Wie überzeugt man Führungskräfte davon, in eine neue komplexe Sicherheitsstrategie zu investieren?
Auf diese Frage gibt es keine einfache Antwort. In den meisten Unternehmen wurde das Thema Sicherheit inzwischen zur Chefsache erklärt. Trotzdem zögern Führungskräfte oft, Sicherheitsprojekte zu unterstützen, die umfangreiche Ressourcen und beträchtliche organisatorische Veränderungen erfordern.
Entsprechend heikel ist die Lage für Sicherheitsverantwortliche, die die Einführung von SASE planen.
Unabhängig davon, ob Sicherheitsverantwortliche den Begriff SASE (Secure Access Service Edge) verwenden oder nicht, setzen sich viele von ihnen in ihren Unternehmen bereits für die beim SASE-Konzept notwendigen Verfahrensweisen ein. Doch diese Praktiken – etwa die Einführung von Zero Trust-Sicherheit, die Absicherung der Mitarbeitenden beim Surfen im Internet und die Verlagerung von Firewalls und WAN-Konnektivität in die Cloud – setzen die Zusammenarbeit und finanzielle Unterstützung des gesamten Unternehmens voraus. Es müssen neue Anbieter gefunden und bewertet werden, und bestehende Dienstleister müssen neue Aufgaben erhalten oder ersetzt werden. Möglicherweise muss die gesamte Belegschaft neue Sicherheitsverfahren übernehmen.
Diese Anforderungen können bei Führungskräften, die nicht im Bereich der Sicherheit tätig sind, eine gewisse Skepsis hervorrufen. Einige glauben vielleicht, dass die bestehenden Sicherheitsmaßnahmen bereits ausreichenden Schutz bieten, und zögern, ressourcenintensive Änderungen zu unterstützen. Andere unterschätzen vielleicht die Dringlichkeit von SASE und wollen das Projekt weiter hinauszögern.
Effektive Sicherheitsverantwortliche wissen, dass sie ein gewisses Maß an Widerstand überwinden müssen, um die Einführung von SASE voranzutreiben und ihr Unternehmen besser zu schützen. Sie sprechen als Sicherheitsverantwortlicher mit anderen Führungskräften über SASE? Die folgenden Praktiken werden Ihnen helfen, Gehör zu finden:
Erläutern Sie den allgemeinen geschäftlichen Nutzen von SASE und beschreiben Sie, wie es das Risiko reduziert.
Beweisen Sie, welchen Return on Investment SASE bringt, indem Sie Daten zu den finanziellen Vorteilen der Zero Trust-Sicherheit und der Netzwerktransformation vorlegen.
Bieten Sie konkrete nächste Schritte an, einschließlich eines Aktionsplans, in dem Sie angeben, welche Änderungen Sie als Erstes vornehmen wollen und wie diese umgesetzt werden sollen.
Hier sehen Sie, wie diese Maßnahmen in der Praxis aussehen können.
Jede Diskussion über SASE muss natürlich auch die Sicherheitsbedrohungen einbeziehen, die damit verhindert werden können. Sicherheitsverantwortliche sollten anderen Führungskräften helfen, die Risiken zu verstehen, die entstehen, wenn der Netzwerk-Traffic des Unternehmens über das öffentliche Internet läuft, und ihnen erklären, wie SASE dazu beitragen kann, das Unternehmen vor diesen Risiken zu schützen.
Doch Sie sollten das Gespräch noch weiterführen. Warum? Selbst wenn die Führungskräfte die Relevanz der Probleme erkennen, die mit SASE gelöst werden können, glauben sie vielleicht nicht, dass SASE selbst die Lösung ist. Angesichts der vielen logistischen Hürden, die mit der Einführung von SASE verbunden sind, möchten sich Führungskräfte vielleicht auf einfachere und sofortige, aber potenziell weniger effektive Lösungen verlassen, wie z. B. die Ausweitung der VPN-Nutzung und das Anbringen von einzelner, individueller Sicherheitslösungen in der Cloud.
