Artikel
Weshalb führende Unternehmen im Bereich Sicherheit eine erstklassige Kundenerfahrung priorisieren müssen
by Chris Peake
Hinweis des Verfassers: Das Ökosystem der Informationstechnologie entwickelt sich stets weiter. Da es immer Betrüger geben wird, müssen sich Organisationen darauf verlassen können, dass die Daten, die sie einer Software as a Service-Plattform (SaaS-Plattform) anvertrauen, geschützt sind. In diesem Artikel erklärt Chris Peake, VP of Information Security (CISO) bei Smartsheet, warum Transparenz bezüglich der Sicherheitsmaßnahmen so wichtig ist, um das Vertrauen von Kunden zu gewinnen und aufrechtzuerhalten, die für das Management ihrer Arbeit eine Plattform der Enterprise-Klasse brauchen.
Nachdem ich 1997 mein Studium abgeschlossen hatte, arbeitete ich als Koordinator medizinischer Einsätze bei Operation Smile, einem gemeinnützigen Unternehmen, das Operationen von Lippen- und Gaumenspalten weltweit ermöglicht. Da die meisten gemeinnützigen Unternehmen über kein großes Budget verfügen, war mein Nebenjob die IT. Ich habe Datenbanken erstellt, Systeme gepflegt und Mitarbeiter im Umgang mit diesen geschult.
Ich habe dazu beigetragen, einige der ersten Telemedizinveranstaltungen von Operation Smile umzusetzen, um Ärzte über verschiedene Länder hinweg für Beratungsgespräche und Live-Operationen zu vernetzen. Diese Veranstaltungen zeigten eindrucksvoll, wie viel Technologie leisten kann, und wie wichtig es für Sicherheitsexperten ist, die Menschen zu schützen, die diese Technologie verwenden – besonders bei personenbezogenen oder vertraulichen Daten.
Im Laufe meiner Karriere war eines immer ganz klar: Führende Unternehmen im Bereich Sicherheit und ihre Teams müssen sich zu einer erstklassigen Kundenerfahrung verpflichten. Hinter dieser kundenorientierten Sichtweise muss das Engagement stehen, den Datenschutz sicherzustellen, das Vertrauen der Menschen zu gewinnen und aufrechtzuerhalten, Transparenz bei Sicherheitsprüfungen zu gewährleisten und einen Beitrag zur Informationssicherheits-Community insgesamt zu leisten.
Entwicklung des Datenschutzes
Durch jahrelange Forschung und Erfahrung aus erster Hand habe ich gelernt, dass Vertrauen ohne Transparenz nicht möglich ist, wenn es um den Umgang mit Kundendaten geht. Bevor beispielsweise in der Mitte der 1990er Jahre das Onlinebanking populär wurde, hatten viele Menschen Bedenken, sich vom herkömmlichen Banking abzuwenden. Früher ging man einfach persönlich zur Bank vor Ort, füllte eine Überweisung aus, gab sie bei einem Bankangestellten ab oder warf sie ein und fuhr dann mit seinem Tag fort.
Um die Menschen auf alternative Onlineabläufe vorzubereiten, mussten Banken ihren Kunden versichern (und sie so beruhigen), dass die Transaktionen sicher, geschützt und leicht auf dem heimischen Computer nachzuverfolgen seien. Genauso geben Sie, wenn Sie eine SaaS-Plattform einführen, einen großen Teil der Verantwortung für das System und die Daten an den Anbieter ab.
Große Unternehmen, die ihre Arbeit mithilfe einer Plattform verwalten, müssen wissen, dass sie sich beim Datenschutz auf den Anbieter verlassen können. Und für Sicherheitsexperten bedeutet Datenschutz außerdem, die Daten, die Kunden unseren SaaS-Plattformen hinzufügen, nicht im Einzelnen zu betrachten.
