ROI: Expertentipps zur Rechtfertigung von Sicherheitsinvestitionen

Die Herausforderungen des ROI in der IT-Sicherheit

In den letzten Monaten hatte ich eine Reihe von Gesprächen über die Notwendigkeit, Ausgaben für Sicherheit zu rechtfertigen. Dieses Jahr war für viele Organisationen hart, daher wachsen die IT-Budgets im Allgemeinen nicht. Zudem musste das bereits zugewiesene Geld oft umgeplant werden, um sich ändernden Geschäftsanforderungen gerecht zu werden. Gleichzeitig werden Führungskräfte und Vorstandsmitglieder schmerzlich auf die heutigen Cyber-Risiken und die Kosten der Nichtbeachtung aufmerksam. Sie erwarten, dass das IT-Team und die IT-Sicherheitsführungskräfte solide Datenpunkte liefern, die die effektivsten Sicherheitsinvestitionsentscheidungen ermöglichen.

Das ist der Punkt, an dem viele Unternehmen, mit denen ich spreche, auf ein unerwartetes Hindernis stoßen. Seit Jahrzehnten wird IT (und IT-Sicherheit) als rein technische Disziplin behandelt, und die besten technischen Fachkräfte wurden in IT-Führungspositionen befördert. Sie können jede anspruchsvolle Technologiefrage beantworten, aber nicht alle sprechen die „Business“-Sprache. Das macht es beiden Seiten des Gesprächs schwer, zu produktiven Entscheidungen zu kommen.

Eine weitere Herausforderung für viele IT-Leiter ist der Mangel an faktischen Daten, auf die sie sich verlassen können. In der Technologie arbeitet man mit Fakten und man hat präzise und verteidigungsfähige Messungen. Zum Beispiel können Sie über die Anzahl der Vorfälle in einem bestimmten Zeitraum berichten oder die Zeit, die benötigt wird, um einen anfälligen Server zu patchen. Aber wie zeigen Sie die erwartete Rendite einer Sicherheitsinvestition, ohne in den Bereich von Annahmen und Wahrscheinlichkeiten zu treten? Das bringt viele IT-Profis, mich eingeschlossen, aus ihrer Komfortzone heraus.

Nutzen wir diese Erkenntnisse als Gelegenheit, um zu sehen, was es da draußen gibt.

Die vier Säulen des ROI

Wenn ich die Gelegenheit habe, über Sicherheitsinvestitionen zu sprechen, sei es in Menschen, Prozesse oder Technologie, versuche ich immer, eine Frage zu stellen: Wie denken Sie, kann sich das auszahlen? Die Antworten variieren stark, lassen sich aber in eine oder mehrere dieser vier Kategorien zusammenfassen:

• Diese Investition wird uns Geld sparen, indem sie laufende Kosten reduziert.
• Diese Investition wird uns helfen, vertraglichen Verpflichtungen oder Branchen- oder Regierungsregulierungen nachzukommen.
• Diese Investition wird unser Geschäftsrisiko verringern (indem sie die Wahrscheinlichkeit, die Auswirkungen oder beides reduziert).
• Diese Investition wird es uns ermöglichen, neue Geschäftsmöglichkeiten zu verfolgen.

Alle vier Elemente scheinen gute Gründe für eine Investition zu sein. Aber wo passt jedes davon in die Unterhaltung, und wie fügt man alles zusammen? Lassen Sie uns jedes Element der Reihe nach betrachten.

Betriebskosteneinsparungen

Kosteneinsparungen sind eine der offensichtlichsten Maßnahmen für den ROI, besonders wenn der CIO oder der IT-Leiter auch für die Sicherheit verantwortlich ist. Wenn ein Projekt es Ihnen ermöglicht, Speicherplatz zu reduzieren, Lizenzen zu konsolidieren oder Zeit und Aufwand durch Automatisierung zu verringern, können Sie die Rendite mit angemessener Sicherheit berechnen.

Der Vorbehalt hierbei ist zu verstehen, dass dies niemals der einzige Grund für die Investition sein sollte. Das Hauptziel der IT-Sicherheit besteht darin, Risiken zu managen, und Sie tun sich selbst keinen Gefallen mit einem Projekt, das nicht dort beginnt. Kosteneinsparungen funktionieren jedoch hervorragend als zusätzlicher Grund, in etwas zu investieren, das ein Risiko reduziert, das dem Unternehmen wichtig ist.