Um ihren Argumenten noch mehr Nachdruck zu verleihen, müssen die Sicherheitsverantwortlichen auch darlegen, wie die Einführung von SASE zur Erreichung allgemeiner, übergeordneter Unternehmensziele beitragen kann. Überlegen Sie Argumente, wie die folgenden einzusetzen:
Effizienz von Remote-Mitarbeitern: Viele Führungskräfte sind neugierig, wie sich die Remote-Arbeit insgesamt auf die Effizienz des Unternehmens auswirkt. Sicherheitsverantwortliche sollten ihnen dabei helfen, zu verstehen, wie herkömmliche Sicherheitstools für die Remote-Arbeit bei umfassender, kontinuierlicher Nutzung unzuverlässig werden und wie SASE helfen kann. Beschreiben Sie zum Beispiel, wie der Verzicht auf VPNs Latenzzeiten und Verbindungsausfälle reduziert. Oder wie durch die Vereinheitlichung von Sicherheitsdiensten auf einer einzigen Cloud-Plattform Verzögerungen vermieden werden können, weil der Traffic zwischen verschiedenen Sicherheitslösungen hin- und herpendelt.
Zügigeres Onboarding von Auftragnehmern: Drittanbieter und Dienstleister werden häufig für dringende Projekte mit hoher Priorität beauftragt. Doch wie Sicherheitsverantwortliche wissen, kann das Onboarding dieser Auftragnehmer aus IT-Sicht mühsam sein. (Das Gleiche kann für neu erworbene Unternehmen gelten.) Helfen Sie den Führungskräften, zu verstehen, wie SASE es einfacher macht, die dringend benötigten Drittanbieter onzuboarden, indem Auftragnehmer ihre eigenen Geräte verwenden können und indem IT- und Sicherheitsteams eine einzige Plattform erhalten, von der aus sie den Netzwerkzugang verwalten und überwachen können.
Effizienz der IT-Teams: Satte 62% aller IT-Teams geben an, dass sie unterbesetzt sind. Dies kann die Organisation daran hindern, eine Vielzahl strategischer Projekte in Angriff zu nehmen. Sicherheitsverantwortliche können Führungskräften dabei helfen, zu verstehen, dass nach der Einführung von SASE IT-Kapazitäten freigesetzt werden. Mit SASE muss die IT-Abteilung beispielsweise keine VPN-Lizenzen mehr bereitstellen, Patches und Fehlerbehebungen für Netzwerksicherheitshardware durchführen oder auf Support-Tickets reagieren, wenn Remote-Sicherheitstools eine Website stören.
Bei diesen Gesprächen sollten die Sicherheitsverantwortlichen auf einfache Ausführungen achten. Es gilt die Regel „keine Herstellernamen, keine Akronyme“ zu befolgen. Es ist leicht zu übersehen, wie viel Fachjargon sich in Diskussionen über Sicherheitsstrategien einschleicht. Jedes überflüssige Schlagwort und jeder Anbietername ist wie ein Bremsklotz, der die Zuhörer vom eigentlichen Inhalt eines Arguments ablenkt. („SASE“ mag die Ausnahme von dieser Regel sein, aber Sie sollten den Begriff dennoch definieren und sparsam verwenden).
Bei Gesprächen mit Führungskräften über SASE werden zwangsläufig die finanziellen Kosten der SASE-Einführung thematisiert. Diese Kosten können kurzfristig sehr hoch erscheinen, da SASE neue Partnerschaften mit Anbietern erfordert und möglicherweise neue IT-Fachkenntnisse verlangt.
Um die Ängste der Führungskräfte vor diesen Kosten auszuräumen, müssen die Sicherheitsverantwortlichen beweisen, dass SASE dem Unternehmen auch Geld sparen kann.
