Frühzeitig Partnerschaften eingehen, um Ergebnisse zu gestalten
CISOs gewinnen nicht an Einfluss, wenn sie erst am Ende auftauchen. Sie müssen ihre Gatekeeper-Mentalität ablegen und vom ersten Tag an echte Associate sein. In der Vergangenheit, als Sicherheitsmaßnahmen erst in der Endphase eingeführt wurden, standen Entscheidungsträger vor einer schwierigen Wahl: Projektverzögerungen akzeptieren oder unverminderte Risiken in Kauf nehmen. Als Produktzyklen noch quartalsweise waren und Geschwindigkeit nicht über die Wettbewerbsfähigkeit entschied, warfare dieser Ansatz sinnvoll. In der heutigen Realität mit KI-gesteuerter Produktentwicklung funktioniert ein solcher Prozess in einem Umfeld, das aus Wochensprints, kontinuierlicher Bereitstellung und Abhängigkeiten von Herstellern besteht, nicht mehr.
Wenn die Sicherheitsabteilung die Umsatzziele, Kundenversprechen und regulatorischen Risiken versteht, werden die Leitlinien konkret und hilfreich. Unternehmen sollten daher jedem Produktteam einen Sicherheitsbeauftragten zur Seite stellen. Dadurch gibt es immer eine vertraute Particular person, die sich mit Entscheidungen zu Identität, Datenflüssen, Protokollierung und Verschlüsselung befasst, sobald diese anstehen. Wir sollten nicht wollen, dass Entwickler für eine einfache Frage zweiwöchige Tickets eröffnen müssen. Es sollte offene „Sprechstunden”, Chat-Kanäle und kurze Telefonate geben, damit sie sofortiges Suggestions zu Entscheidungen wie API-Design, Verschlüsselungsanforderungen und regionalen Datenbewegungen erhalten.
Bürokratie muss im Sicherheitsumfeld abgeschafft werden. Sicherheitsmanager sollten an Dash-Planungen und frühen Design-Critiques teilnehmen, um wichtige Fragen zu klären – beispielsweise Authentifizierungspfade, Least-Privilege-Zugriffe, Logging-Abdeckungoder wie Änderungen in der Produktion durch SIEM und EDR überwacht werden. Wenn CISOs mit am Tisch sitzen, ändert sich die Frage von „Können wir das machen?“ zu „Wie machen wir das sicher?“ und schon vom ersten Tag an werden bessere Ergebnisse erzielt.
