Wie überzeugt man Führungskräfte davon, in eine neue komplexe Sicherheitsstrategie zu investieren?
Auf diese Frage gibt es keine einfache Antwort. In den meisten Unternehmen wurde das Thema Sicherheit inzwischen zur Chefsache erklärt. Trotzdem zögern Führungskräfte oft, Sicherheitsprojekte zu unterstützen, die umfangreiche Ressourcen und beträchtliche organisatorische Veränderungen erfordern.
Entsprechend heikel ist die Lage für Sicherheitsverantwortliche, die die Einführung von SASE planen.
Unabhängig davon, ob Sicherheitsverantwortliche den Begriff SASE (Secure Access Service Edge) verwenden oder nicht, setzen sich viele von ihnen in ihren Unternehmen bereits für die beim SASE-Konzept notwendigen Verfahrensweisen ein. Doch diese Praktiken – etwa die Einführung von Zero Trust-Sicherheit, die Absicherung der Mitarbeitenden beim Surfen im Internet und die Verlagerung von Firewalls und WAN-Konnektivität in die Cloud – setzen die Zusammenarbeit und finanzielle Unterstützung des gesamten Unternehmens voraus. Es müssen neue Anbieter gefunden und bewertet werden, und bestehende Dienstleister müssen neue Aufgaben erhalten oder ersetzt werden. Möglicherweise muss die gesamte Belegschaft neue Sicherheitsverfahren übernehmen.
Diese Anforderungen können bei Führungskräften, die nicht im Bereich der Sicherheit tätig sind, eine gewisse Skepsis hervorrufen. Einige glauben vielleicht, dass die bestehenden Sicherheitsmaßnahmen bereits ausreichenden Schutz bieten, und zögern, ressourcenintensive Änderungen zu unterstützen. Andere unterschätzen vielleicht die Dringlichkeit von SASE und wollen das Projekt weiter hinauszögern.
Effektive Sicherheitsverantwortliche wissen, dass sie ein gewisses Maß an Widerstand überwinden müssen, um die Einführung von SASE voranzutreiben und ihr Unternehmen besser zu schützen. Sie sprechen als Sicherheitsverantwortlicher mit anderen Führungskräften über SASE? Die folgenden Praktiken werden Ihnen helfen, Gehör zu finden:
Erläutern Sie, welche umfassenden Vorteile SASE dem Unternehmen bietet und beschreiben Sie, wie es das Risiko reduziert.
Beweisen Sie, welchen Return on Investment SASE bringt, indem Sie Daten zu den finanziellen Vorteilen der Zero Trust-Sicherheit und der Netzwerktransformation vorlegen.
Schlagen Sie konkrete nächste Schritte vor, einschließlich eines Aktionsplans, in dem Sie angeben, welche Änderungen Sie als Erstes vornehmen wollen und wie diese umgesetzt werden sollen.
Hier erfahren Sie, wie diese Maßnahmen in der Praxis aussehen können.
Jede Diskussion über SASE muss sich natürlich auch mit den Sicherheitsbedrohungen befassen, die damit verhindert werden können. Sicherheitsverantwortliche sollten anderen Führungskräften helfen, vermitteln, welche Risiken entstehen, wenn der Traffic des Unternehmensnetzwerks über das öffentliche Internet läuft, und ihnen erklären, wie SASE dazu beitragen kann, das Unternehmen vor diesen Risiken zu schützen.
Sie sollten das Gespräch an diesem Punkt jedoch noch nicht beenden. Warum? Selbst wenn die Führungskräfte davon überzeugt sind, dass SASE äußerst wichtige Probleme lösen kann, glauben sie vielleicht nicht, dass SASE selbst die Lösung ist. Angesichts der vielen logistischen Hürden, die mit der Einführung von SASE verbunden sind, möchten sich Führungskräfte vielleicht auf einfachere und sofortige, aber potenziell weniger effektive Lösungen verlassen, wie z. B. die Ausweitung der VPN-Nutzung und die Ergänzung einzelner, individueller Sicherheitslösungen in der Cloud.
