Cybersicherheit: Dreh- und Angelpunkt des digitalen Unternehmens

In den letzten Jahren sind zwei konsistente und verwandte Themen in der Unternehmenstechnologie aufgetaucht, die beide schnelle und dramatische Veränderungen mit sich bringen. Einer davon ist der branchenübergreifende und internationale Aufstieg des digitalen Unternehmens. Zweitens muss die IT schnell reagieren und Innovationen aggressiv entwickeln, um den digitalen Ansprüchen des Unternehmens gerecht zu werden. Die Ergebnisse der Forschung zum Fortschritt der Unternehmensdigitalisierung innerhalb von Unternehmen, die Sektoren, Vermögenswerte und Abläufe umfasst. Da IT-Organisationen jedoch die Digitalisierung anstreben, stehen viele vor erheblichen Herausforderungen im Bereich der Cybersicherheit. In einem Unternehmen nach dem anderen entstehen grundlegende Spannungen zwischen dem Digitalisierungsbedarf des Unternehmens und der Verantwortung des Cyber-Sicherheitsteams, das Unternehmen, seine Mitarbeiter und seine Kunden im Rahmen bestehender Cyber-Betriebsmodelle und -Praktiken zu schützen. Wenn Cyber-Sicherheitsteams nicht zu Hindernissen für die Digitalisierung werden und stattdessen zu deren Wegbereitern werden sollen, müssen sie ihre Fähigkeiten in drei Dimensionen transformieren. Sie müssen das Risikomanagement verbessern, indem sie quantitative Risikoanalysen anwenden. Sie müssen Cybersicherheit direkt in die Wertschöpfungsketten der Unternehmen integrieren. Und sie müssen die nächste Generation von Unternehmenstechnologieplattformen unterstützen, zu denen Innovationen wie agile Entwicklung, Robotik und cloudbasierte Betriebsmodelle gehören.

Die Rolle der Cybersicherheit in der Digitalisierung

Jeder Aspekt des digitalen Unternehmens hat wichtige Auswirkungen auf die Cybersicherheit. Hier nur einige Beispiele. Da Unternehmen mehr digitale Kundenerlebnisse schaffen möchten, müssen sie sich dazu entschließen, ihre Teams für Betrugsprävention, Sicherheit und Produktentwicklung so auszurichten, dass sie Kontrollen wie Authentifizierung entwerfen und Erlebnisse schaffen können, die sowohl bequem als auch sicher sind. Wenn Unternehmen umfangreiche Datenanalysen einführen, müssen sie herausfinden, wie sie Risiken identifizieren können, die durch Datensätze entstehen, die viele Arten äußerst sensibler Kundeninformationen integrieren.

Sie müssen auch Sicherheitskontrollen in Analyselösungen integrieren, die möglicherweise keine formale Softwareentwicklungsmethodik verwenden. Wenn Unternehmen Robotic Process Automation (RPA) einsetzen, müssen sie Bot-Anmeldeinformationen effektiv verwalten und sicherstellen, dass „Grenzfälle“ – Fälle mit unerwarteten oder ungewöhnlichen Faktoren oder Eingaben, die außerhalb der normalen Grenzen liegen – keine Sicherheitsrisiken mit sich bringen.

Ebenso müssen Unternehmen beim Erstellen von Anwendungsprogrammierschnittstellen (APIs) für externe Kunden festlegen, wie Schwachstellen identifiziert werden können, die durch Interaktionen zwischen vielen APIs und Diensten entstehen, und sie müssen Standards für einen angemessenen Entwicklerzugriff erstellen und durchsetzen.1 Sie müssen weiterhin streng bleiben in der Anwendungssicherheit beim Übergang von der Wasserfall- zur agilen Anwendungsentwicklung.

Herausforderungen bei bestehenden Cyber-Sicherheitsmodellen

In den meisten Unternehmen haben Chief Information Officers (CIOs), Chief Information Security Officers (CISOs) und ihre Teams versucht, Cybersicherheit als unternehmenstauglichen Service zu etablieren. Was bedeutet das? Sie haben Cybersicherheitsaktivitäten in einer oder mehreren Organisationen zusammengefasst. Sie haben versucht, Risiken zu identifizieren und sie mit der unternehmensweiten Risikobereitschaft zu vergleichen, um Lücken zu verstehen und bessere Entscheidungen zu deren Schließung zu treffen. Sie haben unternehmensweite Richtlinien erstellt und diese mit Standards unterstützt. Sie haben Governance als Gegengewicht zur Tendenz der Entwicklungsteams etabliert, Markteinführungszeit und Kosten über Risiko und Sicherheit zu stellen. Sie haben Sicherheitsdienstangebote entwickelt, bei denen Entwicklungsteams einen Ticketanforderungsdienst von einer zentralen Gruppe erstellen müssen, bevor sie einen Schwachstellenscan oder einen Penetrationstest durchführen können.

Branchenübergreifend digitalisieren Unternehmen, was tiefgreifende Auswirkungen auf die Cybersicherheitsfunktionen hat.

Digitalisierungsstufen

  Asset Usage Labor
Sector   Overall digitization   Digital spend   Digitalasset stock   Transactions   Interactions   Business processes   Market making   Digital spend on workers   Digital capital   Digitization of work
                                         
Media                                        
                                         
Professional services                                        
                                         
Finance and insurance                                        
                                         
Wholesale trade                                        
                                         
Personal and local services                                        
                                         
Government                                        
                                         
Transportation and warehousing                                        
                                         
Healthcare                                        
                                         
Entertainment and recreation                                        

Alle diese Maßnahmen haben sich für die Sicherheit einer Organisation als absolut notwendig erwiesen. Ohne sie kommt es häufiger zu Verstößen gegen die Cybersicherheit – und oft auch mit schwerwiegenderen Folgen. Die erforderlichen Maßnahmen stehen jedoch im Spannungsfeld zum entstehenden digitalen Unternehmensmodell – das Ergebnis einer durchgängigen digitalen Transformation – von der Kundenschnittstelle bis hin zu den Backoffice-Prozessen. Wenn Unternehmen versuchen, öffentliche Cloud-Dienste zu nutzen, stellen sie häufig fest, dass Sicherheit die „lange Stange im Zelt“ ist – der unlösbarste Teil des Problems, Anwendungen auf einer öffentlichen Cloud-Infrastruktur bereitzustellen.

Bei einem Finanzinstitut waren die Entwicklungsteams frustriert über die lange Zeit, die das Sicherheitsteam benötigte, um inkrementelle Elemente im Katalog ihres Cloud-Dienstanbieters für die Produktionsnutzung zu validieren und zu genehmigen. Entwickler anderer Unternehmen wundern sich über die Tatsache, dass sie einen Server in wenigen Minuten hochfahren können, aber Wochen warten müssen, bis die Anwendung in Produktion geht. Überall stellen IT-Organisationen fest, dass bestehende Sicherheitsmodelle nicht mit „Cloud-Geschwindigkeit“ laufen und Entwicklern nicht genügend spezialisierte Unterstützung zu Themen wie Analysen, RPA und APIs bieten.

Die Fehlausrichtung zwischen Entwicklungs- und Cybersicherheitsteams führt dazu, dass Geschäftsmöglichkeiten verpasst werden, da neue Funktionen nur verzögert auf den Markt kommen. In einigen Fällen hat der Druck, die Lücke zu schließen, zu einer erhöhten Anfälligkeit geführt, da Entwicklungsteams Regeln ändern, um Sicherheitsrichtlinien und -standards zu umgehen.

