Das Cybersecurity-Risikomanagement spielt in den Sicherheitsstrategien vieler Unternehmen eine große Rolle, andere fragen sich jedoch, ob es wirklich so wichtig ist.

Was also ist Risikomanagement im Bereich der Cybersicherheit? Risikomanagement ist die Implementierung von Prozessen zur Identifizierung, Bewältigung und Behebung von Bedrohungen der Cybersicherheit in Ihrem Unternehmen. Dieser Prozess ist ein fortlaufender Prozess, an dem jeder in einem Unternehmen beteiligt ist.

Was bedeuten Cybersecurity und Risiko?

Wenn es um Compliance und Sicherheit geht, fallen häufig Begriffe wie „Cybersicherheit“, „Risikomanagement“ und dergleichen. Für Cybersicherheitsexperten und Compliance-Beauftragte machen diese Begriffe durchaus Sinn. Ihre Bedeutung kann jedoch für diejenigen, die in der Geschäftswelt und im operativen Bereich tätig sind, verloren gehen, da die unterschiedlichen Aspekte dieser Begriffe nicht so offensichtlich sind.

Cybersicherheit ist das, worauf sich viele beziehen, wenn sie im weiteren Sinne über Sicherheit sprechen. Bei der Cybersicherheit geht es um Technologien, Prozesse, Verfahren, Schulungsprogramme, physische Kontrollen und Verwaltungsmethoden zum Schutz digitaler Ressourcen, einschließlich Anwendungen und Daten. Cybersecurity als Disziplin umfasst alles von Anti-Malware und Firewall-Implementierung bis hin zu Verschlüsselung und Kryptografie, Identitäts- und Zugriffsmanagement sowie alle Sicherheitsmaßnahmen, die zum Schutz von Systeminformationen eingesetzt werden.

Der Begriff „Risiko“ taucht oft im Zusammenhang mit der Cybersicherheit auf. Risikobewertung und -management sind Verfahren zur Identifizierung, Kontrolle, Eindämmung und Abwägung von Bedrohungen, um zu beurteilen, wie viel „Risiko“ ein Unternehmen bei seinen Aktivitäten eingeht. In den verschiedenen Disziplinen ist das Risiko ein konkreter Faktor mit realen Mess- und Entscheidungsgrundlagen. Die Risikobewertung in der Finanzbranche beispielsweise misst die Bedrohungen für die Einnahmen, das Kapital und die Erträge eines Unternehmens.

Cybersecurity-Risikomanagement  beinhaltet also die Identifizierung und das Management von Bedrohungen der IT-Infrastruktur auf der Grundlage verschiedener Sicherheitskonfigurationen. Die komplexen Wechselwirkungen zwischen Technologie, Personal und Geschäftszielen führen zu Situationen, in denen Prioritäten gesetzt werden müssen und nicht jeder Teil des Unternehmens das gleiche Maß an Engagement erhalten kann. Gleichzeitig können kritische Bereiche wie die Cybersicherheit aus Sicherheits- oder Compliance-Gründen nicht ignoriert werden.

Das Cyber-Risikomanagement bietet diesen Unternehmen eine Möglichkeit, die Beziehung zwischen ihrer IT-Infrastruktur und potenziellen Bedrohungen zu verstehen. Indem sie die Infrastruktur unter dem Aspekt des Managements von Schwachstellen betrachten, können sie die Wechselwirkungen zwischen Sicherheitsmaßnahmen, Cyber-Bedrohungen und den Folgen von Angriffen aufgrund dieser Bedrohungen verdeutlichen.

Cybersecurity-Frameworks

Das Risikomanagement ist kein Ad-hoc-Prozess. Es stimmt zwar, dass Unternehmen ihre eigenen Metriken entwickeln, die auf ihre speziellen Unternehmensbedürfnisse zugeschnitten sind, aber es gibt auch einige Prozesse und Managementansätze, die sich bestens bewährt haben.

 Vor diesem Hintergrund haben verschiedene Berufs- und Fachverbände Rahmenwerke für das Risikomanagement geschaffen. Dazu gehören die folgenden:

NIST Cybersecurity Framework und Risk Management Framework

Das National Institute of Standards and Technology (NIST) veröffentlicht technische Standards, die von Regierungsbehörden verwendet werden, um Compliance-Anforderungen und Best Practices zu definieren. Eine der Änderungen in der Ausrichtung, die in den staatlichen Technologiebestimmungen in den vergangenen 10 bis 15 Jahren vorgenommen wurden, ist die Konzentration auf das Risiko als treibende Kraft bei der Einhaltung der Cybersicherheitsvorschriften.

Das NIST CSF ist eigentlich eine Sammlung von Sicherheits- und Compliance-Dokumenten, die das Rückgrat der föderalen Bemühungen im Bereich der Cybersicherheit bilden. Teil des CSF ist das Risk Management Framework (RMF), eine Sammlung von Aktivitäten und Prozessen, die das Risikomanagement unterstützen.

RMF des US-Verteidigungsministeriums

Im Gegensatz zu anderen Behörden stellt das US-Verteidigungsministerium (DoD) aufgrund der Bedeutung seiner Arbeit und der von ihm verwalteten Daten oft strengere Anforderungen an die Einhaltung der Vorschriften. Das RMF des Ministeriums kombiniert einige Aspekte des früheren DoD Information Assurance Certification and Accreditation Process (DIACAP, 2014 eingestellt) und importiert sie in ein leicht modifiziertes NIST RMF-Framework, um militärische Cybersicherheits- und Risikovorgaben zu erfüllen.

