Organisation eigentlich profitabel? Und warum geben Sie nicht auch die anderen Daten ab, die Sie archivieren können? Vielleicht brauchen Sie es aus anderen Gründen, aber das können Sie jetzt viel günstiger lagern. Und in den Umgebungen, die Digital Realty bietet. Wir machen wirklich viel davon mit verschiedenen Unternehmen und es ist eine großartige Strategie, die die Dinge enorm öffnet.
ED: Viele CSOs und CEOs verbringen viel Zeit damit, sich Gedanken über einen Verstoß zu machen und darüber, wie sie in diesem Szenario Daten wiederherstellen können. Es wundert mich immer, dass sie das nicht im Voraus geplant hatten. Irgendwelche Gedanken dazu?
DF: Ja, es gibt Anlass zur Sorge. Es ist etwas, das wir in unserer Welt sicherlich viel trainieren. Wir arbeiten mit der Führungs- und Vorstandsebene an der Bewältigung von Kriseneinsätzen. Sie werden immer hören, wie Cybersicherheitsexperten wie ich darüber sprechen, wie man Sport treibt und sich auf solche Dinge vorbereitet und plant. Aber wenn wir zwei Ebenen tiefer gehen, sehen wir oft, dass es weder auf technischer noch auf betrieblicher Ebene umgesetzt wird. Was verstehen Menschen in Ingenieurteams und Infrastrukturteams? Woran muss der CIO denken, wenn eine moderne Bedrohung in das System eindringt? Vielleicht eine, die Daten in einem hohen Tempo verschlüsselt, wie wir es bei Ransomware sehen, und zwar auf eine Weise, die den Betrieb stoppt.
Welche Art von Diskussionen finden statt und welche Abhilfemaßnahmen werden dort vorgenommen? Das Schöne – um auf Ihre allererste Frage mit einigen der vorhandenen Cloud-Strategien zurückzukommen – ist, dass, sobald wir Dinge wie Ransomware in einer Umgebung sehen, diese Umgebungen innerhalb von Hundertstelsekunden offline außer Betrieb genommen werden können. Niemand wird überhaupt wissen, dass ein Ereignis stattgefunden hat. Und oft müssen die Daten organisiert werden, wie wir bereits erwähnt haben, durch richtige Governance, den richtigen Standort, die richtige Speicherung – diese Grundelemente, die in vielen unserer alten Netzwerkumgebungen nicht vorkommen –, sobald diese Dinge eingerichtet sind Nach der Implementierung einer erfolgreichen Cloud-Strategie verschwinden diese Sorgen.
ED: Die Landschaft hat sich in den letzten Jahren stark verändert, da physische Sicherheit einfach nicht mehr ausreicht und wir sehen, dass die Konvergenz von virtueller und physischer Sicherheit notwendig ist. Was sehen Sie von dieser Konvergenz in der Branche?
DF: Oft sind die Modelle der physischen Sicherheit und der Informationssicherheit zwei völlig unterschiedliche Teams. Es sind Teams, die nie wirklich miteinander gesprochen haben und oft auch kulturell nicht besonders gut Ideen austauschen. Die Natur der Menschen, die jede dieser Organisationen leiten, ist ehrlich gesagt sehr unterschiedlich. Heutzutage steuern wir häufig die Vorgänge in der Welt der physischen Sicherheit durch Betriebstechnologie oder IoT. Und ich denke, das ist eine gute Frage, denn wir wollen, dass diese Netzwerke genauso organisiert sind wie der größere Netzwerkspeicher in dem System, das sie schützen. Sind sie ordnungsgemäß segmentiert oder ist dies der Fall, nachdem sie jetzt einen Bedrohungsvektor geschaffen haben, indem sie digitale Zugangskontrollen direkt in das Hauptrückgrat ihrer Daten eingebaut haben?
„Jetzt ist es an der Zeit, die Datenspeicherung und Cloud-Umgebungen zu nutzen oder eine Modernisierung in Betracht zu ziehen. Dies ist der perfekte Weg, dies zu erreichen.“ Leider haben sie oft [einen Bedrohungsvektor geschaffen], und das liegt einfach daran, dass sie nicht verstehen, wie diese verschiedenen Elemente funktionieren: wie diese Kartenleser funktionieren, wie sie von Anbietern verkauft werden. Sie sollten also langsamer vorgehen und sicherstellen, dass Ihre physischen Sicherheitsteams, bevor sie solche Dinge umsetzen, zunächst einen strategischen Blick darauf werfen, aber auch, dass Sie diese Daten verwenden, um den Zugriff auf logische Weise zu steuern. Was meinen wir also damit? Das Gleiche wollen wir mit Daten machen. Wenn jemand keine Rolle oder kein geeignetes Eintragselement hat, sollte er Zugriff darauf haben. Aber der einfachste Weg, einen digitalen Kartenleser in den Standardmodus zu versetzen, ist, wenn Sie diese Karte haben, können Sie hineingehen. Die Segmentierung dieser physischen Räume ist genauso wichtig.
Um mehr über MarketplaceLIVE zu erfahren und auf dem Laufenden zu bleiben, melden Sie sich unter www.marketplacelive.com an