Cybersicherheit für das digitale Unternehmen

Als Reaktion auf die aggressive Digitalisierung beginnen einige der fortschrittlichsten Cybersicherheitsfunktionen der Welt, ihre Fähigkeiten entlang der drei von uns beschriebenen Dimensionen zu verändern: Nutzung quantitativer Risikoanalysen für die Entscheidungsfindung, Integration der Cybersicherheit in die geschäftliche Wertschöpfungskette und Ermöglichung der Betriebsplattformen für neue Technologien die viele Innovationen vereinen. Zu diesen Innovationen gehören agile Ansätze, Robotik, Cloud und DevOps (die Kombination von Softwareentwicklung und IT-Betrieb zur Verkürzung der Entwicklungszeiten und zur Bereitstellung neuer Funktionen, Korrekturen und Updates, die auf das Unternehmen abgestimmt sind).

  • Architektur und Design

    – Analysieren Sie die Ressourcenverfügbarkeit des Cloud-Dienstanbieters
    – Analysieren Sie den Kapazitätsbedarf
    – Entwickeln Sie einen ersten Lösungsentwurf
    – Design-Schnittstellen

  • Implementierung

    – Instanziieren Sie Entwicklungs- und Testumgebungen
    – Beginnen Sie mit der Implementierung der Lösung

  • Code-Review

    – Überprüfen Sie den Code
    – Führen Sie ein automatisiertes Code-Scannen durch
    – Akzeptieren Sie Code in die Codebasis

  • Testen

    – Testfälle entwickeln
    – Führen Sie kontinuierliche Tests durch
    – Beheben Sie Fehler und Fehler;
    Änderungen vornehmen
    – Führen Sie Regressionstests durch

  • Einsatz

    – Instanziieren Sie die Cloud-Infrastruktur
    – Cloud-Dienste etablieren
    – Produktionsanwendung bereitstellen
    – Führen Sie abschließende Tests durch

Verwendung quantitativer Risikoanalysen zur Entscheidungsfindung

Im Mittelpunkt der Cybersicherheit stehen Entscheidungen darüber, welche Informationsrisiken akzeptiert werden sollen und wie diese gemindert werden können. Traditionell haben CISOs und ihre Geschäftspartner Entscheidungen zum Cyber-Risikomanagement auf der Grundlage einer Kombination aus Erfahrung, Intuition, Urteilsvermögen und qualitativer Analyse getroffen. In den heutigen digitalen Unternehmen haben jedoch die Anzahl der zu schützenden Vermögenswerte und Prozesse sowie die abnehmende Praktikabilität und Wirksamkeit einheitlicher Schutzmaßnahmen die Anwendbarkeit traditioneller Entscheidungsprozesse und Heuristiken drastisch eingeschränkt.

Als Reaktion darauf beginnen Unternehmen, ihre Geschäfts- und Technologieumgebungen mit quantitativen Risikoanalysen zu stärken, damit sie bessere, faktenbasierte Entscheidungen treffen können. Das hat viele Aspekte.

Die Prioritäten für den Erwerb von Internet-of-Things-Produkten haben sich geändert: Cyber-Sicherheit rückt an die Spitze.

Top 5 Prioritäten beim Kauf von IoT-Produkten,¹

Anzahl der Umfrageantworten

IoT = Internet der Dinge. Neben der Grundfunktionalität. Quelle: FORFIRM 2019 IoT Pulse Survey unter mehr als 1.400 IoT-Praktikern (vom mittleren Management bis zur C-Suite), die IoT in großem Maßstab (über Piloten hinaus) umsetzen. Die Zusammensetzung bestand zu 61 % aus den USA, zu 20 % aus China und zu 19 % aus Deutschland, wobei die Organisationen einen Umsatz von 50 bis über 10 Milliarden US-Dollar erzielten. Auf diese Frage zum Kauf von IoT-Produkten erhielten 1.161 Antworten.

Es umfasst eine ausgefeilte Segmentierung von Mitarbeitern und Auftragnehmern sowie eine Verhaltensanalyse, um Anzeichen möglicher Insider-Bedrohungen wie verdächtige Muster der E-Mail-Aktivität zu identifizieren. Es umfasst auch eine risikobasierte Authentifizierung, die Metadaten berücksichtigt

– wie zum Beispiel den Standort des Benutzers und die letzte Zugriffsaktivität

– um zu bestimmen, ob Zugriff auf kritische Systeme gewährt werden soll. Letztendlich werden Unternehmen damit beginnen, Management-Dashboards zu verwenden, die Unternehmensressourcen, Bedrohungsinformationen, Schwachstellen und potenzielle Schadensbegrenzungen miteinander verknüpfen, um Führungskräften dabei zu helfen, die besten Investitionen in die Cybersicherheit zu tätigen. Sie werden in der Lage sein, diese Investitionen auf Bereiche des Unternehmens zu konzentrieren, die den größtmöglichen Schutz bei geringsten Unterbrechungen und Kosten bieten.

Integrieren Sie Cybersicherheit in die geschäftliche Wertschöpfungskette

Keine Institution ist eine Insel, wenn es um Cybersicherheit geht. Jedes Unternehmen jeglicher Komplexität tauscht sensible Daten aus und vernetzt Netzwerke mit Kunden, Lieferanten und anderen Geschäftspartnern. Infolgedessen sind Fragen des Vertrauens im Zusammenhang mit der Cybersicherheit und die Belastung durch mildernde Schutzmaßnahmen in vielen Sektoren zu einem zentralen Thema der Wertschöpfungsketten geworden. Beispielsweise müssen CISOs für Apotheken-Benefit-Manager und Krankenversicherer viel Zeit damit verbringen, herauszufinden, wie sie die Daten ihrer Kunden schützen können, und diese dann diesen Kunden zu erklären. Ebenso ist Cybersicherheit von entscheidender Bedeutung dafür, wie Unternehmen Entscheidungen über den Abschluss von Gruppenkranken- oder Unternehmensversicherungen, Prime Brokerage und vielen anderen Dienstleistungen treffen. Dies ist der wichtigste Faktor, den Unternehmen beim Kauf von Produkten für das Internet der Dinge (IoT) berücksichtigen.

Führende Unternehmen beginnen damit, Cybersicherheit in ihre Kundenbeziehungen, Produktionsprozesse und Lieferanteninteraktionen zu integrieren. Einige ihrer Taktiken umfassen Folgendes:

— Nutzen Sie Design Thinking, um sichere und bequeme Online-Kundenerlebnisse zu schaffen. Beispielsweise erlaubte eine Bank ihren Kunden, ihre Sicherheitskontrollen anzupassen und einfachere Passwörter zu wählen, wenn sie einer Zwei-Faktor-Autorisierung zustimmten.

— Informieren Sie Ihre Kunden darüber, wie sie auf sichere Weise interagieren können. Eine Bank hat einen leitenden Angestellten, dessen Aufgabe es ist, die Welt zu bereisen und vermögenden Kunden und Family Offices beizubringen, wie sie verhindern können, dass ihre Konten kompromittiert werden.

— Analysieren Sie Sicherheitsumfragen, um zu verstehen, was Unternehmenskunden erwarten, und erstellen Sie Wissensdatenbanken, damit Vertriebsteams während der Verhandlungen mit minimaler Reibung auf Sicherheitsanfragen von Kunden reagieren können. Beispielsweise stellte ein Software-as-a-Service-Anbieter (SaaS) fest, dass seine Kunden auf besonders strengen Bestimmungen zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) bestanden.