Um ihren Argumenten noch mehr Nachdruck zu verleihen, müssen die Sicherheitsverantwortlichen auch darlegen, wie die Einführung von SASE dabei helfen wird, allgemeine, übergeordnete Unternehmensziele zu erreichen. Dabei können Sie Argumente wie die folgenden einbringen:
Effizienz von Remote-Mitarbeitenden: Viele Führungskräfte sind neugierig, wie sich die Remote-Arbeit insgesamt auf die Effizienz des Unternehmens auswirkt. Sicherheitsverantwortliche sollten ihnen vermitteln, wie herkömmliche Sicherheitstools für die Remote-Arbeit bei umfassender, kontinuierlicher Nutzung unzuverlässig werden und wie SASE helfen kann. Beschreiben Sie zum Beispiel, wie die Abschaffung von VPNs Latenzzeiten und Verbindungsausfälle reduziert. Oder wie durch die Vereinheitlichung von Netzwerksicherheitsdienstenauf einer einzigen Cloud-Plattform Verzögerungen vermieden werden können, weil der Traffic zwischen verschiedenen Sicherheitslösungen hin- und herpendelt.
Zügigeres Onboarding von Auftragnehmern: Drittanbieter und Dienstleister werden häufig für dringende Projekte mit hoher Priorität beauftragt. Doch wie Sicherheitsverantwortliche wissen, kann das Onboarding dieser Auftragnehmer aus IT-Sicht mühsam sein. (Das Gleiche kann für neu erworbene Unternehmen gelten.) Helfen Sie den Führungskräften, zu verstehen, wie SASE es einfacher macht, die dringend benötigten Drittanbieter onzuboarden, indem Auftragnehmer ihre eigenen Geräte verwenden können und indem IT- und Sicherheitsteams eine einzige Plattform erhalten, von der aus sie den Netzwerkzugang verwalten und überwachen können.
Effizienz der IT-Teams: Nicht weniger als 62 Prozent aller IT-Teams geben an, dass sie unterbesetzt sind. Dieser Umstand kann Unternehmen daran hindern, eine Vielzahl strategischer Projekte in Angriff zu nehmen. Sicherheitsverantwortliche können Führungskräften vermitteln, dass nach der Einführung von SASE IT-Kapazitäten freigesetzt werden. Mit SASE muss die IT-Abteilung beispielsweise keine VPN-Lizenzen mehr bereitstellen, Patches und Fehlerbehebungen für Netzwerksicherheitshardware vornehmen oder auf Support-Tickets reagieren, wenn Remote-Sicherheitstools das Funktionieren einer Website beeinträchtigen.
Bei diesen Gesprächen sollten die Sicherheitsverantwortlichen auf einfache Ausführungen achten. Es gilt die Regel „keine Herstellernamen, keine Abkürzungen“ zu befolgen. Es ist leicht zu übersehen, wie viel Fachjargon sich in Diskussionen über Sicherheitsstrategien einschleicht. Jedes überflüssige Schlagwort und jeder Anbietername ist wie ein Bremsklotz, der die Zuhörer vom eigentlichen Inhalt eines Arguments ablenkt. („SASE“ mag die Ausnahme von dieser Regel sein, aber Sie sollten den Begriff dennoch definieren und sparsam verwenden).
Bei Gesprächen mit Führungskräften über SASE werden zwangsläufig die finanziellen Kosten der SASE-Einführung thematisiert. Diese Kosten können kurzfristig sehr hoch erscheinen, da SASE neue Partnerschaften mit Anbietern erfordert und möglicherweise neue IT-Fachkenntnisse verlangt.
Um die Ängste der Führungskräfte vor diesen Kosten auszuräumen, müssen die Sicherheitsverantwortlichen beweisen, dass SASE dem Unternehmen auch Geld sparen kann.
