Das neue Kernelement der Sicherheit

Sicherheitskonvergenz und Identität werden zur Grundlage der digitalen Transformation, während COVID-19 die Zugangs-Governance transformiert

ae-whoweare-headshots-willem

Von Willem Ryan
Alert Enterprise, Vice President of Marketing and Communications und ursprünglich veröffentlicht in Sicherheit heute

Die Branche für physische Sicherheit hat eine unglaubliche Chance vor sich: die digitale Transformation (DX) von Unternehmen durch Sicherheitskonvergenz anzuführen. Es besteht kein Zweifel daran, dass dies der jüngste Wendepunkt ist. Das Aufkommen der Cloud und der "As-a-Service"-Plattformökonomie hat bis in die Vorstandsetagen von Unternehmen ein Gefühl der Dringlichkeit ausgelöst. DX hilft Unternehmen, sich zunehmend auf den Kunden zu fokussieren und sich nach außen zu orientieren. 

Eine Vielzahl von Branchen

Unternehmen aus allen Bereichen und einer Vielfalt von Branchen - Banken, Finanzdienstleister, Fertigung, Energie- und Versorgungsunternehmen, Transportwesen, Biowissenschaften und viele mehr - haben erkannt, wie wichtig es ist, Informationen aus dem operativen Bereich des Unternehmens in den Vordergrund zu rücken.

Sicherheitsexperten sind sich inzwischen einig, dass die wichtigsten Sicherheitsaspekte bei der Identität der Personen beginnen, die Zugang zu den Anwendungen und Informationen des Unternehmens haben. Sind sie autorisiert? Erweitern sich ihre Privilegien auf Transaktionsdaten? Wie lange sollte der Zugang erteilt werden? Wer sonst kann die Daten sehen? Sind ihre Verbindungen vor Angriffen geschützt? Und wie kann ihr Zugang gesperrt werden, wenn sie die Organisation verlassen? Was ist mit IoT-Geräten?

Im Zentrum der konvergenten Sicherheit stehen Menschen, Identität und Vertrauen. Und in diesen beispiellosen Zeiten müssen wir genau wissen, wo die Mitarbeitenden zu welcher Zeit waren und mit wem sie zusammen waren. Die sich verändernde Bedrohungslandschaft, in der die Ansteckung inzwischen eine Konstante ist, erfordert einen neuen Ansatz, der sich auf Informationen über den Zugang zu Gesundheit und Sicherheit stützt - alles auf einer gemeinsamen Identitätsplattform. 

Die Erweiterung einer einzigen digitalen Identität, die in logischen und physischen Umgebungen im Unternehmen authentifiziert werden kann, hat Konsequenzen, die weit über die physische Sicherheit hinausgehen. Für die Benutzer bedeutet dies einheitliche cyber-physische Sicherheit eine höhere Produktivität und die Möglichkeit, sich auf hochwertige Aufgaben zu konzentrieren, anstatt auf zeitaufwändige manuelle Verarbeitung, die traditionell mit der Verwaltung des Identitätszugangs verbunden ist. 

Anstelle von separaten isolierten Abteilungen, die einfach nebeneinander existieren und nicht interagieren, bringt die Sicherheitskonvergenz verschiedene Technologien aus den Bereichen Sicherheit, HR, IT und Betriebstechnologie (OT) zusammen, erfasst und korreliert Bedrohungen und Risiken und berücksichtigt automatisch die Compliance und Einhaltung von Richtlinien. Sie schafft eine gemeinsame Identität für Menschen und Dinge, die das Einbinden von Kunden und Mitarbeitern, das Schaffen faszinierender Erlebnisse und Angebote sowie die Optimierung von Abläufen einfacher und schneller macht. Sie lässt sich mit Cyber-Kontrollen, Anlagentechnologien und sogar Verhaltensanalysen und Risikoprofilen kombinieren, um Risiken ganzheitlich zu mindern.

Daten zeigen, dass Benutzer Konvergenz wünschen

35 % DER BEFRAGTEN

sagten, dass die Konvergenz den Weg geebnet hat, um gemeinsame Verfahren und Ziele für die Teams für physische Sicherheit, Cybersicherheit und Geschäftskontinuität zu schaffen.

IN39 % DER FÄLLE

Konvergenz hat "die Kommunikation und Zusammenarbeit deutlich verbessert".

80 % DER NICHT-KONVERGENTEN ORGANISATIONEN

erkennen an, dass Konvergenz ihre allgemeine Sicherheitsfunktion stärken würde.

