KPMG-Partner Indy Dharmi erklärt, wo man mit Cyber-Resilienz beginnen sollte
Die Umstellung von traditioneller InfoSec auf Cyber-Resilienz ist nicht nur eine Entwicklung — sie ist eine Revolution.
Der Schwerpunkt der heutigen Cybersicherheit hat sich vom bloßen Schutz von Vermögenswerten hin zur Sicherstellung der Geschäftstätigkeit angesichts ständiger und ausgeklügelter Bedrohungen verlagert. Diese Denkweise der Widerstandsfähigkeit hilft Unternehmen, sich nicht nur vor Cyberbedrohungen zu schützen, sondern sich auch schnell zu erholen und sich an neue Herausforderungen anzupassen.
In unserer neuesten Folge von The Segment: A Zero Trust Leadership Podcast habe ich mich mit Indy Dharmi, Partner bei KPMG UK, getroffen. Wir haben die Entwicklung der Branche in den letzten zwanzig Jahren aufgezeigt, warum Cyber-Resilienz wichtiger denn je ist und wie Sie Unternehmen für Ihre Zero-Trust-Sicherheitsinitiativen gewinnen können.
Über Indy Dharmi, Partner bei KPMG UK
Mit über zwei Jahrzehnten Erfahrung in der Cybersicherheitsbranche bringt Indy einen reichen Erfahrungsschatz in seine Rolle als Partner bei KPMG UK ein. Seine Karriere begann in den frühen 2000er Jahren mit der Leitung der IT für ein Architekturbüro, wo er ein Interesse an Cybersicherheit entwickelte.
Indys Karriere nahm eine Wendung, als er am Aufbau eines globalen zertifizierten Informationssicherheitsmanagementsystems mitwirkte. Er vertiefte sein Fachwissen weiter und leitete groß angelegte Projekte zur Sicherheitstransformation in ganz Europa und darüber hinaus. Bevor er zu KPMG kam, arbeitete Indy für ein von der Regierung Singapurs finanziertes Unternehmen, das in Cyberfirmen investierte.
Bei KPMG ist Indy ein führendes Unternehmen im Bereich der digitalen Transformation, das innovative Strategien zum Schutz verschiedener Sektoren vor neuen Bedrohungen vorantreibt. Er hat eine Leidenschaft für Karrierementoring und Coaching und inspiriert durch authentische Führung zu positiven kulturellen Veränderungen.
Das Sensibilisierungsproblem der Cybersicherheit mit Resilienz lösen
Als Indy mit Cybersicherheit begann, erinnert er sich an die mangelnde Dringlichkeit von Cyberangriffen und deren Potenzial, zu katastrophalen Sicherheitslücken zu werden.
Irgendwann führte er eine Krisensimulation mit der Führung seines Unternehmens durch, und sie glaubten nicht, dass ein Angriff auf ihr Unternehmen stattfinden könnte. „Solche Dinge wurden oft nie in Betracht gezogen“, erklärte Indy.
Dennoch glaubt er, dass die zunehmende Prävalenz von Cyberangriffen in den Nachrichten oft dazu führt, dass sie als Routine wahrgenommen werden — was ihre wahre Wirkung überschattet.
„Es wird nicht genug über Dinge berichtet“, sagte Indy. „Die breite Öffentlichkeit hat also immer noch nicht den Aha-Moment darüber, warum Cybersicherheit so wichtig ist.“
Diese Lücke im öffentlichen Bewusstsein macht die Notwendigkeit von Cyber-Resilienz wichtiger denn je. Die heutige öffentliche Wahrnehmung von Sicherheitslücken und die traditionellen Tools, mit denen wir sie verhindern oder aufdecken, reichen nicht aus. Wenn es unmöglich ist, jeden Verstoß zu verhindern, müssen Unternehmen proaktiv darauf vorbereitet sein, Verstöße zu verhindern, wenn sie passieren.
Wo soll man mit Cyber-Resilienz beginnen: Risikobereitschaft und Toleranz
Deshalb ist Cyber-Resilienz so wichtig. „Im Moment sehen Sie in den Nachrichten möglicherweise ein-, zweimal, dreimal Cyberangriffe“, sagte er. „Es ist immer häufiger geworden, und die Leute stellen den Sicherheitsverantwortlichen immer schwierigere Fragen.“
Der Übergang von der traditionellen Informationssicherheit zur Cyber-Resilienz ist wegweisend. Es geht nicht mehr nur darum, Probleme zu lösen — es geht darum, den Betrieb während einer Krise aufrechtzuerhalten.
„Bei Resilienz, nicht nur Cyber-Resilienz, sondern auch betrieblicher Resilienz, geht es darum, wie ich auch dann weiterarbeiten kann, wenn all diese unerwarteten Dinge passieren“, sagte Indy.
Dies unterstreicht den dringenden Bedarf an Infrastrukturen, die Störungen durch Cyberangriffe aushalten können. Da Cybervorfälle immer häufiger werden, stehen Sicherheitsverantwortliche unter Druck, robuste Resilienzstrategien zu entwickeln.