ISO 31000

Die Internationale Organisation für Normung (ISO) hat ähnlich wie das NIST technische Standards veröffentlicht, die Unternehmen bei der Implementierung sicherer und kompatibler Technologien befolgen können. Im Gegensatz zum NIST ist die ISO jedoch keine staatliche Auflage, sondern eine optionale Anforderung, die ein Unternehmen zur Sicherung seiner Systeme umsetzen kann.

ISO 31000 bietet einen Managementprozess, dem sich Unternehmen freiwillig unterziehen können, um Ziele und Anforderungen mit Risikokennzahlen für die Entscheidungsfindung zu verknüpfen. Die ISO ist zwar keine Zertifizierung, aber sie kann Organisationen bei der Vorbereitung auf Risikobewertungen und Audits im Rahmen anderer Compliance-Standards helfen.

Faktorenanalyse des Informationsrisikos (FAIR)

FAIR ist ein von The Open Group herausgegebenes Rahmenwerk, das privaten Unternehmen helfen soll, Risiken zu definieren, zu messen und zu verwalten. Dieser offene Standard ist international verfügbar und soll herstellerneutrale Möglichkeiten zur Durchführung von Analysen bieten. Außerdem bietet The Open Group FAIR-Zertifizierungen an.

Welches sind die Herausforderungen und Best Practices für das Cybersecurity-Risikomanagement?

Der Ansatz des Risikomanagements kann sich als schwierig erweisen, insbesondere für Unternehmen, die es nicht gewohnt sind, Bewertungen als Teil ihrer Cybersicherheits- oder Compliance-Aktivitäten durchzuführen.

Zu den Herausforderungen und den damit verbundenen Best Practices, mit denen diese Unternehmen konfrontiert werden können, gehören unter anderem die folgenden:

  • Abwägen zwischen aktuellen und zukünftigen Anforderungen: Manchmal müssen sich IT- und Unternehmensleiter zwischen dringenden Problemen und langfristiger Planung entscheiden. Die Abwägung zwischen aktuellen Kosten und zukünftigen Bedrohungen macht dies sehr viel komplexer. Zu einem effektiven Management gehört auch, dass man weiß, wie man Risiken jetzt und in der Zukunft bewältigen kann.
  • Absicherung von Edge-Geräten: Einige der risikoreichsten und anfälligsten Aspekte eines IT-Systems sind die Geräte, die jeden Tag verwendet werden – diejenigen, die mit Benutzern und Hackern in Berührung kommen. Dazu gehören mobile Geräte, Website-Schnittstellen und Internet of Things (IoT) -Knoten. Für einen erfolgreichen Managementansatz ist es entscheidend, die notwendige Sicherheit für die am meisten gefährdeten Geräte richtig abzuwägen.
  • Kartierung von Datenbewegungen: Unternehmen, die nicht wissen, wie sich ihre Daten durch die IT-Systeme bewegen, können das Risiko für diese Daten nicht richtig einschätzen. Diejenigen, die diese Datenströme mithilfe von IT-Tracking und Dashboards abbilden, können verstehen, wo ihre Sicherheitsgrenzen liegen, wie komplexe Systeme interagieren und wo letztlich ihre Schwachstellen liegen.
  • Führungskräften der Unternehmen die Risiken vermitteln: Man könnte meinen, dass sich IT- und Geschäftsleitung in Bezug auf Managemententscheidungen in die Quere kommen. IT- und Compliance-Führungskräfte müssen die Auswirkungen und Gefahren jedes Risikos im Unternehmen kommunizieren, damit die Geschäftsleitung fundierte Entscheidungen treffen kann und die tatsächlichen Risiken für das Unternehmen versteht.
  • Den Posten des Chief Information Security Officer unterstützen: Risiko und Cybersicherheit sind wichtige und zunehmend signifikante Säulen eines jeden Unternehmens. Das hat möglicherweise zur Folge, dass ein leitender Angestellter eingestellt werden muss, der die Verwaltung dieser Bereiche unterstützt. Die Position eines CISO ist mittlerweile so üblich wie jede andere Führungskraft auf C-Level, und die oben genannten Best Practices werden in einem Unternehmen von einer Person mit Erfahrung, Kompetenz und Verantwortlichkeit zentralisiert.

Cybersecurity-Risikomanagement: Unverzichtbare Maßnahmen für moderne Unternehmen

Cybersicherheit und Compliance sind komplex und werden immer komplizierter, da überall auf der Welt immer raffiniertere Bedrohungen auftreten. Eine umfassende Cybersicherheit, die von der Unternehmensleitung gesteuert wird, kann flexible und reaktionsschnelle Lösungen für diese Probleme bieten und die Unternehmen mit einer besonders sicheren und robusten Infrastruktur schützen.

Erfahren Sie, wie Kiteworks das Risikomanagement für sensible Inhalte, die innerhalb und über die Unternehmensgrenzen hinaus ausgetauscht werden, verbessert, indem Sie mit unseren Experten für Risikomanagement einen Demo-Termin vereinbaren.

 

ABONNIEREN

Melden Sie sich an, um regelmäßige Updates und Neuigkeiten von Kiteworks zu erhalten.



Teilen
Twittern
Teilen