40 % DER NICHT KONVERGENTEN ORGANISATIONEN

nannten den Wunsch, die Sicherheitsstrategie besser auf die Unternehmensziele abzustimmen, als Hauptkatalysator für Konvergenz.

Quelle: "Der Stand der Sicherheitskonvergenz in den Vereinigten Staaten, Europa und Indien", ein Konvergenzbericht der ASIS Foundation '

Sicherheitskonvergenz und digitale Transformation sind nicht länger eine Wunschvorstellung. Vorstandsmitglieder und Führungskräfte, die sich in diese Richtung bewegt haben, wissen jetzt, dass wir uns dies unbedingt zu eigen machen müssen, während wir auf COVID-19 reagieren und uns davon erholen. 

Laut "Der Stand der Sicherheitskonvergenz in den Vereinigten Staaten, Europa und Indien", ein Konvergenzbericht der ASIS Foundation, der im Herbst 2019 veröffentlicht wurde, gaben etwa 35 Prozent der Befragten an, dass die Konvergenz den Weg geebnet hat, um gemeinsame Verfahren und Ziele für Teams in den Bereichen physische Sicherheit, Cybersicherheit und Geschäftskontinuität zu schaffen. In 39 Prozent der Fälle hat Konvergenz "die Kommunikation und Zusammenarbeit deutlich verbessert". 

Vor COVID-19 sahen wir auch die folgenden Datenpunkte aus der ASIS-Studie: Fast 80 Prozent der nicht konvergierten Unternehmen erkennen an, dass Konvergenz ihre Sicherheitsfunktion insgesamt stärken würde. 40 Prozent identifizierten den Wunsch, die Sicherheitsstrategie besser auf die Unternehmensziele abzustimmen, als Hauptkatalysator für Konvergenz. Wahrscheinlich sind diese Zahlen heute noch höher. Diejenigen, die die Funktionen bereits integrieren und digital transformieren, sind wahrscheinlich viel besser darauf vorbereitet, um auf die Pandemie und all die neuen Facetten zu reagieren, die nun Teil des Identitätsmanagements und der Compliance sind. Unternehmen, die sich bereits auf dem Weg der digitalen Transformation befinden, konnten sich in diesen disruptiven Zeiten umorientieren, überleben, florieren, Kunden betreuen und ihre Belegschaft schützen. 

Sicherheitsverantwortliche in Unternehmen wissen mittlerweile, dass die Auswirkungen eines Cyberverstoßes, eines physischen Angriffs, eines Produktionsausfalls oder einer Ansteckung vor Ort die Kosten eines ganzheitlichen und konvergenten Systems bei weitem überwiegen. Diejenigen, die sich die digitale Transformation zu eigen machen, werden die Zusammengehörigkeit von Systemen und Daten ermöglichen. Das Endergebnis ist eine proaktive Erkennung und Abwehr von Bedrohungen, eine einheitliche Reaktion auf Bedrohungen zur Risikominderung und ein besseres situatives Bewusstsein.

Identitätsmanagement, das es in sich hat

Softwareplattformen für das Identitätsmanagement lassen sich in HR-Programme und -Prozesse integrieren, um die menschliche Seite der Sicherheit zusammenzubringen und gemeinsam ein besseres und sichereres Unternehmen zu schaffen. Identitätsmanagement mit Identity Intelligence-Technologie, die künstliche Intelligenz und maschinelles Lernen einbezieht, kann Risikobewertungen festlegen, Filter und Ausnahmen hinzufügen, um Anomalien beim Zugang und sogar in Produktionsprozessen zu erkennen, zu kennzeichnen und zu eskalieren. Aktive, regelbasierte Engines zur Durchsetzung von Richtlinien identifizieren automatisch Richtlinienverstöße und unbefugten Zugang ebenso wie betriebliche und verfahrenstechnische Probleme. Darüber hinaus laufen die Identifikationsdaten automatisch ab und werden offline genommen, wenn der Zugang nicht mehr gewährleistet ist, wodurch das Risiko eines verärgerten Mitarbeiters im verringert wird.

