thodonal - stock.adobe.com
Mit der Security im Einklang in die Cloud expandieren
Für CIO und CISO gilt es aktuell, technologische Leistungsfähigkeit mit einer agilen Geschäftsphilosophie in Einklang zu bringen, ohne dass die Sicherheit auf der Strecke bleibt.
Die Vorstandsebene interessiert sich in aller Regel nicht für Investitionen in Technologien. Wichtig für den Vorstand ist Transparenz, wie die strategischen Ziele des Unternehmens mithilfe von Technologie effektiv erreicht werden können. CISOs und CIOs müssen demnach kommunizieren, welche Wettbewerbsvorteile mit einer Investition einhergehen.
Das wirtschaftliche Klima zwingt die Firmenspitze aktuell, Investitionen zur Umsatzsicherung in den Fokus zu rücken. Im Mittelpunkt steht die Frage, wie das Unternehmen durch die Ansprache von mehr Kunden bestehende Märkte durchdringen kann, aber auch wie schnell und erfolgreich sich neue Märkte erschließen lassen. Führungskräfte streben danach, zum größten Anbieter in ihrem Marktsegment zu werden oder aber neue Märkte und Regionen für das Unternehmen zu öffnen. Ein solches Vorgehen ist jedoch meist mit hohen Anfangsinvestitionen verbunden, so dass für viele Unternehmen die Einstiegshürde ohne Erfolgsgarantie zu unsicher ist. Das ist eine Zwickmühle, da Unternehmen sehr viel flexibler und präsenter in der Verbreitung sein müssen als der Mitbewerb. In der Folge suchen sie durch schnelle Investitionen in die Digitalisierung ihr Glück und nehmen kalkulierte Risiken in Kauf in dem Versuch schneller zu wachsen.
Für den CISO oder CIO bedeutet das, dass ihre Rolle noch nie so anspruchsvoll war wie heute. Sie müssen sicherstellen, dass Technologieinvestitionen ihre Geschäftsziele vorantreiben und sich dabei mehr auf den Kundenerfolg konzentrieren als auf die IT-Produktivität der Belegschaft. Für sie gilt es, die technologische Leistungsfähigkeit mit einer agileren Geschäftsphilosophie in Einklang zu bringen. Der Lösungsweg aus diesem Dilemma kann ein Fail-Fast-Ansatz sein, der durch die Cloud und eine ZTNA-Strategie (Zero Trust Network Access) unterstützt wird.
Die Balance zwischen Ertrag und Risiko
Die Erschließung neuer Märkte oder die geografische Expansion innerhalb eines bestehenden Marktes geht traditionell mit Vorabinvestitionen in Ressourcen wie Personal, Büros und Infrastruktur einher. In der Vergangenheit wurden solche Expansionspläne oft auf Eis gelegt, da viele Unternehmensvorstände das finanzielle Risiko nicht verantworten wollten ohne eine entsprechende Erfolgsgarantie. Was, wenn der neue Markt das bereitgestellte Angebot nicht annimmt?
Die Cloud macht heute ein Geschäftsmodell finanziell unabhängiger. Ohne die lästigen Investitionskosten können Unternehmen mutiger und experimentierfreudiger in ihren Expansionsplänen sein. Sie erhalten dadurch die Fähigkeit, neue Dinge schnell und mit geringeren Betriebskosten anzugehen. Das ist ein Eckpfeiler für die Strategie des „schnellen Scheiterns“, der Unternehmen die Möglichkeit bietet, ihr Geschäftsmodell, um digitale Angebote in vertikalen Märkten und neuen Ländern zu erweitern.
Durch den virtuellen Betrieb können Unternehmen mit möglichst geringen Investitionen ein größeres Zielpublikum erreichen und sowohl die Kundenerfahrung als auch ihren eigenen Gewinn maximieren. Es gibt jedoch ein Hindernis in der Abwägung von Risiko und Erfolg einzukalkulieren. Die Frage der IT-Sicherheit könnte die Waagschale eher in Richtung Risiko verschieben.
Verlagerung vom Netzwerk zum User
Als Cloud-Hosting-Dienste auf den Markt kamen, stürzten sich viele Unternehmen auf dieses Geschäftsmodell, um mit den proaktiven Wettbewerbern Schritt zu halten, die ihre Geschäfte bereits in der Cloud abwickeln. Aber wie bei allem Neuen geht die Umstellung zunächst mit Herausforderungen einher. Ein solcher Schritt erforderte zunächst ein Umdenken bei den Verantwortlichen für die Rechenzentren. Denn die Nutzung cloudbasierter Infrastruktur als Service (IaaS) geht nicht selten mit der Schließung physischer Standorte einher.