Compliance

Organisationen wissen, dass sie sich an die relevanten Vorschriften halten müssen, um weiterhin im Geschäft zu bleiben. Viele IT-Sicherheitsteams nutzen dies und stellen neue Sicherheitsinitiativen als ein Muss für die Einhaltung von Compliance dar. Es ist nicht ungewöhnlich, in Fachkreisen oder auf Konferenzen einen Tipp wie „Nutzen Sie Compliance, um Ihre Sicherheitsinitiativen zu finanzieren“ zu hören.

Im Allgemeinen ist es richtig, dass Vorschriften versuchen, Mindestleitlinien für die Sicherung bestimmter Datentypen oder Aktivitäten festzulegen. Allerdings kann keine Vorschrift Ihnen ein universelles Handbuch für die Sicherung Ihres spezifischen Unternehmens gegen die aktuellen Bedrohungen zu einem bestimmten Zeitpunkt geben.

Compliance kann ein effektiver Weg sein, um ein Gespräch über den ROI zu beginnen und Aufmerksamkeit in einer weniger reifen Organisation zu erlangen, in der das Führungsteam weniger über die tatsächlichen Risiken informiert ist. Es ist jedoch potenziell dünnes Eis: Man sollte sich niemals auf ein falsches Sicherheitsgefühl verlassen, das auf dem Abhaken aller Punkte einer Compliance-Checkliste basiert.

Ein weiteres Problem, das Sie vermeiden möchten, ist der Eindruck, dass das IT-Sicherheitsteam ein „notwendiges Übel“ ist, das Führungskräfte tolerieren und sogar finanzieren würden, aber gerne loswerden würden, wenn sie könnten.

Ich behaupte keineswegs, dass Sie Compliance nicht in ein Budgetgespräch einbringen sollten. Im Gegenteil, Sie sollten sich der aktuellen und erwarteten regulatorischen Anforderungen für Ihre Branche und Rechtsprechung bewusst sein. Allerdings denke ich, dass es ein Fehler wäre, sich zu sehr auf Compliance als primären Weg zur Rechtfertigung einer Sicherheitsinvestition zu verlassen, ähnlich wie bei der Reduzierung der Betriebskosten.

Risikominderung

Das primäre Ziel jeder IT-Sicherheitsorganisation ist das Risikomanagement und die Risikominderung. Aber Risiken zu verstehen, kann kompliziert sein: Ist eine neu entdeckte Schwachstelle ein Risiko für Ihr spezielles Unternehmen? Sollten Sie den Nachrichten über staatlich unterstützte APT-Gruppen wie Lazarus Beachtung schenken?

Der Schlüssel liegt darin, das IT-Sicherheitsrisikomanagement an das übergeordnete Geschäftsrisikomanagement in Ihrer Organisation anzupassen. Verteidigungs- oder Finanzorganisationen verfügen in der Regel über eine reife und etablierte Risikomanagementstrategie, manchmal mit einer dedizierten Rolle eines Chief Risk Officer; wenn Ihre Organisation jemanden in dieser Position hat, dann ist das die Person, von der Sie lernen möchten. Aber jede Organisation trifft ständig Entscheidungen über Risiken. Oft liegt diese Verantwortung beim CFO und CEO. Ich glaube, Sie sollten ihren Rat suchen, um eine abgestimmte und konsistente Risikomanagementstrategie für die Organisation aufzubauen. Es nicht zu tun, schafft zusätzliche Arbeit und kann die Organisation echten Bedrohungen aussetzen, die IT übersehen hat aufgrund mangelnder Geschäftsbeteiligung.

Das bringt uns zurück zu der Herausforderung, mit der ich begonnen habe: Wie messen Sie Risiko und erwartete Einsparungen? Ich werde nicht einmal versuchen, das alles in einem Beitrag zu entpacken; es gibt lange Bücher zu diesem Thema (hier ist ein gutes: “How to Measure Anything in Cybersecurity Risk” von Douglas W. Hubbard und Richard Seiersen).