Die Stärke der Sicherheitskonvergenz zeigt sich am deutlichsten, wenn sie automatisiert und nahtlos in mehreren Domänen, wie IT und physische Sicherheit, diagnostiziert wird. Stellen Sie sich dieses reale Szenario vor: Ein Mitarbeiter eines Versorgungsunternehmens betritt das Unternehmen durch die Hauptlobby, nimmt den Aufzug zu seiner Etage und meldet sich an, um durch die Haupttür dieser Etage Zugang zu erhalten. Er geht zu seinem Schreibtisch und meldet sich im Firmennetzwerk an, um auf seine E-Mails zuzugreifen. Gleichzeitig nutzt jemand aus der Ferne über das VPN die identischen Zugangsdaten. Offensichtlich kann er nicht vor Ort anwesend und aus der Ferne aktiv sein. Eine konvergierte Plattform erkennt das Eindringen von außen, indem sie diese Zugangsanomalie automatisch identifiziert und es dem Sicherheitspersonal ermöglicht, den Zugang sofort zu sperren und so eine potentielle Bedrohung zu verhindern.

Stellen wir dies nun in den Kontext von COVID-19. Angesichts der Pandemie und der Rückkehr an den Arbeitsplatz sind Änderungen im Identitätsmanagement für Sicherheit, Unternehmensrichtlinien und die Compliance-Berichterstattung erforderlich. Softwarelösungen für die Zugangssteuerung der Belegschaft in Bezug auf Gesundheit und Sicherheit helfen Organisationen dabei, sich reibungslos, kontrolliert und sicher zu öffnen, indem sie COVID-19-bezogene Richtlinien und Verfahren automatisieren und durchsetzen. Automatisierte Batch-E-Mail-/Textbenachrichtigungen mit Self-Service-Links senden Anfragen an die Mitarbeitenden im Homeoffice zur Selbstbescheinigung und Selbstberichterstattung außerhalb des Unternehmens und ermöglichen Mitarbeitenden den Zugang zur Einrichtung basierend auf Gesundheit, Reisen und anderen Unternehmensrichtlinien. Physische Sicherheit kann zur Durchsetzung von Richtlinien zu Gesundheit und Sicherheit durch Technologie beitragen, einschließlich Erinnerungen, Aufforderungen, Automatisierung, Selbstbescheinigung und mehr.

Hier ein Beispiel: Ein Mitarbeiter füllt den Fragebogen zur Selbstauskunft über Gesundheit und Reisen aus, der basierend auf den Antworten einen bestimmten Workflow auslöst. Diese Gesundheitsfragebögen erfassen Daten und dokumentieren die Aktivitäten der Mitarbeitenden während des Lockdowns, einschließlich Infektionen, Symptome oder Kontakt. Die Anfrage wird zur Bearbeitung an den Vorgesetzten weitergeleitet und der Workflow kann an spezifische Anforderungen angepasst werden. Sobald der Vorgesetzte die Anfrage überprüft, wird anhand der Antworten festgestellt, dass der Mitarbeiter einem hohen Risiko ausgesetzt ist. Gemäß den Richtlinien wird der Zugang während der 14 Tage in Quarantäne widerrufen. Unternehmen verwalten den Self-Service-Prozess zum Anzeigen, Bearbeiten und Genehmigen von Gesundheitsrisiken der Belegschaft und zum richtlinienbasierten Sperren des Zugriffs. 

Nach Ablauf der Zeit in Quarantäne, erhält der Mitarbeiter eine automatische Benachrichtigung, um seine Wiedereingliederung zu beantragen und den Fragebogen zur Selbstbescheinigung auszufüllen. Der Mitarbeiter erhält die Genehmigung und beantragt seine Wiedereingliederung, indem er dem Workflow folgt und entsprechende Unterlagen wie ein ärztliches Attest vorlegt. Daraufhin wird der Zugang wieder aktiviert und der Mitarbeiter mit Informationen zur Rückkehr an den Arbeitsplatz benachrichtigt. 

Zugangssteuerung und Informationen zu Gesundheit und Sicherheit unterstützen das Vorab-Screening der Belegschaft beim Betreten des Standorts mit automatisierter Richtliniendurchsetzung. Vorab registriertes und vor Ort stattfindendes Einchecken und Auschecken von Besuchern/Auftragnehmern mit Vorab-Screening, Beobachtungsliste und anderen Kontrollen vor dem Zugang. In der Produktions- oder Vertriebsanlage verfolgen die Gesundheits- und Sicherheitsanalysen bestätigte oder potenziell exponierte COVID-19-Mitarbeitende, identifizieren exponierte Bereiche, die abgesperrt und/oder desinfiziert werden müssen, Verstöße gegen die soziale Distanzierung, Heatmaps für den Standort und andere realisierbare Gesundheits- und Sicherheitsanalysen. 

