Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Blogs > Unternehmen

Planung der Business Continuity: Sechs Dinge, die CISOs jetzt unternehmen müssen

Veröffentlicht am:

Autor:

Stan Lowe

Planung der Business Continuity: Sechs Dinge, die CISOs jetzt unternehmen müssen

Die beispiellosen Ereignisse, die Organisationen zur Überprüfung ihrer Planungen für die Business Continuity zwingen, erinnern mich an die Zeit, als ich für die Bundesregierung gearbeitet habe, und an eine Geschichte, die ich gerne teilen möchte.

Vom U.S. Department of Health and Human Services (HHS), den Centers for Disease Control and Prevention (CDC) und der Federal Emergency Management Agency (FEMA) gingen E-Mails und Erklärungen mit folgendem Inhalt ein: Ein ansteckendes Virus bedrohe die Funktionalität der Bundesregierung.

Meine Mitarbeiter und ich sollten für unbestimmte Zeit remote arbeiten. Dies würde keine großen Auswirkungen auf unsere Dienstleistungen haben, dachte ich, da die meisten von uns Laptops und wir alle Mobiltelefone hatten. Wir unterstützten Hunderte von entfernten Standorten im ganzen Land. Wir könnten sicherlich während dieser Krisenzeit als verteiltes Team agieren. Außerdem arbeiteten wir in einem technologisch fortschrittlichen Erste-Welt-Land. Wie schlimm könnte ein Ebola-Ausbruch sein?

Sehr schlimm, wie sich herausstellte. Und nein, wir konnten während dieser Krisenzeit nicht gut als verteiltes Team agieren. Das war 2014, und es handelte sich nur um eine Übung. Das Ebola-Szenario war eine koordinierte Übung, um die operative Einsatzfähigkeit von zivilen und staatlichen Institutionen während eines hypothetischen Virusausbruchs zu testen. Es war ein Test, den wir nicht bestanden.

Nicht jeder in unser Abteilung besaß einen Laptop, geschweige denn zu Hause eine „ausreichend schnelle“ Internetverbindung. Mobiltelefone waren zwar weit verbreitet, aber kein geeigneter Ersatz für den Desktop-Computer im Büro. Noch schlimmer war, dass sich die Hälfte der Abteilung zwar remote einloggen konnte, der Traffic aber den VPN-Engpass überlastete, was zu Verzögerungen führte, die Konnektivität verlangsamte (oder blockierte) und die Produktivität beeinträchtigte. (Dies war besonders bei entlegenen Krankenhäusern ein Problem, die versuchten, Telemedizin auszuüben.) Wir rationierten die Ausrüstung, staffelten die Arbeitszeiten und priorisierten den Zugang. Unser VPN konnte die Überbelastung trotzdem nicht bewältigen.


Dies ist keine Übung

Es ist sechs Jahre später. Der menschliche Tribut, den der Ausbruch des Coronavirus fordert, ist unermesslich. Deshalb müssen sich Unternehmen derzeit vorrangig auf den Schutz der Gesundheit von Mitarbeitern und der Community konzentrieren. Oberste Priorität aller Organisationen muss es sein, die mit der Ausbreitung von COVID-19 verbundenen Risiken zu mindern. Vor diesem Hintergrund müssen Organisationen nun ihr Möglichstes tun, um die Unternehmensproduktivität in der „neuen Normalität“ des Arbeitens außerhalb des Büros zu erhalten.

Business Continuity Planning (BCP) sollte ein Hauptkriterium Ihrer Unternehmensstrategie sein (und hätte dies idealerweise auch vorher sein sollen). Aber selbst wenn dies in Ihrer Organisation nicht der Fall ist, können Sie noch etwas unternehmen.


Die operative Herausforderung: Allen Mitarbeitern Remote-Arbeit ermöglichen

Im Augenblick dreht sich BCP (notwendigerweise) um Telearbeit. Und die scheint unkompliziert zu sein. Wenn Sie nicht im Büro arbeiten können, arbeiten Sie einfach von zu Hause aus. Viele IT-Organisationen planen eine Netzwerkkapazität für den Remote-Access von 20 bis 30 Prozent der Belegschaft ein. Aber was passiert, wenn diese auf 100 Prozent ansteigt? Über Nacht? IT-Verantwortliche auf der ganzen Welt lernen, dass es keine Kleinigkeit ist, sämtliche Mitarbeiter zu Hause online zu schalten:

  • Mehr Mitarbeiter – viel mehr Mitarbeiter – werden VPN für den Zugang zu Unternehmensressourcen verwenden. Wird Ihre Infrastruktur dies verkraften können? (Spoiler-Alert: Nein.)
  • Damit die gesamte Belegschaft online gehen kann, benötigt sie die entsprechenden Geräte dafür. Sie wissen das bereits, aber nicht jeder erhält einen Arbeitslaptop, und nicht jeder besitzt ein geeignetes Gerät zu Hause, das als Ersatz fungieren kann. Wie viele veraltete Laptops Ihres Teams verstauben im alten Serverraum?
  • Sie besitzen zweifellos Kollaborations-Tools für Konferenzen und Instant Messaging. Aber haben Sie genügend Lizenzen, wenn jeder sie benötigt?