— Behandeln Sie Cybersicherheit als Kernmerkmal des Produktdesigns. Beispielsweise müsste ein Krankenhausnetzwerk ein neues Operationssaalgerät in seine umfassendere Sicherheitsumgebung integrieren.

— Verschaffen Sie sich einen nahtlosen Überblick über die traditionelle Informationssicherheit und die Sicherheit der Betriebstechnologie, um Schwachstellen zu beseitigen. Ein Autoteilelieferant stellte fest, dass das System, auf dem sich die Masterversion einiger seiner Firmware befindet, als Angriffsvektor für die von ihm hergestellten Kraftstoffeinspritzsysteme dienen könnte. Mit diesem Wissen war es in der Lage, zusätzliche Schutzmaßnahmen zu implementieren. Pharmaunternehmen haben festgestellt, dass eine umfassende Betrachtung des Informationsschutzes in ihren Lieferketten erforderlich ist, um bestimmte wichtige Schwachstellen zu beheben.

— Nutzen Sie Bedrohungsinformationen, um die Technologienetzwerke von Zulieferern extern abzufragen und das Risiko einer Kompromittierung einzuschätzen.

Wenn diese Maßnahmen gemeinsam durchgeführt werden, ergeben sich Vorteile. Sie stärken das Vertrauen der Kunden und beschleunigen die Einführung digitaler Kanäle. Sie verringern das Risiko, dass Kunden oder Mitarbeiter versuchen, Sicherheitskontrollen zu umgehen. Sie reduzieren Reibungsverluste und Verzögerungen, da Lieferanten und Kunden über Haftung und Verantwortung für Informationsrisiken verhandeln. Sie integrieren Sicherheit in kundenorientierte und betriebliche Prozesse und reduzieren so den „Mitnahmeverlust“, der mit Sicherheitsmaßnahmen verbunden ist.

How to embed security into a product-development process.

From treating security and privacy as afterthoughts …   … to incorporating them by designing and building an agile security-and-privacy model
Developers are unclear when security and privacy requirements are mandatory Product owners don’t consider security and privacy tasks during sprint planning Requirements Prioritize security and privacy tasks according to product risk level Make product owners aware of need to prioritize security and privacy tasks and be accountable for their inclusion in releases
    Design    
Unclear how to handle distribution of tasks within development team Chief information-security and privacy ocers (CISPOs) have limited capacity to support development teams Development Security and privacy champions (tech leads) assist teams in distributing tasks Add capacity through CISPOs, who clarify security and privacy requirements with champions and product owners
No uni…ed real-time standardized monitoring of state of security and privacy tasks Testing Product-assessment dashboards give developers real-time views of security and privacy within products
Security and privacy needs are often dealt with before deployment, causing launch delays Teams unclear how often to engage CISPOs Deployment Launch delays eliminated as security and privacy tasks are executed across life cycles Simplified predeployment activities with CISPOs only for releases meeting risk criteria
Unclear accountability for security and privacy in product teams Lack of integration in security and privacy tool sets introduces complexity Throughout process Define and communicate roles and responsibilities during agile ceremonies Integrate and automate security- and privacy-related testing and tracking tools

cloud

Dynamic, cloud-based network optimization

left left left down--v1 down--v1 down--v1 down--v1 right right
 down--v1 left left left  down--v1 right  right right down--v1
 down--v1  down--v1     down--v1      down--v1 down--v1
 down--v1  down--v1      down--v1      down--v1  down--v1

exterior

Suppliers

country-house

Bulk manufacturing

country-house

Finishing and packaging

dog-house

Smart-warehouse distribution center

conference-call--v1

Customers

 
Advanced business capability   Resulting cyberrisks

Suppliers

  • Predictive supplier risk protection
  • Risk of exposed vendor details and trade secrets

Bulk manufacturing

  • Yield optimization through advanced analytics and digitized operations
  • Hacking of legacy equipment
  • Unauthorized changes in safety or compliance regulations
  • Loss of intellectual property and competitive advantage

 

Finishing and packaging

  • Fully integrated and automated production
  • Attack on process, leading to shutdowns or errors
  • Transition from closed to open systems prompts new security risks

Customers

  • No-touch order management
  • Leak of customer data, leading to loss of customer trust and competitive data

 

Overarching technologies

  • Machine-learning forecasting and integrated production planning
  • Inaccurate business decisions and bad-actor access
  • Real-time monitoring
  • Unauthorized monitoring of processes and leakage of business decisions

Ermöglichung einer agilen, cloudbasierten Betriebsplattform, erweitert durch DevOps

Viele Unternehmen scheinen zu versuchen, alles im IT-Betrieb zu ändern. Sie ersetzen traditionelle Softwareentwicklungsprozesse durch agile Methoden. Sie repatriieren technische Talente von Anbietern und ermöglichen Entwicklern Self-Service-Zugriff auf die Infrastruktur.

Einige verzichten ganz auf ihre Rechenzentren und nutzen stattdessen Cloud-Dienste. All dies geschieht, um die Technologie schnell und skalierbar genug zu machen, um die digitalen Ambitionen eines Unternehmens zu unterstützen. Die Einführung eines modernen Technologiemodells erfordert wiederum ein weitaus flexibleres, reaktionsfähigeres und agileres Betriebsmodell für die Cybersicherheit. Zu den wichtigsten Grundsätzen dieses Modells gehören die folgenden:

— Wechseln Sie von Ticket-basierten Schnittstellen zu APIs für Sicherheitsdienste. Dies erfordert die Automatisierung aller möglichen Interaktionen und die Integration der Cybersicherheit in die Softwareentwicklungs-Toolkette. Dadurch können Entwicklungsteams Schwachstellenscans durchführen, DLP-Regeln anpassen, Anwendungssicherheit einrichten und eine Verbindung herstellen, um Verwaltungsdienste über APIs zu identifizieren und darauf zuzugreifen.

— Organisieren Sie Sicherheitsteams in agilen Scrum- oder Scrumban-Teams, die für Entwickler erkennbare Dienste wie Identitäts- und Zugriffsmanagement (IAM) oder DLP verwalten. Auch die Rekrutierung von Entwicklungsteamleitern als Product Owner für Sicherheitsdienste kann hilfreich sein, ebenso wie Unternehmensmanager Product Owner für Customer Journeys und kundenorientierte Services sind.

— Integrieren Sie die Sicherheit eng in die Endbenutzerdienste des Unternehmens, sodass Mitarbeiter und Auftragnehmer Produktivitäts- und Kollaborationstools problemlos über ein intuitives, Amazon-ähnliches Portal erhalten können.

— Erstellen Sie ein Cloud-natives Sicherheitsmodell, das sicherstellt, dass Entwickler innerhalb bestimmter Grenzen sofort und nahtlos auf Cloud-Dienste zugreifen können.

— Arbeiten Sie mit Infrastruktur- und Architekturteams zusammen, um die erforderlichen Sicherheitsdienste in standardisierte Lösungen für umfangreiche Analysen und RPA zu integrieren.

— Verschieben Sie das Talentmodell, um diejenigen mit „e-förmigen“ Fähigkeiten einzubeziehen – Cybersicherheitsexperten mit mehreren Bereichen mit fundiertem Wissen, etwa in den Bereichen integrative Problemlösung, Automatisierung und Entwicklung – sowie Sicherheitstechnologien.