Mit Identitätsmanagement können Sie auch Ihre Kommunikation automatisieren und Ihrer Belegschaft, Ihren Besuchern und Auftragnehmern vor dem Besuch und vor Ort klare Erwartungen und Verfahren vermitteln, was zu einem nahtlosen Erlebnis beiträgt.

Aktive Durchsetzung in Echtzeit

Technologien wie Identity Intelligence und die regelbasierte Engine zur aktiven Richtliniendurchsetzung identifizieren automatisch Richtlinienverstöße und unbefugten Zugang. Dies ermöglicht es Sicherheitsmanagern, Sicherheitsverstöße ebenso wie betriebliche und verfahrenstechnische Probleme proaktiv zu überwachen und darauf zu reagieren. Während des COVID-19-Ausbruchs könnte dies auch den Reiseverlauf in Ländern oder Regionen mit Einschränkungen einbeziehen. Durch die Integration mit Reise- und HR-Anwendungen kann erkannt werden, wann und wo eine Person Reisen gebucht und sich angemeldet hat, was dem Unternehmen die Möglichkeit gibt, ein solides Risikoprofil der Aktivitäten zu erstellen. Wenn jemand aus der Belegschaft vor kurzem einen eingeschränkten Standort besucht hat, können Sicherheits- und HR-Teams automatisch benachrichtigt werden, um den Badge-Zugang zu deaktivieren, was dazu beiträgt, eine Ansteckung und eine mögliche Übertragung zu verhindern. In dem Szenario, in dem jemand in der Belegschaft krank wird, würde die Person als hohes Risiko eingestuft. Alle Anfragen für den physischen Zugang zu einer Einrichtung erfordern eine spezielle Genehmigung gemäß den Richtlinien des Unternehmens und der lokalen oder bundesstaatlichen Gesundheitsbehörden.

Bei einem Ausbruch ist auch eine Änderung des Besuchererlebnisses erforderlich. Es ist der erste Kontaktpunkt und steht zusammen mit dem Lobby- und Sicherheitspersonal an vorderster Front für Sicherheit. Unternehmen können ihr Besucher-Identitätsmanagement (VIM)-System so konfigurieren, dass während des Ausbruchs eine klare Kommunikation der aktuellen Richtlinien gewährleistet ist und so die Best Practices der WHO umgesetzt werden. VIM kann leicht so konfiguriert werden, dass die Gäste zur Beantwortung spezifischer Screening-Fragen in Bezug auf ihre letzten Reisen und zur Unterzeichnung von Rechtsdokumenten aufgefordert werden.

Bei der Sicherheit geht es nicht mehr nur darum, böswillige Akteure fernzuhalten. Die Sicherheit ist im Zuge der digitalen Transformation zu einem wichtigen Geschäftsfaktor geworden. Sie ist heute die grundlegende Komponente des Schutzes von Menschen und Arbeitsplätzen, wobei die Identität im Mittelpunkt steht.  

Die digitale Transformation und ihre Auswirkungen auf die physische Sicherheit sind klar. Sie verfolgt einen neuen Ansatz mit dem Schwerpunkt darauf, Menschen, Prozesse, Daten und Technologie sicher und geschützt zusammenzubringen. Die Zukunft ist da. So sind Unternehmen jetzt in der Lage, mit weniger Aufwand mehr zu erreichen, ansprechende Mitarbeitererlebnisse zu schaffen, die Compliance zu erhöhen und Risiken zu verringern - und das alles über eine einzige, vertrauenswürdige digitale Identitätsplattform.

Lass uns plaudern.

David Cassady

Leiter der Strategieabteilung

Seit mehr als 30 Jahren ist David Cassady im Silicon Valley als Vertriebler und Teamleiter tätig. Während dieser Zeit leitete er eine Mischung aus etablierten Softwareunternehmen und Startups. Cassady war außerdem an fünf Börsengängen beteiligt - und an mindestens ebenso vielen Übernahmen. 

Als Chief Strategy Officer verhilft Cassady mit seiner umfassenden Erfahrung Softwareunternehmen zu mehr Wachstum. Für diese Zwecke greift er auf seine fundierten und wirkungsvollen Partnerschaften mit den weltweit erfolgreichsten SaaS-Anbietern wie ServiceNow, Microsoft und SAP zurück.. 

