Security Transformation bei Kraft Heinz

"Agilität wird unterschätzt"

Dank seines neuen CISOs gelang es dem US-Lebensmittelriesen Kraft Heinz, sich in Sachen IT-Sicherheit nachhaltig neu zu erfinden.
Von  und
CSO | 28. Dezember 2021 05:04 Uhr
Der Mix macht's - das gilt bei Kraft Heinz auch für die Security-Transformation, die auf vier Säulen aufgebaut ist.
Der Mix macht's - das gilt bei Kraft Heinz auch für die Security-Transformation, die auf vier Säulen aufgebaut ist.
Foto: David Tran Photo - shutterstock.com

Security-Modernisierung ist für Kraft Heinz CISO Ricardo Lafosse das oberste Gebot. Der Manager trat den Posten des Chief Information Security Officers bei Kraft Heinz Co. im Februar 2020 an. Sein Auftrag: die IT-Sicherheit zu transformieren und die Art und Weise, wie das Unternehmen Security-Funktionen verwaltet, betreibt und wahrnimmt neu zu definieren. Lafosse ließ sich nicht lange bitten und ersetzte das bisherige Sicherheitsprogramm von Kraft Heinz durch eine Initiative, die auf vier Säulen beruht:

  • Transparenz,

  • Teamstruktur,

  • Innovation und

  • Lebenszyklus.

"Ich bin dafür bekannt, den Status quo in Frage zu stellen", offenbart der CISO. "Als ich nach den Gesprächen mit dem Führungsteam die Stelle antrat, bekam ich ein Gefühl für die Organisation, die Richtung, in die sie sich bewegte und die gewünschten Veränderungen. Nach der Analyse und Bewertung des bestehenden Security-Programms hatte ich schließlich auch eine bessere Vorstellung davon, wie ich das auf den Kopf stellen und als Katalysator für Veränderungen nutzen konnte."

Das Programm für den Sicherheitswandel

Im Rahmen der Ausarbeitung seines Plans legte Lafosse eine spezifische Roadmap für jede der vier Säulen seiner Security-Modernisierungsinitiative fest:

Um für mehr Transparenz zu sorgen, forderte er die Implementierung eines neuen, cloudbasierten SIEM-Systems ein. Die Idee dabei: Echtzeit-Analysen auf der Grundlage von Daten aus den Sicherheitstools und -systemen des Unternehmens zu erhalten und ein "single pane of glass" zu generieren, das es Kraft Heinz ermöglicht, so schnell wie nötig datengestützte Entscheidungen zu treffen. Zudem wollte Lafosse alle Assets und Kontrollmaßnahmen des Unternehmens innerhalb der Public Cloud identifizieren. Mit Hilfe kontinuierlicher (modular aufgebauter) Penetrationstests härtete der CISO die öffentlich zugänglichen IT-Systeme des Unternehmens, um möglicherweise gefährdete Assets schnell und flexibel bewerten zu können. "Ein zentraler Grundsatz jedes Sicherheitsprogramms: Man kann nicht schützen oder kontrollieren, was man nicht kennt. Transparenz war also der Key", resümiert Lafosse.

Seine Pläne bezüglich der Teamstruktur konzentrierten sich darauf, die Mitarbeiter zu befähigen, das Richtige zu tun: "Ich wollte, dass sich unsere Teammitglieder die Sicherheit zu eigen machen. Wir haben alles darangesetzt, die besten Leute ins Team zu holen, die übergreifend zusammenarbeiten und Verantwortung übernehmen."

Kraft Heinz CISO Ricardo Lafosse hat seit seinem Amtsantritt im Februar 2020 die Security-Modernisierung seines Unternehmens entscheidend vorangetrieben.
Kraft Heinz CISO Ricardo Lafosse hat seit seinem Amtsantritt im Februar 2020 die Security-Modernisierung seines Unternehmens entscheidend vorangetrieben.
Foto: Kraft Heinz Co.

Um die nächste Säule einzuziehen, galt es für den CISO, den Grundatz "Innovation schlägt Business as usual" umzusetzen. Hier setzte Lafosse auf neue Technologien wie Automatisierung und neue Prozesse. Gleichzeitig hat der Manager innerhalb seines Sicherheitsteams ein Mindset kultiviert, das darauf fokussiert, die Markteinführungsstrategien der Unternehmensteams zu unterstützen. "Die IT sollte Partner für das Business werden", sagt Lafosse und fügt hinzu: "Ich möchte, dass unsere Mitarbeiter wertschöpfend und kreativ arbeiten, statt Tickets zu öffnen und zu schließen."