Automation, orchestration technology, and application programming interfaces can eliminate manual security processes and interactions.

Automation opportunities in a notionally secure DevOps model

  design external-implement-business-administration-wanicon-lineal-wanicon inspect-code test-results deployment
  Architecture and design Implementation Code review Testing Deployment
App application programming interfaces (APIs) API-congurable application-level controls designed into new applications APIs for conguration and debugging (eg, test instrumentation) added during implementation phase Automated code-review systems modied to search for applicationspecic threat scenarios Automated and congurable security test cases added to nightly testing regime Fully congured, production-ready application possible via API calls alone
Process APIs New application-level API options added to deploymentconguration process Congurable security tests added to nightly testing regime Congurable automated code reviews added to precommit/ preacceptance process for newly written code Nightly testing results collected and curated for individual developers/ teams via congurable test-management system Predeployment security-review process replaced by automated tests and conguration checks
Infrastructure APIs API for deployment and instantiation processes rearchitected to accommodate new applications Conguration options for instantiation of automated, projectspecic development environment made available Automated code scanning implemented for deployed web applications to maintain quality and code integrity Cloud environments regularly tested for security via automated vulnerability assessment and identication tools Security tools and conguration options applied via API to new environments at deployment time

 

Wie ein großes Biopharmaunternehmen Cybersicherheitsfunktionen aufbaute, um ein digitales Unternehmen zu ermöglichen

Ein großes Biopharmaunternehmen hatte kürzlich ein umfangreiches Investitionsprogramm zur Verbesserung seiner grundlegenden Cybersicherheitsfähigkeiten abgeschlossen und damit sein Risikoprofil drastisch reduziert. Die Geschäftsstrategie begann sich jedoch auf neue Weise zu entwickeln, mit der Ausweitung der Online-Kundenbeziehungen, digital unterstützten Produkten, einer verbesserten Automatisierung der Lieferkette und dem massiven Einsatz von Analysen. Das Unternehmen benötigte nun neue Cybersicherheitsfunktionen, die sowohl neue Geschäftsrisiken bewältigen als auch Geschäfts- und Technologieinnovationen erleichtern würden.

Zu Beginn engagierte das Cybersicherheitsteam eine breite Palette von Geschäftspartnern und erfasste aktuelle und geplante strategische Initiativen. Anschließend wurden die neuen Risiken dargelegt, die diese Initiativen mit sich bringen würden, und die Art und Weise, wie Cybersicherheitsmaßnahmen die Nutzung von Geschäftsmöglichkeiten verlangsamen oder blockieren könnten. Gleichzeitig untersuchte das Cybersicherheitsteam eine breite Palette neuer Praktiken und Techniken aus der Pharmaindustrie und anderen Sektoren, darunter Online-Dienste, Bankwesen und fortschrittliche Fertigung. Auf dieser Grundlage entwickelte das Unternehmen eine übergreifende Vision, wie Cybersicherheit die digitale Agenda des Unternehmens schützen und ermöglichen könnte, und priorisierte 25 Initiativen. Einige der wichtigsten waren die folgenden:

— Zusammenarbeit mit dem kommerziellen Team, um Patientenvertrauen aufzubauen, indem Sicherheit in Online-Patientenreisen integriert wird

— Zusammenarbeit mit dem Fertigungsteam, um die Transparenz bei der Konfiguration von Anlagenanlagen zu verbessern

— Zusammenarbeit mit dem breiteren Technologieteam zur Erstellung der Anwendungsprogrammierschnittstellen (APIs) und der Vorlage, um eine sichere Konfiguration von Systemen zu gewährleisten, die in der öffentlichen Cloud ausgeführt werden

— Deutliche Ausweitung der Automatisierung der Sicherheitsumgebung, um Zeitverzögerungen und Frustrationen zu reduzieren, die Entwickler und Benutzer bei der Interaktion mit dem Cybersicherheitsteam erleben

Anschließend nutzte das Cybersicherheitsteam seine Vision und Initiativen, um der Geschäftsleitung zu vermitteln, wie es die digitale Geschäftsstrategie des Unternehmens umsetzen könnte und welche Unterstützung und Unterstützung es dafür von anderen Organisationen benötigen würde.

Zusammengenommen werden diese Maßnahmen Hindernisse für den Aufbau digitaler Betriebsmodelle und Plattformen beseitigen. Vielleicht noch wichtiger: Sie können sicherstellen, dass neue digitale Plattformen von Natur aus sicher sind, sodass ihre Einführung das Risiko für das Unternehmen als Ganzes verringert.

Mit Digitalisierung, Analyse, RPA, Agilität, DevOps und Cloud ist klar, dass sich die Unternehmens-IT schnell und auf spannende und wertschöpfende Weise weiterentwickelt. Diese Entwicklung führt natürlich zu Spannungen mit bestehenden Cybersicherheits-Betriebsmodellen. Damit Unternehmen diese Spannung überwinden können, müssen sie quantitative Risikoanalysen für die Entscheidungsfindung anwenden, sichere Geschäftswertschöpfungsketten schaffen und Betriebsplattformen ermöglichen, die die neuesten Innovationen umfassen. Diese Maßnahmen erfordern erhebliche Anpassungen seitens der Cybersicherheitsorganisationen. Viele dieser Organisationen befinden sich noch am Anfang dieser Reise. Im weiteren Verlauf werden sie immer besser in der Lage sein, die Unternehmen zu schützen und gleichzeitig die innovativen Ziele der Geschäfts- und IT-Teams zu unterstützen.

Der risikobasierte Ansatz zur Cybersicherheit

Top-Manager der meisten Unternehmen erkennen Cyberrisiken als wesentliches Thema auf ihrer Agenda. Weltweit möchten Vorstände und Führungskräfte wissen, wie gut Cyberrisiken in ihren Unternehmen gemanagt werden. In fortgeschritteneren Regionen und Sektoren fordern Führungskräfte angesichts jahrelanger erheblicher Investitionen in die Cybersicherheit, dass Programme ihren Wert auch im Hinblick auf die Risikominderung unter Beweis stellen. Die Aufsichtsbehörden stellen den Grad der Unternehmensresilienz in Frage, den Unternehmen angeblich erreicht haben. Und fast alle – Führungskräfte, Aufsichtsbehörden, Kunden und die breite Öffentlichkeit – sind sich einig, dass Cyberrisiken ernst sind und ständige Aufmerksamkeit erfordern.

Was genau Organisationen tun sollten, ist eine schwierigere Frage. In diesem Artikel wird ein „risikobasierter“ Ansatz für die Cybersicherheit vorangetrieben. Das bedeutet, dass Führungskräfte die Elemente des Cyberrisikos identifizieren und sich auf sie konzentrieren müssen, um das Unternehmensrisiko zu verringern. Genauer gesagt müssen die vielen Komponenten des Cyberrisikos verstanden und für die Cybersicherheitsbemühungen von Unternehmen priorisiert werden. Obwohl dieser Ansatz zur Cybersicherheit komplex ist, zeichnen sich bewährte Vorgehensweisen zu seiner Umsetzung ab.