Die Schattenseite von Remote-Access: Neue Bedrohungen und Mitarbeiter, die sich aus Geschwindigkeitsgründen nicht an die Regeln halten

Es gibt außer der eingeschränkten Remote-Konnektivität ein weiteres ernsthaftes Problem. Wenn Ihre Organisation für den Zugriff auf interne Ressourcen und/oder den Internetzugang auf VPN angewiesen ist, vergrößert die Ausweitung auf einen höheren Anteil (sagen wir 100 Prozent) der Belegschaft die potenzielle Angriffsfläche Ihrer Organisation erheblich. Je weiter der Übertragungsweg der Unternehmensdaten ist, desto mehr Kompromissmöglichkeiten gibt es.

Erschwerend kommt hinzu, dass Endbenutzer, die zu Hause an für Netflix geeignete Download-Geschwindigkeiten gewöhnt sind, frustriert sind, wenn sie durch VPN-Zwänge und MPLS-Backhauling verursachte Latenzen erleben. Es besteht das Risiko, dass sie Vorschriften missachten und Sicherheitskontrollen umgehen, um „den Job schneller zu erledigen“, wodurch interne Systeme noch anfälliger für Angriffe von außen werden.
 

Schlüssel für die Umsetzung von Remote-Arbeit: Priorisierung, Triage und lokale Internet-Breakouts

Es ist an der Zeit, in puncto Sicherheit umzudenken. Die aktuelle, nie dagewesene Situation forciert Änderungen hinsichtlich der Art und Weise, wie wir sicher auf Anwendungen und Daten zugreifen. Remote-Arbeit muss ermöglicht werden, ohne Sicherheitskompromisse einzugehen. Dies bedeutet jedoch nicht weniger Sicherheit, sondern eine andere Sicherheit.

Was können Sie als CISO angesichts solcher Konnektivitäts- und Sicherheitsherausforderungen unternehmen, um die Remote-Arbeit zu erleichtern? In dieser „neuen Normalität“ müssen Sie Triage-Entscheidungen treffen:

  • Priorisierung von Arbeiten. Welche Aufgaben sind am wichtigsten? Welche Ressourcen werden benötigt? Welche Aufträge können verschoben (oder sogar gestrichen) werden?
  • Zugangspriorisierung. Wie können Sie Zugangs- mit Arbeitsprioritäten vereinbaren? Welche Arbeiten erfordern ständige Konnektivität? Für welche Arbeiten ist gelegentliche Konnektivität ausreichend? Möglicherweise müssen Sie Mitarbeitern je nach Aufgabenpriorität „stufenweise“ Konnektivität zuteilen.
  • Gerätepriorisierung. Ebenso, wer bekommt den Laptop? Linda in der Buchhaltung? Fred im Vertrieb? Wer benötigt das letzte tragbare Gerät dringender?
  • Rationieren Sie Kollaborations-Applikationen. Sie werden mehr Lizenzen benötigen. Arbeiten Sie kurzfristig mit der Finanzabteilung zusammen, um Ausgaben „in der Warteschleife“ (z. B. für Geschäftsreisen oder Event-Marketing) für die Durchführung von Remote-Arbeit umzuleiten.
  • Staffeln Sie Arbeitszeiten. Notfalls müssen Sie geschäftskritische Arbeiten auf Nachtschichtzeiten verlegen, um Konnektivitätseinschränkungen zu bewältigen.
  • Richten Sie lokale Internet-Breakouts ein. Die Cloud (insbesondere Secure Access Service Edge Computing) gibt Hoffnung: Wenn Sie Mitarbeiter direkt (und sicher über Inline-Sicherheits-Proxy) mit Ressourcen verbinden, werden Angriffsflächen verringert und VPN-Engpässe vermieden.

Wir werden das bewältigen. Aber wir müssen lernen. (Damals, als ich für die Regierung arbeitete, sagten wir: „Lass keine Krise ungenutzt vorübergehen.“) Im Augenblick ist nichts wichtiger, als die Gesundheit Ihrer Kollegen und der Community zu gewährleisten. Und das Beste, was Sie als CISO dazu beitragen können, ist das Erleichtern der Remote-Arbeit.

Verzeihen Sie mir diesen leidenschaftslosen Zynismus, aber Unternehmen die diesen Sturm überstehen, werden einen Wettbewerbsvorteil haben, wenn er vorbei ist. Und wenn Ihre Organisation da durchgekommen, beenden Sie nicht die Planung für Business Continuity. Sie werden besser vorbereitet sein, falls es – Gott bewahre! – ein nächstes Mal gibt.


Stan Lowe ist Global Chief Information Security Officer bei Zscaler



Vorgeschlagene Blogs