Einige dieser Einsparungen können etwa in Form der Prävention und Abwehr von Angriffen realisiert werden. Zum Beispiel können SASE-Praktiken Angriffe für das Ziel weniger kostspielig machen. Laut dem IBM-Bericht „Cost of a Data breach“ zahlen Unternehmen mit einer ausgereiften Zero-Trust-Implementierung weniger für die Wiederherstellung nach Datenschutzverletzungen. Ausgereifte Zero-Trust-Organisationen zahlen im Durchschnitt 3,28 Millionen Dollar pro Verstoß, verglichen mit 5,04 Millionen Dollar bei Organisationen ohne Zero-Trust-Strategie.
Darüber hinaus können Sicherheitsverantwortliche die im vorangegangenen Abschnitt dargelegten allgemeinen Vorteile für das Unternehmen durch die Berechnung der spezifischen Einsparungen durch die Vereinfachung komplexer IT-Prozesse untermauern. Berücksichtigen Sie ROI-Beispiele wie:
Reduktion der IT-Support-Tickets. SASE macht einmalige Tools für Remote-Zugriff wie VPNs überflüssig, die in der Regel unzuverlässig und mit hohen Latenzzeiten verbunden sind. Sobald die Nutzer keinen VPN-Client mehr auf ihren Geräten benötigen, sinkt bei Unternehmen der Zeitaufwand für IT-Tickets, bei denen es um Zugriffsprobleme geht, enorm. Manche Unternehmen berichten, dass sie 80 % weniger Zeit mit der Behebung von Nutzerproblemen verbringen.
Schnelleres Onboarding von Mitarbeitenden. Ein Beispiel hierfür ist die Abschaffung alter Remote-Zugangslösungen wie VPN und IP-basierten Kontrollen. Organisationen wie die eTeacher Group sparen nach eigenen Angaben Zeit beim Onboarding neuer Nutzer. So kann etwa die Erteilung der Zugriffsrechte um bis zu 60 % beschleunigt werden.
Beseitigung zusätzlicher Hardwarekosten. Sicherheitshardware – wie Netzwerk-Firewalls und Server zur DDoS-Abwehr – verursacht immer Kosten, die über den reinen Kaufpreis hinausgehen. Installation, Garantien, Reparaturen und Patch-Verwaltung führen zu zusätzlichen Ausgaben und beanspruchen IT-Ressourcen für die Verwaltung. Durch die Verlagerung der Netzwerksicherheit in die Cloud lassen sich diese Kosten beseitigen und zusätzliche Einsparungen erzielen.
Schließlich kann SASE langfristig günstigere finanzielle Bedingungen schaffen, indem es die belastenden Investitionsausgaben für Netzwerkhardware reduziert. Da die SASE-Dienste vollständig aus der Cloud bereitgestellt werden, verwenden sie ein Standard-Cloud-Abonnementmodell. Durch dieses Modell wird Cashflow freigesetzt, der zur Finanzierung anderer vorrangiger Investitionen verwendet werden kann.
Wenn man den Führungskräften die geschäftlichen Vorteile und die finanziellen Auswirkungen von SASE nahebringt, kann man sie leicht überzeugen und mit ins Boot holen. Sie werden aber auch wissen wollen, wie die Einführung von SASE in der Praxis aussieht.
Sicherheitsverantwortliche müssen diese Frage darum sehr genau beantworten können. Darum muss ein hypothetischer SASE-Einführungsplan erstellt werden, der spezifische Schritte und Zeitpläne, den Ressourcenbedarf und die geschätzten Kosten enthält. Einige dieser Besonderheiten werden von Organisation zu Organisation sehr unterschiedlich sein. Aber nehmen Sie die folgenden „ersten Schritte“ als Ausgangspunkt:
VPN für den Zugang Dritter abschaffen: Stellen Sie Berater und Vertragsmitarbeitende auf einen modernen Authentifizierungsdienst um und lassen Sie diese sich mit bestehenden Konten oder einmaligen Passwörtern bei Anwendungen anmelden. Dies vereinfacht nicht nur die Onboarding-Prozesse, sondern verhindert auch, dass Dritte den freien Netzwerkzugang, den VPNs bieten, missbrauchen können.