Um den Ansatz zu verstehen, sind einige Definitionen angebracht. Erstens ist Cyberrisiko aus unserer Sicht „nur“ eine weitere Art von Betriebsrisiko. Das heißt, Cyberrisiko bezieht sich auf das Potenzial für Geschäftsverluste aller Art – finanzieller, Reputations-, betrieblicher, produktivitätsbezogener und regulatorischer Art – im digitalen Bereich. Cyberrisiken können auch Schäden im physischen Bereich verursachen, beispielsweise durch Schäden an Betriebsmitteln. Es ist jedoch wichtig zu betonen, dass es sich bei Cyberrisiken um eine Form des Geschäftsrisikos handelt.

Darüber hinaus sind Cyberrisiken nicht dasselbe wie Cyberbedrohungen, bei denen es sich um die besonderen Gefahren handelt, die das Potenzial für Cyberrisiken schaffen. Zu den Bedrohungen gehören die Ausweitung von Privilegien, die Ausnutzung von Sicherheitslücken oder Phishing.1 Cyberbedrohungen bestehen im Zusammenhang mit dem Cyberrisiko von Unternehmen als potenzielle Möglichkeit für den Verlust der Vertraulichkeit, Integrität und Verfügbarkeit digitaler Assets. Darüber hinaus umfassen die Risikoauswirkungen von Cyberbedrohungen Betrug, Finanzkriminalität, Datenverlust oder den Verlust der Systemverfügbarkeit.

Cyberbedrohungen nehmen an Schwere und Häufigkeit zu.

Kapazität und Häufigkeit von Cyberbedrohungen heute, Bedrohungsakteur

Entscheidungen darüber, wie das Cyberrisiko am besten reduziert werden kann, können umstritten sein. Unter Berücksichtigung des Gesamtkontexts, in dem das Unternehmen tätig ist, müssen Führungskräfte entscheiden, welche Maßnahmen priorisiert werden sollen: Welche Projekte könnten das Unternehmensrisiko am meisten reduzieren? Welche Methodik sollte verwendet werden, um den Interessengruppen des Unternehmens (insbesondere in der IT) klar zu machen, dass diese Prioritäten die größte risikomindernde Wirkung für das Unternehmen haben? Diese Klarheit ist entscheidend für die gezielte Organisation und Durchführung dieser Cyber-Projekte.

Derzeit profitieren Angreifer von der organisatorischen Unentschlossenheit in Bezug auf Cyberrisiken – einschließlich der vorherrschenden Unklarheit über die Gefahr und des Versäumnisses, wirksame Cyberkontrollen durchzuführen.

Schwächende Angriffe auf hochkarätige Institutionen nehmen weltweit zu, und unternehmensweite Cyber-Anstrengungen sind jetzt mit großer Dringlichkeit erforderlich. Es ist allgemein bekannt, dass es keine Zeit zu verlieren gilt: Führungskräfte auf der ganzen Welt, in Institutionen jeder Größe und in allen Branchen suchen ernsthaft nach den optimalen Mitteln zur Verbesserung der Cyber-Resilienz. Wir glauben, dass wir einen Weg gefunden haben, zu helfen.

Der reifebasierte Cybersicherheitsansatz: Ein Hund, der ausgedient hat

Auch heute noch sind „reifebasierte“ Ansätze zum Management von Cyberrisiken die Norm. Bei diesen Ansätzen geht es darum, durch den Aufbau bestimmter Fähigkeiten einen bestimmten Reifegrad zu erreichen. Um das gewünschte Niveau zu erreichen, könnte eine Organisation beispielsweise ein Security Operations Center (SOC) aufbauen, um den Reifegrad der Bewertung, Überwachung und Reaktion auf potenzielle Bedrohungen für Unternehmensinformationssysteme und -anwendungen zu verbessern. Oder es implementiert die Multifaktor-Authentifizierung (MFA) im gesamten Unternehmen, um den Reifegrad der Zugriffskontrolle zu verbessern. In manchen Situationen kann ein reifebasierter Ansatz dennoch hilfreich sein: Um beispielsweise ein Programm von Grund auf zum Laufen zu bringen, muss ein Unternehmen, das so weit im Rückstand ist, „alles neu aufbauen“. Für Institutionen, die schon einen Schritt weiter gekommen sind, ist ein reifebasierter Ansatz jedoch unzureichend. Es kann nie mehr als ein Stellvertreter für die tatsächliche Messung, Verwaltung und Reduzierung des Unternehmensrisikos sein.

Ein weiteres Problem besteht darin, dass reifebasierte Programme, da sie organisch wachsen, dazu neigen, ein unkontrollierbares Wachstum von Kontrolle und Aufsicht zu stimulieren. Bei der Überwachung beispielsweise tendiert ein reifegradbasiertes Programm dazu, zügellos zu laufen und danach zu streben, „alles zu überwachen“. Schon bald wird die Anzahl der Anwendungen, die im gesamten Unternehmen in der Warteschlange zur Überwachung stehen, die Kapazität der Analysten für deren Überwachung übersteigen, und die Installation von Monitoren wird die Anwendungsentwicklungsteams überfordern. Die Realität ist, dass einige Anwendungen schwerwiegendere Schwachstellen – und damit ein größeres Risikopotenzial – aufweisen als andere. Um sich direkt auf die Risikominderung zu konzentrieren, müssen Unternehmen herausfinden, wie sie von einer Haltung, bei der alles überwacht wird, zu einer Haltung übergehen können, bei der bestimmte Anwendungen mit hohem Risikopotenzial auf bestimmte Weise überwacht werden. Ein weiteres Problem im Zusammenhang mit der „Alles überwachen“-Haltung sind ineffiziente Ausgaben. Die Kontrollen nehmen von Jahr zu Jahr zu, da die Programmplanung für Cybersicherheit weiterhin höhere Ausgaben für mehr Kontrollen erfordert. Aber wird das Unternehmensrisiko verringert? Oftmals liegen die richtigen Antworten woanders: Beispielsweise lässt sich die beste Kapitalrendite bei der Reduzierung von Unternehmensrisiken häufig in der Sensibilisierung und Schulung der Mitarbeiter erzielen. Ein reifegradbasiertes Modell erfordert jedoch nicht, dass die Organisation genügend Informationen sammelt, um zu wissen, dass sie die hierfür erforderlichen Mittel aus der zusätzlichen Anwendungsüberwachung abzweigen sollte. Es werden Ausgaben für beides erwartet, obwohl die eine Anstrengung (Sensibilisierung und Schulung) im Vergleich zur anderen möglicherweise einen unverhältnismäßigen Einfluss auf die Reduzierung des Unternehmensrisikos haben kann.

Wenn das Ziel darin besteht, das Unternehmensrisiko zu reduzieren, sollten die Bemühungen mit der besten Kapitalrendite zur Risikominderung die meisten Ressourcen in Anspruch nehmen. Dieser Ansatz gilt für die gesamte Kontrolllandschaft, nicht nur für die Überwachung, sondern auch für die Verwaltung privilegierter Zugriffe, die Verhinderung von Datenverlust usw. Alle diese Fähigkeiten reduzieren das Risiko in gewisser Weise, aber die meisten Unternehmen sind nicht in der Lage, genau zu bestimmen, wie und um wie viel.

Der letzte (und praktischste) Nachteil reifegradbasierter Programme besteht darin, dass sie zu einem lähmenden Umsetzungsstau führen können. Die wenigen Teams oder Teammitglieder, die in der Lage sind, die praktische Implementierungsarbeit für die vielen erforderlichen Kontrollen durchzuführen, werden durch die Nachfrage überlastet. Ihre äußerst wertvolle Aufmerksamkeit ist auf zu viele Bemühungen aufgeteilt. Das häufige Ergebnis ist, dass kein Projekt jemals vollständig umgesetzt wird und Programm-Dashboards für die gesamte Suite von Cyber-Initiativen ständig den Status „Gelb“ anzeigen.

