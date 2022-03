Werbung

Ob durch einen IT-Direktor, einen CISO oder sogar technisches Personal, in vielen Unternehmen wird erwartet, dass Cyberrisiken angesprochen werden. Viele Vorstandsmitglieder gehen jedoch aus diesen Präsentationen mit wenig Verständnis für die wahren Risiken und Bedrohungen, die darin lauern, heraus. Tiefgründige technische Präsentationen über Systemschwachstellen, Netzwerksonderbarkeiten und verdächtige Ereignisse bringen den Führungskräften wenig, wenn sie finanzielle und betriebliche Entscheidungen treffen müssen.

Die Zeit, die Sprache der Führungskräfte zu sprechen, ist für Informationssicherheitsexperten längst überfällig, und es muss eine klare und präzise Methodik verwendet werden, um nicht nur die wichtigsten Leistungsindikatoren zu verfolgen, sondern auch die Bedrohungen und Risiken, mit denen diese Organisationen konfrontiert sind, und deren Bedeutung für das Geschäft genau darzustellen.

Eine gute Idee ist es, ein günstiges VPN zu installieren, damit niemand ihre Daten klauen kann und sie sicher im Internet sind. Führungskräfte treffen Entscheidungen, die das Unternehmen formen, vorantreiben und wachsen lassen. Fachleute für Informationssicherheit sind dazu da, diese Aufgaben zu unterstützen. Daher liegt es in der Verantwortung von Führungskräften, Vorstandsmitgliedern und Informationssicherheitsabteilungen, messbare Ziele und wiederkehrende Risikoschwellen festzulegen. Meiner Erfahrung nach habe ich eine gemeinsame Sprache verwendet, um diese Brücke zu schlagen und die Bedeutung von Cyber-Risiken zu erklären, die sonst vielleicht übersehen worden wären:

Kritisches Risiko:

Es besteht die Gefahr, dass das Unternehmen einen irreparablen Schaden erleidet, dass ein erheblicher Geldbetrag verloren geht oder dass der Ruf der Marke oder das Vertrauen der Verbraucher ernsthaft beschädigt wird. Kritische Cyber-Risiken sind manchmal nicht wiedergutzumachen. Ein Beispiel hierfür wären kritisch ausnutzbare Schwachstellen, die wahrscheinlich zu einem massiven Ransomware-Angriff führen würden, den die Backups des Unternehmens nicht lösen könnten.

Hohes Risiko:

Auch wenn die Wahrscheinlichkeit des Eintretens geringer ist, könnten die nachteiligen Auswirkungen einen reparablen Schaden für das Unternehmen und den Verlust von Geldern bedeuten, der vollständig durch eine Cyber-Versicherung abgedeckt werden könnte und ein besonderes Augenmerk auf das Markenmanagement und das Vertrauen der Verbraucher erfordern würde.

Mäßiges Risiko:

Nicht wahrscheinlich, aber wenn ein unerwünschtes Ereignis eintreten sollte, würde dies ein mäßiges Maß an Aufmerksamkeit erfordern, um es zu beheben, auszumerzen oder anderweitig zu mildern. Der Verlust von Geldern, die Gesundheit der Marke und das Vertrauen der Verbraucher sind möglicherweise nicht betroffen.

Dies sind Beispiele für die Sprache, die verwendet werden kann, um den Führungskräften das Risiko zu verdeutlichen und ihnen Schwellenwerte für die Entscheidungsfindung vorzugeben. Es ist wichtig, sich daran zu erinnern, dass nicht alles kritisch ist und dass Unternehmen eine Aufgabe außerhalb der Informationssicherheit haben, es sei denn, es handelt sich um ein Unternehmen für Cybersicherheit.

Biden EO verspricht die Welt; Fintech-Investoren und Innovatoren wollen nur eine stabile Regulierung

Führungskräfte aus der Wirtschaft und Fachleute für Informationssicherheit müssen eine gemeinsame Sprache und eine Reihe von Metriken, Schwellenwerten und Entscheidungspunkten entwickeln, damit beide zusammenarbeiten können. Das erste Mal, dass Gespräche zwischen diesen beiden Parteien stattfinden, sollte nicht nur in Krisensituationen stattfinden. Führungskräfte müssen die folgenden Schritte unternehmen, um dieses Gespräch in den Vordergrund zu rücken und den Ton für Erwartungen, Verantwortlichkeit und wiederkehrende Aktualisierungen anzugeben:

Bestimmen Sie, welche Sicherheitsstandards Ihr Unternehmen befolgen wird. CIS 18, SOC2, ISO-27001, NIST und andere bieten phänomenale Ausgangspunkte. Hierüber sollten sich die Führungskräfte des Unternehmens und die Sicherheitsverantwortlichen einig sein. Führen Sie eine Bewertung des aktuellen Sicherheitszustands durch. Ich empfehle dringend, diese Bewertung von einem externen Sicherheitsunternehmen durchführen zu lassen, damit die Ergebnisse unvoreingenommen sind und aus einem anderen Blickwinkel betrachtet werden können. Machen Sie wiederkehrende (monatliche, vierteljährliche usw.) Treffen zu einer regelmäßigen und obligatorischen Gewohnheit! Nehmen Sie sich gegenseitig in die Pflicht, setzen Sie sich Ziele und setzen Sie diese um. Dies ist die Gelegenheit für die Sicherheitsabteilung, auf Risiken hinzuweisen, Erfolge zu artikulieren und die Glocke zu läuten, wenn etwas drastisch falsch läuft und Aufmerksamkeit erfordert.

Achten Sie auf die Anzeichen und Symptome. Allzu oft wird Cybersicherheit nur in Notfallsituationen zum Thema. Die Sicherheitsabteilung muss in der Lage sein, Sicherheitsereignisse zu erkennen und darauf zu reagieren, bevor sie sich zu Datenschutzverletzungen oder einem vollständigen Eindringen entwickeln. Sprechen Sie die "Elefanten im Raum" an, wenn sie erkannt werden. Risiken müssen schnell erörtert und zügig behoben werden.

Führungskräfte aus der Wirtschaft und Verantwortliche für die Informationssicherheit müssen sich miteinander vertraut machen, häufig miteinander sprechen und eine gemeinsame Sprache sprechen. Ermitteln und definieren Sie die Risikobereitschaft Ihres Unternehmens und seine Widerstandsfähigkeit gegenüber Cyberangriffen, und gehen Sie dann die Bedrohungen direkt an.