Mark Weatherford

Sicherheitschef
Senior-Vizepräsident, regulierte Industrien

Mark Weatherford bringt jahrelange Erfahrung im Cyber- und physischen Bereich in Alert Enterprise ein. Als Chief Security Officer (CSO) leitet er die Strategie der Datenverwaltung und des Datenschutzes, indem er die Erstellung von Richtlinien und Verfahren für Cyber- und physische Bereiche im Unternehmen mit seiner Expertise unterstützt. Er arbeitet zudem mit Unternehmen und Führungskräften in der Cyber- und physischen Sicherheitsbranche zusammen, um die Einführung der Sicherheitskonvergenz weiter zu beschleunigen.

Weatherford hatte zahlreiche Führungspositionen im Bereich Cybersicherheit inne. So war er zum Beispiel Vice President und Chief Security Officer bei der North American Electric Reliability Corporation (NERC), der erste stellvertretende Staatssekretär für Cybersicherheit des Department of Homeland Security in der Regierung unter Obama und der erste Chief Information Security Officer sowohl im Bundesstaat Kalifornien als auch im Bundesstaat Colorado.

Harsh Chauhan

Leiter der Technologieabteilung

Harsh Chauhan, Chief Technology Officer (CTO) bei Alert Enterprise, ist für die technologischen Innovationen und die Bereitstellung von Lösungen verantwortlich. Als Technologieveteran und Führungskraft mit 20 Jahren Erfahrung konzentriert sich Chauhan auf das Wachstum der Hyperscale-Cloud-Plattform 3D Governance Risk Compliance (GRC) des Unternehmens.

Darüber hinaus entwickelt er weiterhin integrierte Lösungen mit führenden Technologiepartnern wie SAP, SAP NS2 und ServiceNow. Vor Alert Enterprise war Herr Chauhan in mehreren CTO-Positionen und als Product Owner und Head of Development bei SAP GRC 10.0 tätig und lieferte zielgerichtete Lösungen für namhafte SAP-Kunden.

Ruby Deol

Leiter der operativen Abteilung

Ruby Deol beaufsichtigt alle Geschäftsbereiche bei Alert Enterprise. Deol, mit mehr als 20 Jahren Erfahrung im weltweiten Vertrieb und Support pflegt bestehende Kundenbeziehungen mit einem kundenorientierten Ansatz. Alert Enterprise gewinnt in der Branche zunehmend an Anerkennung und Ansehen. Die Aufgabe von Deol ist es, Methoden zu entwickeln und umzusetzen, um die Unternehmensziele zu erreichen und die laufende Transformation des Unternehmens zu erleichtern.

Kaval Kaur

CFO und Mitbegründerin

Als Chief Financial Officer (CFO) und Mitbegründer von Alert Enterprise leitet Kaval Kaur alle Back Office-Abläufe im Finanz- und Verwaltungsbereich. Kaur ist Mitglied der nationalen US-Berufsorganisation American Institute of Certified Public Accountants (AICPA) und der California State CPA Society.

Bevor sie zu Alert Enterprise kam, war sie CFO und Mitbegründerin von Virsa Systems - einer Position, die sie bis zur Übernahme durch SAP innehatte.

Kaur ist im Herzen eine Philanthropin, die die Vielfalt der Region San Francisco Bay durch die Unterstützung besonderer kultureller Veranstaltungen fördert. Vor Kurzem hat sie 2.000 öffentliche Schulen in ländlichen Gegenden Indiens finanziell unterstützt, um die Computerkenntnisse von Kindern zu verbessern. Darüber hinaus ist sie Pflegemutter eines 10 Jahre alten Kindes.

Jasvir Gill

Gründer und CEO

Jasvir Gill, Gründer und CEO von Alert Enterprise, Inc., ist verantwortlich für die digitale Transformation und Sicherheitskonvergenz. Gill ist von Beruf Ingenieur und treibt die längst überfällige digitale Transformation der physischen Sicherheitsbranche voran.

Vor der Gründung von Alert Enterprise war Gill Gründer und CEO von Virsa Systems, das er zu einem weltweit führenden Anbieter von Anwendungssicherheitssoftware entwickelte. Als früher Pionier bei der Etablierung von Governance, Risiko und Compliance als Software-Marktsegment trieb er das exponentielle Wachstum bei Virsa voran und ermöglichte die Übernahme durch SAP im Jahr 2006.

In seiner Freizeit unterstützt Gill die soziale und wirtschaftliche Entwicklung in der lokalen Gemeinde. Er ist außerdem Treuhänder der American India Foundation.