Die Wahrheit ist, dass in der heutigen hypervernetzten Welt ausgereifte Cybersicherheitsprogramme nicht mehr ausreichen, um Cyberrisiken zu bekämpfen. Für ein effektives und effizientes Risikomanagement ist ein stärker strategischer, risikobasierter Ansatz unerlässlich.

Reduzieren Sie das Risiko, um den Appetit zu geringeren Kosten anzusprechen

Der risikobasierte Ansatz erledigt zwei wichtige Dinge gleichzeitig. Erstens wird die Risikominderung als vorrangiges Ziel bezeichnet. Dies ermöglicht es der Organisation, Investitionen – auch in umsetzungsbezogene Problemlösungen – zu priorisieren, und zwar direkt auf der Grundlage der Wirksamkeit eines Cyberprogramms bei der Risikominderung. Zweitens destilliert das Programm die Risikominderungsziele des Top-Managements in präzise, ​​pragmatische Umsetzungsprogramme mit klarer Abstimmung vom Vorstand bis zur Frontlinie. Dem risikobasierten Ansatz folgend wird ein Unternehmen nicht mehr „die Kontrolle überall aufbauen“; Vielmehr wird der Schwerpunkt auf der Entwicklung geeigneter Kontrollen für die schlimmsten Schwachstellen liegen, um die bedeutendsten Bedrohungen abzuwehren – diejenigen, die die kritischsten Bereiche des Unternehmens angreifen. Der Ansatz ermöglicht sowohl strategische als auch pragmatische Maßnahmen zur Reduzierung von Cyberrisiken.

Für viele Unternehmen ist der risikobasierte Ansatz der nächste Schritt auf ihrem Weg zur Cybersicherheit.

security-configuration methodical-approach high-risk proactivity
sort-down sort-down sort-down sort-down
Security not considered Maturity-based approach Risk-based approach Proactive cybersecurity

Security schmecurity

Lack of capability and awareness throughout organization, including among senior leadership

Example activities

• Assess cyber maturity (eg, data protection, access management) with or without benchmarks to highlight capability gaps

• Evaluate cyber awareness across organization

Build capabilities

Strengthen essential security and resilience fundamentals to plug gaps

Establish cyber operating model and organization to professionalize cybersecurity function

Example activities

• Build security operations center, incident-response playbooks, and identity- and access-management function; install multifactor authentication on apps; enable use of virtual private network

• Create and staff chief information security officer and connect to other relevant areas

Reduce enterprise risk

Identify, prioritize, deliver, manage, and measure security and privacy controls in line with enterprise-risk- management framework

Set risk-appetite thresholds for linked pairs of key risk indicators and key performance indicators

Include stakeholders from full enterprise in cyber operating mode

Example activities

• Implement cyberrisk quantification

• Measure and report on reduction of risk, not progress of capabilities

Achieve holistic resilience

Transform processes and adoption of next-generation technologies to reduce detection and response times to within recovery-time objectives

Embed security in technology products, services, and processes from point of inception through to execution to achieve complete “security by design”

Fully incorporate customers, partners, third parties, and regulators into management of enterprise resilience

Example activities

• Deploy advanced analytics and machine learning for preventative detection

• Implement security by design with multilayer response-time reduction

Foundational Foundational Advanced Advanced

Unternehmen haben den risikobasierten Ansatz genutzt, um das Risiko wirksam zu reduzieren und ihre angestrebte Risikobereitschaft zu deutlich geringeren Kosten zu erreichen. Durch die einfache Neuordnung der Sicherheitsinitiativen in seinem Backlog gemäß dem risikobasierten Ansatz steigerte ein Unternehmen beispielsweise seine prognostizierte Risikoreduzierung um das 7,5-fache gegenüber dem ursprünglichen Programm, ohne dass zusätzliche Kosten anfielen. Ein anderes Unternehmen stellte fest, dass es im Rahmen einer agilen Transformation massiv zu viel in die Steuerung neuer Softwareentwicklungsfunktionen investiert hatte. Die Mehrausgaben wurden als notwendig erachtet, um ein Versprechen an den Vorstand zu erfüllen, einen bestimmten Reifegrad zu erreichen, der letztendlich willkürlich war. Mithilfe des risikobasierten Ansatzes reduzierte das Unternehmen die Kontrollen und Ausgaben in Bereichen, in denen die gewünschten digitalen Fähigkeiten ohne risikomindernden Grund stark kontrolliert wurden. Eine besondere Erfolgsregion des risikobasierten Ansatzes war Lateinamerika, wo eine Reihe von Unternehmen ihn genutzt haben, um eine Generation reiferer Denkweise (und Ausgaben) zu überspringen. Anstatt frühere Ineffizienzen zu rekapitulieren, sind diese Unternehmen in der Lage, genau das aufzubauen, was sie brauchen, um das Risiko in den wichtigsten Bereichen zu reduzieren, und zwar gleich zu Beginn ihrer Cybersicherheitsprogramme. Cyber-Angreifer nehmen an Zahl und Stärke zu und entwickeln ständig neue zerstörerische Strategien. Die Organisationen, auf die sie abzielen, müssen dringend reagieren, aber auch versuchen, das Risiko in einer Welt begrenzter Ressourcen intelligent zu reduzieren.

Ein risikobasierter Ansatz baut maßgeschneiderte Kontrollen für die kritischen Schwachstellen eines Unternehmens auf, um Angriffe zu geringeren Gesamtkosten abzuwehren.

Reifegradbasierte versus risikobasierte Cybersicherheit

Eine Transformation in aufeinanderfolgenden Aktionen

Unternehmen, die den risikobasierten Ansatz übernehmen und ihre „Run“- und „Change“-Aktivitäten entsprechend umstellen, stehen unweigerlich vor der Frage, wie sie von einer reifebasierten zu einer risikobasierten Cybersicherheit übergehen können. Aus der Erfahrung mehrerer führender Institutionen hat sich eine Reihe von Best-Practice-Maßnahmen als der schnellste Weg zur Verwirklichung dieser Transformation herausgestellt. Diese acht Maßnahmen, die ungefähr nacheinander ergriffen werden, werden die Organisation auf den neuen Ansatz ausrichten und die entsprechenden Anstrengungen zur Reduzierung des Unternehmensrisikos ermöglichen.

1. Integrieren Sie die Cybersicherheit vollständig in das Risikomanagement-Framework des Unternehmens.

2. Definieren Sie die Quellen des Unternehmenswerts über Teams, Prozesse und Technologien hinweg.

3. Verstehen Sie die unternehmensweiten Schwachstellen der Organisation – bei Menschen, Prozessen und Technologie – intern und für Dritte.

4. Verstehen Sie die relevanten „Bedrohungsakteure“, ihre Fähigkeiten und ihre Absichten.

5. Verknüpfen Sie die Kontrollen in „Ausführungs“-Aktivitäten und „Änderungs“-Programmen mit den Schwachstellen, die sie beheben, und bestimmen Sie, welche neuen Anstrengungen erforderlich sind.

6. Ordnen Sie die Unternehmensrisiken aus dem Enterprise-Risk-Management-Framework zu und berücksichtigen Sie dabei die Bedrohungsakteure und ihre Fähigkeiten, die Unternehmensschwachstellen, die sie ausnutzen möchten, sowie die Sicherheitskontrollen der Cybersicherheitsaktivitäten und des Änderungsprogramms der Organisation.

