3 Cybersicherheitsregeln, nach denen Sherrod DeGrippo von Microsoft lebt – und warum Sie das auch tun sollten

Wenn es um Cybersicherheit geht, gibt es nur wenige Stimmen, die so viel Resonanz finden wie Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft. Mit fast 20 Jahren Erfahrung und einem Lebenslauf, der sich über die gesamte Cyberbranche erstreckt, ist Sherrod ein echter Vordenker in diesem Bereich.  

Wir haben uns kürzlich im The Segment: A Zero Trust Leadership Podcast zusammengesetzt, um über Cyber-Resilienz, Trends bei Bedrohungsinformationen und Zero Trust zu sprechen. Während unseres Gesprächs enthüllte Sherrod die drei Gebote der Cybersicherheit, die ihrer Meinung nach die Entscheidungen und Strategien jeder Cyber-Führungskraft leiten sollten.  

Lesen Sie weiter, um Sherrods Einblicke in Best Practices für die Sicherheit zu erhalten.

1. Produktive Angst: Fortschritte bei der Cybersicherheit vorantreiben

Einer der wichtigsten Punkte von Sherrod während unseres Gesprächs war, dass Angst tatsächlich eine Stärke in der Cybersicherheit sein kann. Anstatt Angst als Schwäche zu betrachten, sieht sie sie als "Superkraft".  

"Nicht genügend Organisationen haben genug Angst. Ich denke, es gibt nicht genug Sorgen, und es gibt nicht genug produktive Ängste beruflich in der Branche", sagte sie.

Diese sogenannte "produktive Angst" verwandelt die nervöse Energie über die Unvermeidlichkeit von Ransomware und Sicherheitsverletzungen in proaktive Sicherheitsmaßnahmen.

Sie erklärte: "Was mich interessiert, ist, ob man eine tiefe Verbindung zu der Arbeit spürt. Bringt Ihnen die Sicherung von etwas ein Gefühl der Ruhe? Wenn das der Fall ist, sind das die Leute, die wir in dieser Branche haben wollen, weil sie unermüdlich nach besseren Ergebnissen streben."

Ihre Botschaft ist klar: Die besten Sicherheitsexperten kreuzen nicht nur Kästchen an – sie werden von einem Zielbewusstsein angetrieben. Indem sie die in der Cybersicherheitsbranche verankerten Ängste berücksichtigen, können Sicherheitsteams den Aufbau stärkerer, proaktiverer Abwehrmaßnahmen priorisieren.

Diese Denkweise ist für die Cyber-Resilienz unerlässlich, bei der Unternehmen durch Vorbereitung und ständige Verbesserung den sich entwickelnden Bedrohungen einen Schritt voraus sind.  

2. Jetzt geht es in die Spirale: Der Schlüssel zur Planung der Ransomware-Resilienz

Ransomware ist heute eine der größten Herausforderungen in der Cybersicherheit. Sherrod wies darauf hin, dass es unmöglich ist, alle Angriffe zu verhindern. Stattdessen müssen Unternehmen anfangen, proaktiv zu denken und sich auf die nächste Sicherheitsverletzung vorzubereiten.  

Sie betonte, wie wichtig es sei, Entscheidungen zu treffen, bevor es zu einem Angriff kommt. "Ich würde mir wünschen, dass mehr Entscheidungen getroffen werden, bevor etwas passiert", sagte sie. "Dies würde Führungskräfte und Sicherheitsexperten auf die gleiche Seite bringen."

Dieser Ansatz des "Spiraling Now", wie Sherrod es nennt, bedeutet einfach, vorausschauend zu planen. Wenn eine Krise zuschlägt, kennt jeder seine Rolle und weiß, welche Schritte zu unternehmen sind.

Sherrod fordert Unternehmen auf, Resilienz aufzubauen, indem sie wichtige Führungskräfte in die proaktive Entscheidungsfindung einbeziehen und klare Reaktionsstrategien entwickeln. "Ich glaube fest an die Planung der Resilienz von Ransomware", erklärte sie.  

Mit diesen Plänen können Unternehmen ruhiger und effektiver mit Ransomware-Angriffen umgehen. Sie reduzieren den Schaden und beschleunigen die Wiederherstellung. Diese Art der Vorbereitung ist das Herzstück der Cyber-Resilienz – sie stellt sicher, dass Unternehmen im Falle einer Sicherheitsverletzung wieder auf die Beine kommen können.

3. Zero Trust: Kommunikation von Sicherheitsprioritäten an die Unternehmensleitung

In vielerlei Hinsicht ergänzt Zero Trust Sherrods Forderung nach Vorausplanung. Durch die Annahme, dass nichts – weder innerhalb noch außerhalb des Unternehmens – automatisch vertrauenswürdig ist, verlangt Zero Trust von Unternehmen, den Zugriff einzuschränken und Identitäten zu überprüfen, bevor jemand auf kritische Systeme oder Daten zugreifen kann.

Mit der Zunahme von Ransomware-Angriffen wird Zero Trust noch wichtiger. Es stellt sicher, dass auch im Falle eines Angriffs der Schaden eingedämmt wird. Dies steht im Einklang mit einer allgemeinen Resilienzstrategie, die das Risiko reduziert und die Auswirkungen einer Sicherheitsverletzung begrenzt.

Vor allem aber wies Sherrod darauf hin, dass Zero Trust nicht nur die Sicherheit stärkt, sondern auch die Kommunikation zwischen Sicherheitsteams und Führungskräften überbrückt.  

"Ich denke, das Beste, was das Zero-Trust-Konzept in den letzten Jahren getan hat, ist, dass es bei den Führungskräften so großen Anklang findet", sagte sie. "Zero Trust hat es uns ermöglicht, mit Führungskräften, Entscheidungsträgern und sogar mit Menschen, die nicht unbedingt in technischen Funktionen tätig sind, in derselben Sprache zu kommunizieren."

Lernen Sie Sherrod DeGrippo kennen, Microsofts Experten für Bedrohungsinformationen

Mit über 19 Jahren Erfahrung im Bereich Cybersicherheit bringt Sherrod eine Fülle von Kenntnissen in die Bedrohungsaufklärung ein. Ihre Expertise auf diesem Gebiet hat ihr weithin Anerkennung eingebracht, unter anderem wurde sie 2022 zur Cybersecurity-Frau des Jahres und 2021 zur Cybersecurity-PR-Sprecherin des Jahres ernannt.

Bevor er zu Microsoft kam, war Sherrod in verschiedenen Führungspositionen in großen Sicherheitstechnologieunternehmen tätig. Ihre Erfahrung reicht von Bedrohungsforschung und -aufklärung bis hin zu Red Team Services und Sicherheitsberatung.  

Sherrod ist bekannt für ihre Expertise in der Bedrohungslandschaft und ihre Leidenschaft, Unternehmen beim Aufbau von Cyber-Resilienz zu unterstützen. Sie ist eine gefragte Rednerin und Vordenkerin in der Branche.

Hören, abonnieren und rezensieren Sie The Segment: A Zero Trust Leadership Podcast

Möchten Sie mehr erfahren? Hören Sie sich die ganze Folge auf unserer Website, Apple Podcasts, Spotify oder wo auch immer Sie Ihre Podcasts erhalten, an. Sie können auch das vollständige Transkript der Episode lesen.