Bei Errichtung der letzten Säule ging es schließlich um die Stabilität des Lebenszyklus: Altsysteme und Altdaten mussten bereinigt und Prozesse wie beispielsweise Patching überarbeitet werden: "Hinter dem Programm steht eine Strategie, die auf der Ausrichtung des Unternehmens und den Bereichen, in denen ich Verbesserungsbedarf sah, basiert", erklärt der Kraft Heinz CISO.

Agile Security-Transformation

Der Modernisierungsplan von Lafosse zeigte dabei sowohl Optionen für kurzfristige Erfolge als auch für Bereiche auf, die größere programmatische Änderungen erforderten, um langfristige Verbesserungen zu erzielen. Der CISO erstellte Arbeitspläne für jede seiner vier Transformationssäulen und formulierte Ziele und Meilensteine, die erreicht werden sollten. Dabei setzte Lafosse auch auf Flexibilität, so dass die einzelnen Tasks in der sinnvollsten Reihenfolge abgearbeitet werden konnten: "Wir hatten eine ungefähre Vorstellung davon, wann die wichtigsten Ergebnisse innerhalb der vier Säulen erreicht sein sollten. Dabei wiesen einige Tasks weniger spezifische Zieldaten auf als andere."

Um das in der Praxis umsetzen zu können, verließ sich der Sicherheitschef auf Prinzipien der agilen Softwareentwicklung: "Ich bin ein starker Befürworter des Fail-Fast-Prinzips. Kleinere, iterative Erfolge haben ihre Vorteile: wenn es nicht funktioniert, kann man einen Schritt zurückgehen und die gewonnenen Erkenntnisse für sich nutzen. Der Agile-Ansatz bringt die Mitarbeiter näher zusammen und die kleinen, schnellen Erfolge sorgen für Motivation. Agilität wird in der Sicherheitsbranche unterschätzt".

Der CISO räumt ein, dass ein kultureller Wandel unumgänglich war, um alle Mitglieder seines Sicherheitsteams bei dem agilen Transformationsvorhaben an Bord zu bekommen. "Aber als diese Hürde überwunden war, erkannten die Leute, dass Agile für mehr Transparenz sorgt und dem Team gleichzeitig die nötige Flexibilität verleiht, um auf veränderte Geschäftsanforderungen oder neue Risiken zu reagieren."

Eine weitere wichtige Komponente der Modernisierungsbemühungen des Kraft Heinz CISOs: Spaß bei der Arbeit. "Das ist ein Teil meiner Persönlichkeit", sagt Lafosse und erklärt, dass es dabei nicht darum gehe, den Spaßvogel zu spielen oder die Bedeutung der Cybersicherheit und der harten Arbeit der Sicherheitsteams zu schmälern. Vielmehr trage eine lockere Arbeitsatmosphäre dazu bei, diese Punkte zu vermenschlichen: "Ich bin jetzt seit knapp 20 Jahren im Sicherheitsbereich tätig. Wenn ich einen Schritt zurücktrete, ermöglichen mir Humor und eine positive Grundeinstellung ernsthafte, technische Diskussionen mit verschiedenen Zielgruppen zu führen und die Informationen entsprechend auf die Rezipienten anzupassen. Schließlich sollten sich alle Mitarbeiter mit unserem Programm wohlfühlen."

Security wird Business Enabler

Die Security-Modernisierungsinitiative bei Kraft Heinz ist seit dem Beginn der Amtszeit von Lafosse in vollem Gange: "Sicherheit ist ein kontinuierlicher Prozess, der immer wieder Möglichkeiten zur Verbesserung, Reifung und Anpassung an die sich verändernde Bedrohungslandschaft bietet." Allerdings - so betont der CISO - erreichten manche Transformationsinitiativen einen "stabilen Zustand". Das erlaube, dass die transformierten Bereiche operationalisiert und optimiert werden, um Business-Strategien zu unterstützen.

"Ich denke, dass wir die Sicherheit wirklich auf Erfolgskurs gebracht haben, indem wir ein strategischer Partner für das Business sind, ein Enabler. Wir eröffnen neue Möglichkeiten, indem wir das Business in die Lage versetzen, sicher zu arbeiten. Jedem ist bewusst, dass Security wesentlich dazu beiträgt, die Unternehmensagenda und das Unternehmenswachstum voranzutreiben."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.
Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.