7. Stellen Sie die Risiken im Vergleich zur Risikobereitschaft des Unternehmens dar. Bericht darüber, wie Cyber-Bemühungen das Unternehmensrisiko reduziert haben.

8. Überwachen Sie Risiken und Cyber-Bemühungen anhand der Risikobereitschaft, der wichtigsten Cyber-Risikoindikatoren (KRIs) und der wichtigsten Leistungsindikatoren (KPIs).

1. Integrieren Sie die Cybersicherheit vollständig in das Risikomanagement-Framework des Unternehmens

Ein risikobasiertes Cyberprogramm muss vollständig in das Rahmenwerk des Unternehmensrisikomanagements eingebettet sein. Der Rahmen sollte nicht als allgemeine Richtlinie, sondern vielmehr als Organisationsprinzip verwendet werden. Mit anderen Worten: Die Risiken, denen das Unternehmen im digitalen Bereich ausgesetzt ist, sollten analysiert und in einem Cyberrisiko-Framework kategorisiert werden. Dieser Ansatz entmystifiziert das Cyberrisikomanagement und verankert es in der Sprache, Struktur und den Erwartungen des Unternehmensrisikomanagements. Sobald Cyberrisiken klarer als Geschäftsrisiken im digitalen Bereich verstanden werden, ist die Organisation richtig darauf ausgerichtet, mit der Umsetzung des risikobasierten Ansatzes zu beginnen.

2. Definieren Sie die Quellen des Unternehmenswerts

Die wertvollsten Geschäftsabläufe einer Organisation bringen häufig die größten Risiken mit sich. Daher ist es von größter Bedeutung, diese Arbeitsabläufe und die Risiken, denen sie ausgesetzt sind, zu identifizieren. Im Finanzdienstleistungsbereich beispielsweise ist ein Kreditprozess Teil eines wertschöpfenden Arbeitsablaufs; Es ist außerdem anfällig für Datenlecks, ein Unternehmensrisiko. Ein Zahlungsvorgang schafft ebenfalls Wert, ist jedoch anfällig für Betrug, ein weiteres Unternehmensrisiko. Um Unternehmensrisiken zu verstehen, müssen Unternehmen über die möglichen Auswirkungen auf ihre Wertquellen nachdenken.

Die Identifizierung der Wertquellen ist eine ziemlich einfache Aufgabe, da Unternehmer die Risiken für ihr Unternehmen bereits erkannt haben. Cybersicherheitsexperten sollten die Unternehmen nach den Prozessen fragen, die sie für wertvoll halten, und nach den Risiken, die sie am meisten beunruhigen.

Die Herstellung dieser Verbindung zwischen dem Cybersicherheitsteam und den Unternehmen ist an sich schon ein äußerst wertvoller Schritt. Es motiviert die Unternehmen, sich stärker um die Sicherheit zu kümmern und die Auswirkungen einer empfohlenen Kontrolle auf das Endergebnis zu schätzen. Der Ansatz ist weitaus überzeugender als der reifungsbasierte Ansatz, bei dem die Cybersicherheitsfunktion das Unternehmen zwangsweise darüber informiert, dass sie eine Kontrolle implementiert, „um einen Reifegrad von 3,0 zu erreichen“.

Die Bestandteile jedes Prozesses können definiert werden – relevante Teams, kritische Informationsressourcen („Kronjuwelen“), die Dritten, die mit dem Prozess interagieren, und die Technologiekomponenten, auf denen er läuft – und die Schwachstellen dieser Bestandteile können spezifiziert werden .

3. Verstehen Sie Schwachstellen im gesamten Unternehmen

Jede Organisation scannt ihre Infrastruktur, Anwendungen und sogar ihre Kultur auf Schwachstellen, die in Bereichen wie Konfiguration, Codesyntax oder Sensibilisierung und Schulung an vorderster Front zu finden sind. Die wichtigsten Schwachstellen sind diejenigen, die mit einer Wertquelle verbunden sind, die bestimmte Bedrohungsakteure mit relevanten Fähigkeiten ausnutzen können (oder beabsichtigen). Die Verbindung zu einer Wertquelle kann direkt oder indirekt sein. Ein System, bei dem beispielsweise das Potenzial für einen direkten Angriff als gering eingestuft wird, könnte anfällig für Lateral Movement sein – eine Methode, mit der sich Angreifer durch Systeme bewegen und nach den Daten und Vermögenswerten suchen, die sie letztlich angreifen.

Sobald die Organisation die Personen, Aktionen, Technologien und Drittanbieterkomponenten ihrer wertschöpfenden Prozesse erfasst hat, kann mit der gründlichen Identifizierung der damit verbundenen Schwachstellen begonnen werden. Ein Prozess läuft beispielsweise auf einem bestimmten Servertyp, der ein bestimmtes Betriebssystem (OS) verwendet. Die jeweilige Kombination aus Server und Betriebssystem weist eine Reihe identifizierter häufiger Schwachstellen und Gefährdungen auf. Das Gleiche gilt für Speicher-, Netzwerk- und Endpunktkomponenten. Schwachstellen von Personen, Prozessen und Dritten können mit ähnlichen Methoden ermittelt werden.

Bemerkenswert ist, dass Schwachstellen und (wirksame) Kontrollen in einer Art umgekehrter Symbiose existieren: Wo das eine vorhanden ist, ist das andere nicht vorhanden. Wenn ausreichende Kontrolle vorhanden ist, wird die Schwachstelle neutralisiert; Ohne die Kontrolle bleibt die Sicherheitslücke bestehen. Somit werden die Schwachstellen des Unternehmens am praktischsten nach dem vom Unternehmen genehmigten Kontrollrahmen organisiert.2 Hier beginnen Synergien zu entstehen. Mithilfe eines gemeinsamen Frameworks und einer gemeinsamen Sprache können die Sicherheits-, Risiko-, IT- und Frontline-Teams zusammenarbeiten, um zu ermitteln, was getan werden muss, um Schwachstellen zu schließen, die Implementierung zu leiten und über Verbesserungen in genau derselben Art und Sprache zu berichten. Die Erfahrung bestätigt, dass die Sicherheit erheblich verbessert werden kann, wenn die gesamte Organisation eine gemeinsame Denkweise über Schwachstellen teilt.

Die Erfahrung bestätigt, dass die Sicherheit erheblich verbessert werden kann, wenn die gesamte Organisation eine gemeinsame Denkweise über Schwachstellen teilt.

4. Verstehen Sie relevante Bedrohungsakteure und ihre Fähigkeiten

Um welche Gruppen oder Einzelpersonen sich eine Organisation kümmern muss – die Bedrohungsakteure –, hängt davon ab, wie gut die Vermögenswerte dieser Organisation zu den Zielen der Angreifer passen – seien sie wirtschaftlicher, politischer oder anderer Natur. Bedrohungsakteure und ihre Fähigkeiten – die Taktiken, Techniken und Verfahren, mit denen sie die Unternehmenssicherheit ausnutzen – definieren die Bedrohungslandschaft des Unternehmens.