Vertrauen von Kunden gewinnen und aufrechterhalten
Bei Smartsheet ist es uns wichtig, das Vertrauen der Kunden zu gewinnen und aufrechtzuerhalten. Im Rahmen dieser anhaltenden Verpflichtung werden wir unser Sicherheitsprogramm der Enterprise-Klasse weiterentwickeln. Wir erfüllen oder übertreffen Sicherheitsstandards von Unternehmen, um sicherzustellen, dass Smartsheet schlüsselfertig für die Datensicherheit, den Datenschutz und die Governance eingesetzt werden kann.
Langfristig besteht unser Ziel darin, das Potenzial von Smartsheet voll auszuschöpfen und es den Kunden zu ermöglichen, mit Daten unterschiedlicher Vertraulichkeit zu arbeiten und dabei sicher zu wissen, dass die Daten vollumfänglich geschützt sind.
Das ist zwar ein guter Einstieg, doch es ist unbedingt erforderlich, Compliance-Zertifizierungen, Datenschutz- und Sicherheitsinformationen und Ähnliches auf der Unternehmenswebsite bereitzustellen. Deshalb haben wir das Smartsheet Trust Center ins Leben gerufen.
Wenn jedoch ich oder ein Experte aus dem Sicherheitsteam direkt mit Kunden spricht, können wir genauer auf die Standard- und Betriebsabläufe des Unternehmens und die festgelegten oder nicht festgelegten Kontrollen eingehen und offen darlegen, welche Anwendungsfälle für unsere Serviceleistungen geeignet bzw. nicht geeignet sind – aus Sicht der Informationssicherheit. Meiner Erfahrung nach ist diese Offenheit hilfreich, um gegenseitiges Vertrauen zwischen uns und unseren Kunden aufzubauen – die Grundlage einer langfristigen Zusammenarbeit.
Die zweite Sache, die Vertrauen schafft, ist der Verweis darauf, dass wir unser Sicherheitsprogramm stets optimieren. Meiner Ansicht nach besteht der Sinn einer Maturity-Journey darin, dass es keine Ziellinie gibt. Man entwickelt sich immer weiter, um sich den wechselnden Sicherheitsbedrohungen anzupassen. Mein Team ist immer auf der Suche nach neuen Möglichkeiten, das Produkt und die Sicherheitskontrollen zu verbessern, indem wir hochmoderne Technologie einsetzen, die die Sicherheit der Smartsheet-Plattform weiterhin gewährleistet.
Transparenz in Bezug auf die Sicherheitsprüfung
Transparenz beruht auf Gegenseitigkeit. Wir möchten mit Kunden im Gespräch bleiben, um ihre Anforderungen und Bedürfnisse nachzuvollziehen, diese zu beherzigen und entsprechend zu handeln. Die Kunden vertrauen darauf, dass ihre Daten auf unserer Plattform sicher sind und dass wir ihre Daten oder Informationen nicht weitergeben können und werden.
Als ich Vorträge vor Sicherheitsexperten gehalten habe, habe ich sie gebeten, sich zu melden, wenn sie einen cloudbasierten Dienst nutzen. Fast alle haben die Hand gehoben. Als Nächstes fragte ich sie, ob sie diesem Dienst vertrauen, und fast jeder nahm die Hand wieder herunter. Ab da war mir klar, dass sich Sicherheitsexperten bewusst sein müssen, warum sie einem Anbieter vertrauen bzw. nicht vertrauen.
Da die Smartsheet-Anwendungsumgebung ständig verbessert wird, führen wir regelmäßig wiederholbare, aber dennoch umfassende Sicherheitsprüfungen auf sämtlichen Ebenen durch: Hardware, Netzwerk, individuelles System, Service und Anwendung. Das ist für jedes seriöse Unternehmen, das eine SaaS-Plattform der Enterprise-Klasse anbietet, obligatorisch.
Auf Anwendungsebene führen wir regelmäßig sowohl interne als auch externe Penetrationstests durch. Im Rahmen des Entwicklungsprozesses führen wir auf Anwendungsebene Codeüberprüfungen durch – bevor Code bereitgestellt wird, wird er durch aktives Scannen geprüft.
