Was ich als den größten Widerspruch in der Cybersicherheit betrachte ist dies: Sicherheitsvorfälle, die den größten finanziellen Schaden anrichten und Reputationen ruinieren, umfassen fast immer den Diebstahl von Millionen von Datenbankdatensätzen. Dennoch ist Datensicherheit einer der kleinsten Einzelposten in einem Sicherheitsbudget.
Man ist der Ansicht, dass die Gesamtausgaben für Sicherheit 2019 voraussichtlich 124 Milliarden US-Dollar erreichen werden. Datensicherheit umfasst weniger als 3 Prozent der gesamten Sicherheitsbudgets. Die Investitionen in den Datensektor werden von fast jedem anderen Sektor in den Schatten gestellt, von der Verwaltung des Identitätszugriffs (dreimal mehr) über Netzwerksicherheitsausrüstung (viermal größer) bis hin zu Sicherheitsdiensten (satte 18 Mal größer!).
Wenn Daten, ob groß oder klein, das Lebenselixier des modernen digitalen Geschäfts und das verlockendste Ziel von Cyberkriminellen sind, warum sparen Unternehmen immer wieder an ihrem Schutz? Doch bestimmt nicht, weil sie sich hinter ihren Netzwerkperimetern sicher fühlen. Heutzutage, mit der Cloud, mobilen und IoT-Geräten und dem Fortbestehen von Insider-Bedrohungen wie böswillige, nachlässige oder kompromittierte Mitarbeiter (denken Sie an Phishing) ist der Perimeter zu fließend und zu rissig, um gut zu schützen.
Sicherheitsexperten sind sich einig, dass wir in einer Post-Perimeter-Welt leben, in der der Versuch, die Burgmauern zu erhöhen und die virtuellen Tore zu verstärken, wenig Wirkung hat. Dennoch investieren CISOs und ihre Organisationen immer noch viel mehr in die Mauern und Tore, anstatt die Daten an ihrer Quelle zu schützen.
Natürlich sind sich Unternehmen bewusst, dass ihre Daten wertvoll sind und dass es enorme finanzielle und betriebliche Risiken nach sich zieht, wenn diese verloren gehen oder gestohlen werden. Es ist jedoch schwierig, dieses Sicherheitsrisiko in tatsächlichen Geldbeträgen zu nennen, die dann darüber informieren können, wo und wie viel in die Datensicherheit investiert werden sollte.
Was wir brauchen, sind Rahmen und Modelle. Gartner-Analyst Douglas B. Laney beschreibt einige in seinem Buch Infonomics. „Infonomics bietet den Rahmen, den Unternehmen und Regierungen benötigen, um Informationen wertzuschätzen, sie zu verwalten und als echte Bereicherung zu nutzen“, schreibt er.
Mit Infonomics können Unternehmen laut Laney „die Herausforderungen und Best Practices für die Verwaltung aller Formen von Informationen als Assets angehen, einschließlich des Aufbaus einer infoversierten Organisation.“ Ich halte dieses Modell für sehr nützlich und es wird einen Wandel in der Art und Weise einleiten, wie Unternehmen mit ihren Daten umgehen. Gartner prognostiziert, dass „bis 2022 30 % der Chief Data Officers (CDOs) mit ihren CFOs zusammenarbeiten werden, um die Datenbestände ihrer Organisation formell zu bewerten, um das Datenmanagement und die Vorteile zu verbessern.“ Ich bin der Meinung, dass viele Techniken und Modelle anwenden werden, die auf Infonomics basieren.
Lesen Sie unbedingt diesen Gartner-Bericht: „Develop a Financial Risk Assessment for Data Using Infonomics“, der ähnliche Themen behandelt. Das von Laney und zwei weiteren Gartner-Analysten, Brian Lowans und Richard Hunter, gemeinsam verfasste Buch untersucht, wie es Führungskräften in den Bereichen Sicherheit und Risikomanagement an Methoden mangelt, um finanzielle Investitionsmöglichkeiten mit den Geschäftsrisiken im Zusammenhang mit Daten in Einklang zu bringen, und wie neue Infonomics-basierte Modelle ihnen dabei helfen, die finanziellen Risiken zu herauszukristallisieren, die durch Sicherheits-, Compliance- oder Verarbeitungsvorfälle entstehen. Hier ist eine Zahl, die ich in dem Bericht besonders nützlich finde, nämlich die Financial Risk Prioritization Matrix (ein Quadrant, wer hätte das gedacht!):
Für jeden Sicherheitsexperten, der nach einer umsetzbaren Methodik sucht, um Datenbestände zu bewerten und dann ein vertretbares Budget oder einen Investitionsplan zu erstellen, um sie zu schützen, ist dieser Bericht unserer Meinung nach Grundvoraussetzung. Holen Sie sich hier Ihr kostenloses Exemplar. Der Bericht ist nur in englischer Sprache verfügbar.
Holen Sie sich das Neueste von imperva
Die neuesten Nachrichten von unseren Experten in der sich schnell verändernden Welt der Anwendungs-, Daten- und Edge-Sicherheit.