Wo können Organisationen also anfangen? EIN Zero-Trust-Strategie ist eine der besten Möglichkeiten, auf Cyber-Resilienz hinzuarbeiten. Zero Trust ist eine weltweit validierte Strategie, die auf dem Mantra „Niemals vertrauen, immer überprüfen“ basiert. Sie hilft Unternehmen dabei, sich proaktiv auf Sicherheitslücken vorzubereiten, und zwar durch Netzwerksegmentierung, auch bekannt als Zero-Trust-Segmentierung (ZTS), in seinem Kern.
Indy empfiehlt, beim Aufbau von Zero Trust die folgenden beiden Fragen zu stellen:
- Wie hoch ist Ihre Risikobereitschaft, wenn es um Cybersicherheit geht?
- Anhand welcher Datenpunkte können Sie beurteilen, ob Sie innerhalb oder außerhalb dieses Toleranzniveaus liegen?
Nach Indys Erfahrung hilft dies Unternehmensleitern, sich darüber im Klaren zu sein, was in ihrem Unternehmen am wichtigsten ist, was sie zuerst schützen müssen und welche Informationen und Tools sie dafür benötigen.
Cybersicherheit wie einen Mannschaftssport behandeln
Indy hob auch hervor, wie staatliche Cybersicherheitsmandate und -richtlinien auch Organisationen im öffentlichen und privaten Sektor dabei helfen können, ihre Widerstandsziele zu erreichen.
US-Bundesrichtlinien wie Das Zero-Trust-Reifegradmodell (ZTMM) von CISA oder die der EU DORA- und NIS2-Mandate bieten schrittweise Anleitungen und bewährte Verfahren für Unternehmen jeder Größe und Branche.
Eine zentrale Anforderung, die Indy in diesen Dokumenten sieht, ist eine durchgängige Echtzeit-Übersicht der Netzwerk- und Workload-Verkehrsflüsse.
„Sie müssen mit einem wirklich guten Verständnis dafür beginnen, wie die Dinge in Ihrer Umgebung interagieren“, erklärte er. „Aber wie interagieren all Ihre Lieferanten und die vor- und nachgelagerten Abhängigkeiten auf Systemebene?“ Anhand dieser Informationen werden die Teams in der Lage sein, die Gefährdung ihres Netzwerks zu verstehen und dann die richtigen Sicherheitskontrollen einzuführen.
Dieser tiefe Einblick in die Infrastruktur Ihres Netzwerks erfordert die Einbindung von Teams im gesamten Unternehmen. Für Indy erfordert eine erfolgreiche Navigation, dass Sicherheit zu einem „Teamsport“ wird. Ein kollaborativer Ansatz fördert die Widerstandsfähigkeit und bringt Cybersicherheitsinitiativen mit unternehmensweiten Zielen in Einklang.
So verbinden Sie Zero Trust mit Geschäftszielen
Aus Sicht von Indy kann eine Zero-Trust-Strategie Sicherheitsverantwortlichen dabei helfen, eine bessere Geschichte darüber zu erzählen, wie Cyberangriffe auf die Geschäftsziele abgestimmt sind.
„Es geht darum, die Szene zu schaffen, sie richtig zu gestalten und dafür zu sorgen, dass sie bei den Führungskräften auf Vorstandsebene Anklang findet“, erklärte Indy.
Zero Trust ist ein hilfreiches Framework, um die Zustimmung von Cyberkriminellen zu gewinnen, da es die Sicherheit aus dem Bereich der technischen Kontrollen herausnimmt.
Indy empfiehlt Sicherheitsverantwortlichen, diesen Ansatz zu wählen, wenn sie sich für die Initiativen und Bedürfnisse ihres Teams einsetzen:
- Beginnen Sie immer mit den Zielen Ihres Unternehmens: „Nehmen Sie Ihre Geschäftsstrategie in die Hand, nehmen Sie den Jahresbericht zur Hand, verstehen Sie, was das Unternehmen zu tun versucht, und fügen Sie es dann Ihren Sicherheitsplänen hinzu.“
- Nutzen Sie die Zero-Trust-Prinzipien als strategisches Instrument: „Erläutern Sie, wie Zero Trust [das Unternehmen] bei der Nutzung seiner strategischen Säulen unterstützen kann.“
- Speichern Sie die Technologie zum Schluss auf: „Dann können Sie mit den technologischen Kontrollen beginnen, die erforderlich sind, um jeden dieser Punkte zu erreichen.“
„Es geht darum, es auf verbrauchbare Weise aufzuschlüsseln“, sagte Indy.
Höre zu, abonniere und rezensiere The Segment: A Zero Trust Podcast
Willst du mehr erfahren? Höre dir die ganze Folge mit Indy an unsere Website, Apple-Podcasts, Spotify, oder wo auch immer du deine Podcasts bekommst. Sie können auch ein vollständiges Protokoll der Episode lesen.
Wir werden bald mit weiteren Zero-Trust-Einblicken zurück sein!