Einige dieser Einsparungen können etwa in Form der Prävention und Abwehr von Angriffen realisiert werden. Zum Beispiel können SASE-Praktiken Angriffe für das Ziel weniger kostspielig machen. Laut dem IBM-Bericht „Cost of a Data breach“ zahlen Unternehmen mit einer ausgereiften Zero-Trust-Implementierung weniger für die Wiederherstellung nach Datenschutzverletzungen. Ausgereifte Zero-Trust-Organisationen zahlen im Durchschnitt 3,28 Millionen Dollar pro Verstoß, verglichen mit 5,04 Millionen Dollar bei Organisationen ohne Zero-Trust-Strategie.
Darüber hinaus können Sicherheitsverantwortliche die im vorangegangenen Abschnitt dargelegten allgemeinen Geschäftsvorteile durch die Berechnung der spezifischen Einsparungen durch die Vereinfachung komplexer IT-Prozesse untermauern. Berücksichtigen Sie ROI-Beispiele wie:
Reduktion der IT-Support-Tickets. SASE macht einmalige Tools für Remote-Zugriff wie VPNs überflüssig, die in der Regel unzuverlässig und latenzintensiv sind. Sobald die Nutzer keinen VPN-Client mehr auf ihren Geräten benötigen, sinkt bei Unternehmen der Zeitaufwand für IT-Tickets, bei denen es um Zugriffsprobleme geht, enorm. Manche berichten, dass sie 80 % weniger Zeit mit der Behebung von Nutzerproblemen verbringen.
Schnelleres Onboarding von Mitarbeitern. Ein Beispiel hierfür ist die Abschaffung alter Remote-Zugangslösungen wie VPN und IP-basierten Kontrollen. Organisationen wie die eTeacher Group sparen nach eigenen Angaben Zeit beim Onboarding neuer Nutzer. So kann etwa die Erteilung der Zugriffsrechte um bis zu 60 % beschleunigt werden.
Eliminierung zusätzlicher Hardwarekosten. Sicherheitshardware – wie Netzwerk-Firewalls und DDoS-Abwehrboxen – verursacht immer Kosten, die über den reinen Verkaufspreis hinausgehen. Installation, Garantien, Reparaturen und Patch-Verwaltung verursachen zusätzliche Ausgaben und erfordern IT-Ressourcen zur Verwaltung. Durch die Verlagerung der Netzwerksicherheit in die Cloud lassen sich diese Kosten eliminieren und zusätzliche Einsparungen erzielen.
Schließlich kann SASE langfristig günstigere finanzielle Bedingungen schaffen, indem es die belastenden Investitionsausgaben für Netzwerkhardware reduziert. Da die SASE-Dienste vollständig aus der Cloud bereitgestellt werden, verwenden sie ein Standard-Cloud-Abonnementmodell. Durch dieses Modell wird Cashflow freigesetzt, der zur Finanzierung anderer vorrangiger Investitionen verwendet werden kann.
Wenn man den Führungskräften die geschäftlichen Vorteile und die finanziellen Auswirkungen von SASE nahebringt, kann man sie leicht überzeugen und mit ins Boot holen. Sie werden aber auch wissen wollen, wie die Einführung von SASE in der Praxis aussieht.
Sicherheitsverantwortliche müssen darauf vorbereitet sein, diese Frage im Detail zu beantworten. Dies bedeutet, dass ein hypothetischer SASE-Einführungsplan erstellt werden muss, der spezifische Schritte und Zeitpläne, den Ressourcenbedarf und die geschätzten Kosten enthält. Einige dieser Besonderheiten werden von Organisation zu Organisation sehr unterschiedlich sein. Aber betrachten Sie die folgenden „ersten Schritte“ als Ausgangspunkt:
Abschaffung von VPN für den Zugang Dritter: Wechseln Sie Berater und Vertragsmitarbeiter zu einem modernen Authentifizierungsdienst und lassen Sie sie sich mit bestehenden Konten oder einmaligen Passwörtern bei Anwendungen anmelden. Dies vereinfacht nicht nur die Onboarding-Prozesse, sondern verhindert auch, dass Dritte den freien Netzwerkzugang, den VPNs bieten, missbrauchen können.