Als Nächstes folgen die Begutachtung durch Kollegen und die Teilnahme an einem Bug-Bounty-Programm, bei dem wir es Drittanbietern ermöglichen, sich unsere Umgebungen anzusehen und Fehler zu melden. Wir beheben sämtliche Fehler oder Schwachstellen, die im Rahmen dieser Prozesse entdeckt werden. Aus Sicherheitsperspektive berücksichtigen wir verschiedene Richtungen, aus denen ein Angriff stattfinden könnte, damit wir in jedem Fall vorbereitet sind.
Beitrag zur Informationssicherheits-Community
Informationstechnologie ist ein Ökosystem. Cloud Computing, On-Premises-Rechenzentren, Networking, Telefonanlagen, digitale Systeme – heutzutage ist alles vernetzt.
Daher arbeiten wir bei Smartsheet bewusst mit Organisationen und anderen SaaS-Anbietern zusammen, um häufige gemeinsame Herausforderungen zu bewältigen. Aus Produktsicht arbeiten wir mit anderen Softwareanbietern der Enterprise-Klasse zusammen, etwa Salesforce und Google. Diese Unternehmen haben mit gebührender Sorgfalt sichergestellt, dass ihre Plattformen nach bestem Wissen und Gewissen geschützt sind.
Als führendes Unternehmen im Bereich des kollaborativen Arbeitsmanagements (CWM) bringt sich Smartsheet außerdem in die Informationssicherheits-Community insgesamt ein. Im Jahr 2018 trat Smartsheet der Arbeitsgruppe Messaging, Malware, and Mobile Anti-Abuse Working Group (M3AAWG) bei, weil es unbedingt notwendig ist, Kollegen zuzuhören und mit diesen zusammenzuarbeiten, um Branchenstandards, Dokumentation und Leitlinien bereitzustellen.
Es geht jedoch noch über diesen Aspekt hinaus, da Organisationen aller Größen in jeder Branche Smartsheet täglich verwenden. Wir haben die einzigartige Chance, Kunden sämtlicher Branchen zuzuhören, ihre Probleme in Sachen Sicherheit und Datenschutz wirklich zu verstehen und anderen SaaS-Anbietern in diesem Bereich Hilfestellung zu leisten. Dieses Maß an Wissensaustausch und Absprache bezüglich bewährter Vorgehensweisen kommt allen Kunden zugute.
Indem wir mit anderen Organisationen an Gruppen wie M3AAWG teilnehmen, haben wir außerdem die Möglichkeit, die nächste Generation von Technologen und Start-ups zu unterstützen, die bereits jetzt an ihrer ansprechenden Idee arbeiten. Da die meisten (allerdings nicht alle!) großen Organisationen in der Regel weniger agil sind und länger für Veränderungen, Anpassungen und Innovationen brauchen, ist es wichtig, Unternehmen in der Wachstumsphase, deren Ziel die Skalierung ist, sowie Studierenden bewährte Vorgehensweisen für Sicherheitsprozesse und Protokolle zur Verfügung zu stellen.
Letztendlich wird es so sein, dass die nächste Welle von Unternehmen bereit ist und Studierende mit Schwerpunkt Technologie ins Berufsleben starten sowie wiederum unsere gemeinsame Zukunft gestalten. Sicherheitsexperten haben die Chance, Mentoren zu sein, können aber auch von der nächsten Generation lernen, wenn es darum geht, das Vertrauen zukünftiger Kunden zu gewinnen und aufrechtzuerhalten.
Abonnieren Sie den Smartsheet-IT-Newsletter, um Tipps, Strategien und Ideen zu erhalten, die darauf abzielen, dass IT-Spezialisten mehr in ihren Unternehmen erreichen können.
Weitere Informationen zu den Richtlinien von Smartsheet für Informationssicherheit, Compliance und Datenkontrolle bzw. Datenschutz finden Sie in unserem Trust Center.