Eine „Zero Trust“-Sicherheitsarchitektur für die Remote-Arbeit einführen: Verwenden Sie einen Authentifizierungs- und Zugriffsverwaltungsdienst, der dem Ansatz „niemals vertrauen, immer verifizieren“ folgt. Dementsprechend wird die Identität von Remote-Mitarbeitenden jedes Mal überprüft, wenn sie auf eine Anwendung zugreifen. Zudem sollten alle ihre Anfragen protokolliert und überwacht werden. So haben Sie eine bessere Kontrolle über eine Gruppe von Mitarbeitenden mit hohem Risiko.
Remote-Zugriff via VPN abschaffen: Wie in Schritt 1, sollten Sie Ihre Remote-Mitarbeitenden zu einem modernen Authentifizierungsdienst wie SSO umstellen. Für Angreifer wird es dadurch bedeutend schwieriger, sich mittels kompromittierter Geräte oder VPN-Anmeldeinformationen lateral zu bewegen.
Zero Trust-Sicherheitstools bei Vertragsverlängerungen konsolidieren: Es ist selten möglich, bestehende sichere Web-Gateways, Browser-Isolationstools und Cloud-Access-Security-Broker auf einmal zu ersetzen. Fügen Sie diese Dienste bei Auslaufen von Verträgen zu einer einzigen SASE-Plattform hinzu und profitieren Sie von der Effizienz der Verwaltung an einem Ort.
Eine Zero Trust-Sicherheitsarchitektur für Bürostandorte einführen: Verlangen Sie von den Mitarbeitenden, dass sie sich über die Zero Trust-Plattform authentifizieren, auch wenn sie sich innerhalb eines herkömmlichen Netzwerks befinden. Dies hilft, Datenverluste zu verhindern, schützt Mitarbeitende vor Bedrohungen aus dem öffentlichen Internet und verhindert laterale Bewegungen von Angreifern.
Das Thema Sicherheit betrifft nicht nur die Sicherheitsabteilung. Je mehr die Führungsebene in Sicherheitsprojekte investiert, desto sicherer wird das gesamte Unternehmen.
Der SASE und die tiefgreifenden gesellschaftlichen Veränderungen, die ihn notwendig machen, sind eine hervorragende Gelegenheit für Sicherheitsverantwortliche, diese Investitionen zu fördern. Es ist nicht einfach, SASE mit einem umfassenderen Nutzen für das Unternehmen zu verknüpfen, seinen ROI nachzuweisen und einen konkreten Aktionsplan aufzustellen – und das wird auch nicht nach ein paar einzelnen Gesprächen gelingen.Wenn Sicherheitsverantwortliche jedoch konsequent und selbstbewusst diese bewährten Verfahren anwenden, fördern sie ein breites Sicherheitsbewusstsein, das ihnen und ihren Teams auch in Zukunft zugutekommen wird.
Erfahren Sie außerdem, wie Cloudflare SASE und Zero Trust bereitstellt, indem Sie unsere Cloudflare One-Plattform erkunden. Es stellt identitätsbasierte Sicherheitskontrollen, Firewall, WAN-as-a-Service und andere SASE-Funktionen in einem einheitlichen Netzwerk bereit, das den Benutzern überall auf der Welt zur Verfügung steht und ihnen hilft, schnell und sicher eine Verbindung zu allen Unternehmensressourcen herzustellen. Und all diese Komponenten sind von Grund auf so konzipiert, dass sie sofort zusammenarbeiten und den Sicherheitsteams die Einführung von SASE erleichtern.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Folgende Informationen werden in diesem Artikel vermittelt:
Warum ein besonderer Ansatz nötig ist, um die Führungsetage von SASE zu überzeugen
Darstellung der Vorzüge von SASE für Adressaten ohne technischen Hintergrund
Optimale erste Schritte bei der SASE-Einführung
Mit dem Whitepaper Erste Schritte mit SASE: Ein Leitfaden zur Sicherung und Optimierung Ihrer Netzwerkinfrastruktur können Sie mehr über das SASE-Konzept erfahren und beginnen, seine Einführung in Ihrem Unternehmen zu planen.