Einführen einer „Zero Trust“-Sicherheitsposition für die Remote-Arbeit: Verwenden Sie einen Authentifizierungs- und Zugriffsverwaltungsdienst, der den Ansatz „niemals vertrauen, immer verifizieren“ verfolgt. Dementsprechend wird die Identität von Remote-Mitarbeitern jedes Mal überprüft, wenn sie auf eine Anwendung zugreifen. Zudem sollten alle ihre Anfragen verfolgt werden. So haben Sie eine bessere Kontrolle über eine Gruppe von Mitarbeitern mit hohem Risiko.
Remote-Zugriff via VPN abschaffen: Wie in Schritt 1, sollten Sie Ihre Remote-Mitarbeiter zu einem modernen Authentifizierungsdienst wie SSO umstellen. Dies macht es für Angreifer bedeutend schwieriger, mittels kompromittierter Geräte oder VPN-Anmeldeinformationen laterale Bewegung zu erzielen.
Konsolidieren Sie Zero Trust-Sicherheitstools bei Vertragsverlängerungen: Es ist selten möglich, bestehende sichere Web-Gateways, Browser-Isolationstools und Cloud-Access-Security-Broker auf einen Schlag zu ersetzen. Wenn Verträge auslaufen, fügen Sie diese Dienste zu einer einzigen SASE-Plattform hinzu und profitieren von der Effizienz der Verwaltung an einem Ort.
Einführen einer Zero Trust-Sicherheitsposition für Bürostandorte: Verlangt von den Mitarbeitern, dass sie sich über die Zero Trust-Plattform authentifizieren, auch wenn sie sich innerhalb eines herkömmlichen Netzwerks befinden. Dies hilft, Datenverluste zu verhindern, schützt Mitarbeiter vor Bedrohungen aus dem öffentlichen Internet und verhindert laterale Bewegungen von Angreifern.
Das Thema Sicherheit betrifft mehr als bloß das Sicherheitsteam im Unternehmen. Je mehr die Führungsebene in Sicherheitsprojekte investiert, desto sicherer wird das gesamte Unternehmen.
Der SASE und die tiefgreifenden gesellschaftlichen Veränderungen, die ihn notwendig machen, sind eine hervorragende Gelegenheit für Sicherheitsverantwortliche, diese Investitionen zu fördern. Das Hinweisen auf die Geschäftsvorteile und den finanziellen Nutzen durch SASE, sowie die Ausarbeitung eines konkreten Aktionsplans sind nicht einfach – und werden auch nicht nach ein paar einzelnen Gesprächen gelingen. Wenn Sicherheitsverantwortliche jedoch konsequent und selbstbewusst diese bewährten Verfahren anwenden, fördern sie ein breites Sicherheitsbewusstsein, das ihnen und ihren Teams auch in Zukunft zugutekommen wird.
Erfahren Sie außerdem, wie Cloudflare SASE und Zero Trust bereitstellt, indem Sie unsere Cloudflare One-Plattform erkunden. Es stellt identitätsbasierte Sicherheitskontrollen, Firewall, WAN-as-a-Service und andere SASE-Funktionen in einem einheitlichen Netzwerk bereit, das den Benutzern überall auf der Welt zur Verfügung steht und ihnen hilft, schnell und sicher eine Verbindung zu allen Unternehmensressourcen herzustellen. Und all diese Komponenten sind von Grund auf so konzipiert, dass sie sofort zusammenarbeiten und den Sicherheitsteams die Einführung von SASE erleichtern.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Folgende Informationen werden in diesem Artikel vermittelt:
Warum ein besonderer Ansatz nötig ist, um die Führungsetage von SASE zu überzeugen
Darstellung der Vorzüge von SASE für Adressaten ohne technischen Hintergrund
Optimale erste Schritte bei der SASE-Einführung
Mit dem Whitepaper Erste Schritte mit SASE: Ein Leitfaden zur Sicherung und Optimierung Ihrer Netzwerkinfrastruktur können Sie mehr über das Konzept SASE erfahren und beginnen, seine Einführung in Ihrem Unternehmen zu planen.
Get the whitepaper!