Nur wenn ein Unternehmen seine spezifische Bedrohungslandschaft versteht, kann es das Risiko reduzieren. Die Kontrollen werden entsprechend den bedeutendsten Bedrohungen durchgeführt. Die Bedrohungsanalyse beginnt mit der Frage: Welche Bedrohungsakteure versuchen, dem Unternehmen Schaden zuzufügen, und wozu sind sie in der Lage? Als Reaktion darauf können Unternehmen die Schwachstellen visualisieren, die häufig von relevanten Bedrohungen ausgenutzt werden, und dann können geeignete Kontrollen ausgewählt und angewendet werden, um diese spezifischen Schwachstellenbereiche zu entschärfen.

Um die Kontrollen zu identifizieren, die zum Schließen spezifischer Lücken erforderlich sind, müssen Unternehmen potenzielle Angreifer, ihre Fähigkeiten und ihre Absichten einschätzen – die Stärke und den Willen (die Absicht) der Bedrohungsakteure, ein Risikoereignis herbeizuführen. Dabei geht es darum, Informationen darüber zu sammeln und zu verstehen, wie die Angreifer technisch und nichttechnisch mit den Schwachstellen von Personen, Prozessen und Technologie im Unternehmen in Kontakt treten.

5. Beheben Sie Schwachstellen

Um Bedrohungsakteure zu besiegen, werden Schwachstellen, die in der dritten von uns beschriebenen Aktion entdeckt werden, entweder durch bestehende Kontrollen – normale Laufaktivitäten oder bestehende Änderungsinitiativen – geschlossen oder erfordern neue Kontrollbemühungen. Bei bestehenden Kontrollen ordnen das Cyber-Governance-Team (für „run“) und das Programmmanagement-Team (für „change“) ihre aktuellen Aktivitäten demselben Kontrollrahmen zu, der zur Kategorisierung von Schwachstellen verwendet wird. Dadurch werden die bereits vorhandenen und die in der Entwicklung befindlichen Kontrollen angezeigt. Alle erforderlichen neuen Kontrollen werden dem Programmrückstand als eigenständige oder zusammengesetzte Initiativen hinzugefügt.

Während eine Organisation möglicherweise nicht in der Lage ist, alle Initiativen im Rückstand in einem einzigen Jahr abzuschließen, kann sie nun aus dem gesamten Spektrum der für das Unternehmen relevanten erforderlichen Kontrollen auswählen, was implementiert werden soll, da diese zur Verhinderung relevanter Bedrohungsfunktionen anwendbar sind. Der risikobasierte Ansatz stützt den Umfang bestehender und neuer Initiativen vor allem auf denselben Kontrollrahmen. Dies ermöglicht eine zusätzliche Ebene der Abstimmung zwischen den Teams: Bereitstellungsteams, deren Aufgabe es ist, den Fortschritt der Initiative voranzutreiben und darüber zu berichten, können endlich effizient mit der zweiten und dritten Verteidigungslinie (sofern relevant) zusammenarbeiten, die unabhängig voneinander die Wirksamkeit und Compliance der Kontrollen in Frage stellen. Wenn sich das Programmbereitstellungsteam (das als erste Verteidigungslinie fungiert) mit der zweiten und dritten Linie zusammensetzt, werden alle dieselbe Sprache sprechen und dieselben Frameworks verwenden. Dies bedeutet, dass die kombinierten Gruppen diskutieren können, was funktioniert und was nicht und was getan werden sollte.

6. Kartieren Sie das Unternehmensrisiko-Ökosystem

Eine Karte der Unternehmensrisiken – vom Enterprise-Riskmanagement-Framework über Unternehmensschwachstellen und -kontrollen bis hin zu Bedrohungsakteuren und ihren Fähigkeiten – macht einen „goldenen Faden“ sichtbar, von der Kontrollimplementierung bis zur Reduzierung des Unternehmensrisikos. Hier kann der risikobasierte Ansatz Gestalt annehmen und sowohl die Effizienz bei der Anwendung von Kontrollen als auch die Wirksamkeit dieser Kontrollen bei der Reduzierung von Risiken verbessern. Nach Abschluss der Schritte eins bis fünf ist die Organisation nun in der Lage, das risikobasierte Cybersicherheitsmodell aufzubauen. Die Analyse geht weiter, indem die Kontrollen den Schwachstellen, die sie schließen, den Bedrohungen, die sie bekämpfen, und den wertschöpfenden Prozessen, die sie schützen, zugeordnet werden. Die Ausführungs- und Änderungsprogramme können nun entsprechend der aktuellen Bedrohungslandschaft, vorhandenen Schwachstellen und vorhandenen Kontrollprogrammen optimiert werden. Optimierung bedeutet hier, bei gegebenem Ausgabenniveau die größtmögliche Risikominderung zu erzielen. Ein gewünschtes Risikoniveau kann anhand der zu seiner Erreichung erforderlichen Initiativen „bepreist“ werden, oder der Ausgangspunkt für die Analyse kann ein festes Budget sein, das dann so strukturiert wird, dass die größtmögliche Risikoreduzierung erreicht wird.

Die Optimierung der Cybersicherheit bestimmt die richtige Höhe und Verteilung der Ausgaben. Die Reduzierung des Unternehmensrisikos steht in direktem Zusammenhang mit bestehenden Initiativen und der Initiierung neuer Initiativen. Die Analyse entwickelt die Faktenbasis, die für taktische Diskussionen zu übermäßig kontrollierten Bereichen, aus denen sich die Organisation zurückziehen könnte, sowie zu Bereichen, in denen eine bessere Kontrolle zur Wertsteigerung erforderlich ist, erforderlich ist.

Durch die Integration aller Komponenten in ein Modell und die Verwendung der Wertquellen und Kontrollrahmen als gemeinsame Sprache können sich die Geschäfts-, IT-, Risiko- und Cybersicherheitsgruppen aufeinander abstimmen. Die Diskussionen werden durch die Anwendung des Unternehmenskontrollrahmens auf die höchsten Wertquellen umrahmt. Dadurch entsteht der Goldfaden-Effekt. Die Unternehmensleitung (z. B. der Vorstand und die Risikofunktion) kann ein Unternehmensrisiko (z. B. Datenlecks) identifizieren, und das Cybersicherheitsteam kann darüber berichten, was dagegen unternommen wird (z. B. eine Kontrolle zur Verhinderung von Datenverlust bei der Technologie oder a). Social-Engineering-Kontrolle über ein bestimmtes Team). Jeder Teil ist mit dem anderen verbunden, und jeder Stakeholder auf dem Weg kann sich an der Konversation beteiligen. Im Mittelpunkt stehen die Methodik und das Modell, die sowohl als Übersetzer als auch als Optimierer fungieren. Das gesamte Unternehmensteam weiß, was zu tun ist, vom Vorstand bis zur Frontlinie, und kann dies einheitlich tun.

7. Stellen Sie Risiken und Risikobereitschaft grafisch dar. Bericht zur Risikominderung

Sobald die Organisation ein klares Verständnis und einen klaren Ansatz für den Umgang mit Cyberrisiken entwickelt hat, kann sie sicherstellen, dass diese Konzepte leicht visualisiert und allen Beteiligten kommuniziert werden können. Dies erfolgt über ein Risikoraster, in dem die Anwendung von Kontrollen an das potenzielle Risikoniveau angepasst wird.

Der risikobasierte Ansatz wendet Kontrollen entsprechend der Risikobereitschaft sowie der Wahrscheinlichkeit und potenziellen Auswirkung eines Risikoereignisses an.

Risikoereignisse nach Ausmaß der Auswirkung und Eintrittswahrscheinlichkeit