CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/agilitaet-wird-unterschaetzt,3671909

Security Transformation bei Kraft Heinz

"Agilität wird unterschätzt"

Datum:28.12.2021
Autor(en):Mary K. Pratt, Florian Maier
Dank seines neuen CISOs gelang es dem US-Lebensmittelriesen Kraft Heinz, sich in Sachen IT-Sicherheit nachhaltig neu zu erfinden.

Der Mix macht's - das gilt bei Kraft Heinz auch für die Security-Transformation, die auf vier Säulen aufgebaut ist.
Foto: David Tran Photo - shutterstock.com

Security-Modernisierung ist für Kraft Heinz CISO Ricardo Lafosse das oberste Gebot. Der Manager trat den Posten des Chief Information Security Officers1 bei Kraft Heinz Co. im Februar 2020 an. Sein Auftrag: die IT-Sicherheit zu transformieren und die Art und Weise, wie das Unternehmen Security-Funktionen verwaltet, betreibt und wahrnimmt neu zu definieren. Lafosse ließ sich nicht lange bitten und ersetzte das bisherige Sicherheitsprogramm von Kraft Heinz durch eine Initiative, die auf vier Säulen beruht:

  • Transparenz,

  • Teamstruktur,

  • Innovation und

  • Lebenszyklus.

"Ich bin dafür bekannt, den Status quo in Frage zu stellen", offenbart der CISO. "Als ich nach den Gesprächen mit dem Führungsteam die Stelle antrat, bekam ich ein Gefühl für die Organisation, die Richtung, in die sie sich bewegte und die gewünschten Veränderungen. Nach der Analyse und Bewertung des bestehenden Security-Programms hatte ich schließlich auch eine bessere Vorstellung davon, wie ich das auf den Kopf stellen und als Katalysator für Veränderungen2 nutzen konnte."

Das Programm für den Sicherheitswandel

Im Rahmen der Ausarbeitung seines Plans legte Lafosse eine spezifische Roadmap3 für jede der vier Säulen seiner Security-Modernisierungsinitiative fest:

Um für mehr Transparenz zu sorgen, forderte er die Implementierung eines neuen, cloudbasierten SIEM-Systems ein. Die Idee dabei: Echtzeit-Analysen4 auf der Grundlage von Daten aus den Sicherheitstools und -systemen des Unternehmens zu erhalten und ein "single pane of glass" zu generieren, das es Kraft Heinz ermöglicht, so schnell wie nötig datengestützte Entscheidungen5 zu treffen. Zudem wollte Lafosse alle Assets und Kontrollmaßnahmen des Unternehmens innerhalb der Public Cloud identifizieren. Mit Hilfe kontinuierlicher (modular aufgebauter) Penetrationstests6 härtete der CISO die öffentlich zugänglichen IT-Systeme des Unternehmens, um möglicherweise gefährdete Assets schnell und flexibel bewerten zu können. "Ein zentraler Grundsatz jedes Sicherheitsprogramms: Man kann nicht schützen oder kontrollieren, was man nicht kennt. Transparenz war also der Key", resümiert Lafosse.

Seine Pläne bezüglich der Teamstruktur konzentrierten sich darauf, die Mitarbeiter zu befähigen, das Richtige zu tun: "Ich wollte, dass sich unsere Teammitglieder die Sicherheit zu eigen machen. Wir haben alles darangesetzt, die besten Leute ins Team zu holen, die übergreifend zusammenarbeiten und Verantwortung übernehmen."

Kraft Heinz CISO Ricardo Lafosse hat seit seinem Amtsantritt im Februar 2020 die Security-Modernisierung seines Unternehmens entscheidend vorangetrieben.
Foto: Kraft Heinz Co.

Um die nächste Säule einzuziehen, galt es für den CISO, den Grundatz "Innovation schlägt Business as usual" umzusetzen. Hier setzte Lafosse auf neue Technologien wie Automatisierung7 und neue Prozesse. Gleichzeitig hat der Manager innerhalb seines Sicherheitsteams ein Mindset kultiviert, das darauf fokussiert, die Markteinführungsstrategien der Unternehmensteams zu unterstützen. "Die IT sollte Partner für das Business werden", sagt Lafosse und fügt hinzu: "Ich möchte, dass unsere Mitarbeiter wertschöpfend und kreativ arbeiten, statt Tickets zu öffnen und zu schließen."

Bei Errichtung der letzten Säule ging es schließlich um die Stabilität des Lebenszyklus: Altsysteme und Altdaten mussten bereinigt und Prozesse wie beispielsweise Patching überarbeitet werden: "Hinter dem Programm steht eine Strategie, die auf der Ausrichtung des Unternehmens und den Bereichen, in denen ich Verbesserungsbedarf sah, basiert", erklärt der Kraft Heinz CISO.