Sie müssen sich auf Expertenmeinungen verlassen, um die Kosten oder das Risiko und das Ausmaß der Reduzierung zu schätzen. Das bedeutet jedoch nicht, dass Sie einfach raten müssen. Es gibt einen zweiseitigen Ansatz, um Vermutungen zu vermeiden:

• Lernen Sie von innen heraus. Lernen Sie von Ihrem Geschäftsrisikomanagementprozess und versuchen Sie, konsistent damit zu sein. Sie müssen eine Verbindung zur Geschäftsleitung herstellen, um dies zu tun, und Sie benötigen deren Einschätzung zu den erwarteten Verlusten.
• Lernen Sie von außen. Prüfen Sie, ob es eine relevante CISO-Gruppe oder ein Forum gibt, dem Sie beitreten können, um von den Erfahrungen anderer Unternehmen zu lernen. Eine weitere gute Quelle ist Branchenforschung, wie der „Cost of Data Breach Report“ vom Ponemon Institute, gesponsert von IBM.

Machen Sie es sich nicht zu kompliziert — einigen Sie sich auf einen Ansatz und wenden Sie ihn konsequent an. Nach einigen Quartalen werden Sie in der Lage sein, Trends zu erkennen (und zu belegen) und gegebenenfalls Anpassungen vorzunehmen.

Geschäftsmöglichkeit

Sie haben in den letzten Jahren sicherlich bei verschiedenen Branchenveranstaltungen Gespräche über „Sicherheit als Geschäftsförderer“ gehört. Die meisten Leute scheinen sich einig zu sein, dass dies eine großartige Idee ist, aber nicht vielen Organisationen gelingt es, dieses Versprechen zu erfüllen.

Wie bei anderen Aspekten des ROI ist Kommunikation auch hier entscheidend. Sie müssen Verbindungen aufbauen und in Kontakt mit dem Führungsteam und den Leitern der Geschäftseinheiten bleiben. Auf diese Weise haben Sie die Möglichkeit, Sicherheit zu einem Teil jeder neuen Projektbesprechung zu machen – und zu einem untrennbaren Teil des Implementierungsplans – von Anfang an.

Da Sie nicht der Eigentümer eines neuen Geschäftsprojekts sind, können Sie die Größe der Renditen für die gesamte Gelegenheit nicht abschätzen. Sie müssen dies jedoch nicht tun. Ich empfehle, sich in Ihren ROI-Gesprächen auf diese neuen Initiativen zu beziehen, aber ohne zu versuchen, spezifische Zahlen anzugeben.

Wichtigste Erkenntnisse

Ich habe begonnen, an diesem Beitrag zu arbeiten, um meine persönlichen Erkenntnisse aus all den Gesprächen, die ich dieses Jahr über den ROI im Bereich Sicherheit geführt habe, zusammenzufassen. Hier ist meine Liste:

• Nutzen Sie Ihr Urteilsvermögen und Ihre Expertise, um die Risikominderung für jede Investition abzuschätzen. Sie müssen nicht präzise sein; akzeptieren Sie Unvollkommenheit. Denken Sie daran, dass Expertise im Risikomanagement wahrscheinlich anderswo in Ihrem Unternehmen vorhanden ist — versuchen Sie, von diesen Personen zu lernen und den gleichen Ansatz zu nutzen. Verwenden Sie die Ihnen zur Verfügung stehenden Werkzeuge und Daten.
• Lernen Sie, die Sprache des Geschäfts zu sprechen. Sicherheit ist nicht (nur) ein technisches Problem. Es gibt viel, was Sie vom CFO oder CRO und dem CEO lernen können, und Sie können diese Gespräche nutzen, um ihnen auch mehr beizubringen. Der Aufbau eines umfassenden Risikomanagementprogramms, das finanzielle, rufschädigende und Sicherheitsrisiken umfasst, wird Ihrem Unternehmen helfen, auf allen Ebenen stärker zu werden.
• Halten Sie die Kommunikationswege mit Führungskräften im gesamten Unternehmen offen. Sicherheitsinvestitionen können (und sollten oft) Teil neuer Projekte und neuer Möglichkeiten sein. Helfen Sie Geschäftsführern, Sicherheit nicht als Kostenstelle, sondern als strategische Initiative zu sehen.
• Nutzen und gewichten Sie alle vier ROI-Argumente. Obwohl die Risikominderung der Ausgangspunkt sein sollte, bedenken Sie immer, wie derselbe ausgegebene Dollar Ihrer Organisation helfen kann, Compliance zu erreichen, Betriebskosten zu senken und/oder Geschäftschancen zu unterstützen.