Um die Grenzen des IaaS-Wettbewerbsvorteils noch weiter zu verschieben, wurden Prozesse wie DevOps in großem Umfang eingeführt. Zur Schaffung dieser einheitlichen Cloud-Umgebung kamen Softwareentwicklungs- und IT-Betriebsteams zusammen, um Projekte kollaborativ voranzubringen. Im Ergebnis ließen sich Komplexität und Zeitverzögerungen reduzieren, die in den zuvor getrennten Bereichen nicht selten auf der Tagesordnung standen.
„Mit Zero Trust kann das DevNetSecOps-Team neue Prozesse schneller und sicherer testen und freigeben. Mit stärkerer und flexiblerer Sicherheit kann viel schneller auf Marktanforderungen reagiert werden.“
Martyn Ditchburn, Zscaler
Bei diesem beschleunigten Software-Innovationsprozess wurde übersehen, dass die Sicherheitstests nicht mithalten konnten. Das war der Startschuss für die nächste Evolution von DevSecOps. Wie der Name schon andeutet, sind Sicherheitsteams nun ein integraler Bestandteil des Software Development-Lebenszyklus. So lässt sich bewerkstelligen, dass Cloud-Infrastruktur, Unternehmensdaten und Geschäftsanwendungen auch sicher in der Cloud bereitgestellt werden. Wie bei DevOps trägt dieser zentralisierte, kollaborative Ansatz wesentlich dazu bei, die betriebliche Komplexität und die Reibung zwischen den einzelnen Teams zu verringern, ganz zu schweigen von den nachträglichen Kosten für die Sicherheit.
Simplifizierung tut Not
Ein solcher Wandel geht nicht ohne Folgen für das Netzwerk einher. Wie kann ein Unternehmen mit einer umfangreichen Legacy-Infrastruktur die nötige Agilität aufbringen, um in dieser neuen, Software- definierten Umgebung wettbewerbsfähig zu bleiben? Hier steht die Forderung nach einer Vereinfachung im Raum. Die DevSecOps-Teams sind aufgefordert, sich Gedanken über eine bessere Integration des Netzwerks zu machen.
Vor diesem Hintergrund ist die Entwicklung in Richtung eines natürlichen „DevNetSecOps“-Ansatzes erforderlich. Hier muss die Funktion des Netzwerks in der Wertschöpfungskette der Anwendungsfreigabe neu bewertet werden. Denn der bestmögliche Schutz der virtuellen Unternehmensressourcen kann nicht darin bestehen, eine neue Sicherheitsmaßnahme für das Netzwerk an sich aufzubauen. Die herkömmliche Netzwerk-zentrierte Sicherheit ermöglicht den Anwendern nach wie vor den Zugriff auf das Netzwerk und fügt eine weitere Ebene der Komplexität in den Geschäftsabläufen hinzu, die der angestrebten agilen Vorgehensweise entgegensteht.
Die wachsenden Bedrohungen für die Cybersicherheit führen zu einer vergrößerten Angriffsfläche, die Unternehmen zur Reaktion zwingt. Unternehmen können ihr Risiko verringern, indem sie von einem Netzwerk-zentrierten Ansatz zu benutzerzentrierter Sicherheit übergehen und ZTNA einführen. Mit Zero Trust kann das DevNetSecOps-Team neue Prozesse schneller und sicherer testen und freigeben. Mit stärkerer und flexiblerer Sicherheit kann viel schneller auf Marktanforderungen reagiert werden. Dabei spielt es bei Cloud-basierter Sicherheit keine Rolle, wo auf der Welt neue digitale Services ausgerollt werden, die abgesichert werden müssen. Dieses integrierte Team für die neuen Betriebsabläufe kann weitaus agiler agieren und dem Unternehmen so zu einer schnelleren Diversifizierung des Angebots verhelfen.
Für Entscheidungsträger, die neue Regionen und Märkte erschließen möchten, spielt die richtige Geschwindigkeit des Markteintritts eine entscheidende Rolle. Sie sollten Software-definierte Sicherheitslösungen in Betracht ziehen, wenn sie schnell agieren möchten ohne großen Betriebsaufwand vor Ort. Bei diesem Modell folgen sie den agilen Vordenkern, die etablierte Strukturen in Frage stellen.
Über den Autor:
Martyn Ditchburn ist, Director of Transformation Strategy bei Zscaler.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