Agile Security-Transformation

Der Modernisierungsplan von Lafosse zeigte dabei sowohl Optionen für kurzfristige Erfolge als auch für Bereiche auf, die größere programmatische Änderungen erforderten, um langfristige Verbesserungen zu erzielen. Der CISO erstellte Arbeitspläne für jede seiner vier Transformationssäulen und formulierte Ziele und Meilensteine, die erreicht werden sollten. Dabei setzte Lafosse auch auf Flexibilität, so dass die einzelnen Tasks in der sinnvollsten Reihenfolge abgearbeitet werden konnten: "Wir hatten eine ungefähre Vorstellung davon, wann die wichtigsten Ergebnisse innerhalb der vier Säulen erreicht sein sollten. Dabei wiesen einige Tasks weniger spezifische Zieldaten auf als andere."

Um das in der Praxis umsetzen zu können, verließ sich der Sicherheitschef auf Prinzipien der agilen Softwareentwicklung8: "Ich bin ein starker Befürworter des Fail-Fast-Prinzips. Kleinere, iterative Erfolge haben ihre Vorteile: wenn es nicht funktioniert, kann man einen Schritt zurückgehen und die gewonnenen Erkenntnisse für sich nutzen. Der Agile-Ansatz bringt die Mitarbeiter näher zusammen und die kleinen, schnellen Erfolge sorgen für Motivation9. Agilität wird in der Sicherheitsbranche unterschätzt".

Der CISO räumt ein, dass ein kultureller Wandel10 unumgänglich war, um alle Mitglieder seines Sicherheitsteams bei dem agilen Transformationsvorhaben an Bord zu bekommen. "Aber als diese Hürde überwunden war, erkannten die Leute, dass Agile für mehr Transparenz sorgt und dem Team gleichzeitig die nötige Flexibilität verleiht, um auf veränderte Geschäftsanforderungen oder neue Risiken zu reagieren."

Eine weitere wichtige Komponente der Modernisierungsbemühungen des Kraft Heinz CISOs: Spaß bei der Arbeit11. "Das ist ein Teil meiner Persönlichkeit", sagt Lafosse und erklärt, dass es dabei nicht darum gehe, den Spaßvogel zu spielen oder die Bedeutung der Cybersicherheit und der harten Arbeit der Sicherheitsteams zu schmälern. Vielmehr trage eine lockere Arbeitsatmosphäre dazu bei, diese Punkte zu vermenschlichen: "Ich bin jetzt seit knapp 20 Jahren im Sicherheitsbereich tätig. Wenn ich einen Schritt zurücktrete, ermöglichen mir Humor und eine positive Grundeinstellung ernsthafte, technische Diskussionen mit verschiedenen Zielgruppen zu führen und die Informationen entsprechend auf die Rezipienten anzupassen. Schließlich sollten sich alle Mitarbeiter mit unserem Programm wohlfühlen."

Security wird Business Enabler

Die Security-Modernisierungsinitiative bei Kraft Heinz ist seit dem Beginn der Amtszeit von Lafosse in vollem Gange: "Sicherheit ist ein kontinuierlicher Prozess, der immer wieder Möglichkeiten zur Verbesserung, Reifung und Anpassung an die sich verändernde Bedrohungslandschaft12 bietet." Allerdings - so betont der CISO - erreichten manche Transformationsinitiativen einen "stabilen Zustand". Das erlaube, dass die transformierten Bereiche operationalisiert und optimiert werden, um Business-Strategien zu unterstützen.

"Ich denke, dass wir die Sicherheit wirklich auf Erfolgskurs gebracht haben, indem wir ein strategischer Partner für das Business sind, ein Enabler. Wir eröffnen neue Möglichkeiten, indem wir das Business in die Lage versetzen, sicher zu arbeiten. Jedem ist bewusst, dass Security wesentlich dazu beiträgt, die Unternehmensagenda und das Unternehmenswachstum voranzutreiben."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.13

Links im Artikel:

1 https://www.computerwoche.de/a/das-muss-ein-chief-information-security-officer-koennen,3546728
2 https://www.computerwoche.de/a/mit-dem-richtigen-change-modell-zum-ziel,3549431
3 https://www.cio.de/a/die-it-strategisch-klug-aufstellen,3548322
4 
5 https://www.computerwoche.de/a/auf-dem-weg-zur-data-driven-company,3550559
6 https://www.computerwoche.de/a/was-ist-pentesting,3544219
7 https://www.computerwoche.de/a/wie-automatisierung-sich-rechnet,3548393
8 https://www.computerwoche.de/a/was-scrum-von-kanban-unterscheidet,3548315
9 https://www.computerwoche.de/a/wenn-motivation-motivation-kostet,3549412
10 https://www.computerwoche.de/a/wann-kulturwandel-scheitern-muss,3546681
11 https://www.cowo.de/a/3331555
12 http://www.cowo.de/a/3552028
13 http://www.csoonline.com/article/3636515/kraft-heinz-dishes-up-security-transformation.html

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.