Next Generation SharePoint
22.02.18 - 22.02.18
In München

BIG DATA Marketing Day
22.02.18 - 22.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

Security ConceptRSA, die IT-Sicherheits-Tochter von EMC, hat mit Unterstützung von Deloitte Advisory Cyber Risk Services ein neues Framework für das Erfassen und Bewerten von Cyber-Risiken entwickelt.

Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen. Das Framework ist Bestandteil eines Reports, den Experten der beiden Firmen gemeinsam verfasst haben.

Wenn Unternehmen neue Verfahren oder Technologien nutzen, um die eigene Wettbewerbsfähigkeit zu steigern, erhöhen sie zumeist auch die eigene Anfälligkeit für Cyber-Risiken. Deshalb brauchen Firmen, die etwa Outsourcing betreiben, die Netzwerke Dritter nutzen oder IT-Ressourcen aus der Cloud beziehen, neue und pragmatische Risk-Management-Ansätze.

Wie es im RSA-Report heißt, benötigten die Organisationen vor allem dreierlei: Erstens strukturierte Abläufe für das Definieren und Kategorisieren von Risiken, zweitens die Beteiligung der wichtigsten Stakeholder und „Risk-Owner“ im Unternehmen sowie drittens Berechnungsverfahren für Risiko-Toleranzschwellen.

Zuvor aber bräuchten sie vor allem ein neues Verständnis des Begriffs „Cyber-Risiko“. Der Ausdruck bezeichne nicht nur gezielte Hacker-Angriffe auf IT-Umgebungen. Vielmehr schließe er jede Art von Vorfall ein, bei dem der Einsatz von IT-Ressourcen einen möglichen Verlust oder Schaden nach sich ziehen könne.

Der Report enthält ein praxistaugliches Framework zur Kategorisierung solcher Cyber-Risiken auf Grund der zwei Bestimmungsgrößen „Absicht“ und „Ausgangspunkt“: Cyber-Risiken können die Folge böswilliger Angriffe sein, bei denen Hacker gezielt versuchen, Informationen zu entwenden. Sie können aber auch aufgrund unabsichtlichen Handelns entstehen, etwa wenn ein Benutzer einen Fehler macht, der die Verfügbarkeit einer Ressource vorübergehend einschränkt. Der Ausgangspunkt eines Risikoereignis kann außerhalb eines Unternehmens liegen – etwa bei Hackern oder Geschäftspartnern innerhalb der Supply Chain – oder innerhalb, bei Mitarbeitern oder Sub-Unternehmern.

Um die eigene Risikotoleranz zu bestimmen, empfiehlt der Report, dass Unternehmen zunächst eine umfassende Bestandsaufnahme der Cyber-Risiken anfertigen, dann deren jeweils mögliche Auswirkung quantifizieren und schließlich eine Priorisierung vornehmen. Dabei gelte es, die richtigen Fragen zu stellen: Welche Art von Datenverlust wären für das Unternehmen katastrophal? Welche weniger kritisch? Welche Informationen dürften auf keinen Fall in falsche Hände geraten?

Viele Risiko-Auswirkungen könnten einfach beziffert werden – etwa mittels Bußgeld- und Rechtskostenschätzungen oder per Berechnung von Produktivitätsverlusten. Andere seien dagegen schwerer zu berechnen – der Verlust geistigen Eigentums etwa, Schäden der Unternehmens- oder Markenreputation oder ein verringerter Firmenwert.

Wer die entsprechenden Bewertungen dennoch auf strukturierte Art vornähme, könne geschäftskritische von weniger geschäftskritischen Ressourcen unterscheiden. Das wiederum erlaube dann das Priorisieren der eigenen Sicherheitsbemühungen: „Mission-critical“-Umgebungen könnten dann stärker geschützt werden als „normale“ Kernbestandteile der IT-Infrastruktur, die wiederum stärker gesichert würden als beispielsweise Teile der erweiterten IT-Umgebung (etwa Supply-Chain-Management-Anwendungen oder Partner-Portale). Diese Art der Priorisierung solle fortlaufend und auf Grundlage immer neuer Bewertungen und Neu-Bewertungen erfolgen, heißt es in dem Bericht.

Die Verfasser kommen zu dem Schluss: Unternehmen, die Cyber-Risiken quantifizieren und entsprechende Risiko-Toleranzschwellen festlegen, verschaffen sich klare Wettbewerbsvorteile. Oberstes Ziel solle stets sein, sicher zu stellen, dass die Investitionen in IT-Sicherheit zu den ermittelten Risiko-Toleranzen passten.

Weitere Informationen:

Laden Sie den RSA-Report „Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise“ hier herunter.

www.rsa.com/de-de

GRID LIST
Tb W190 H80 Crop Int Aa4614cc9a95df4b3a4235e3d5303b22

Deutschland verpasst die Weichenstellung zu einem besseren Arbeitsmanagement

Deutsche Büroangestellte schätzen ihre individuelle Produktivität im Vergleich zu den…
Blockchain

Blockchain wird zu Top-Thema in der Digitalwirtschaft

Die Blockchain gehört 2018 zu den wichtigsten Trendthemen für die Digitalbranche in…
Mann auf Wolke

Cloud Computing im Mittelstand auf dem Vormarsch

Die Zahl der Unternehmen, die Cloud Computing nutzen oder es in absehbarer Zeit tun…
Virtual Reality Brille

Marketing 2018: Keine Chance für Virtual Reality

Content Marketing ist das Thema, mit denen sich die meisten Marketer in diesem Jahr…
E-Commerce

Einkaufen der Zukunft: Kunden fordern digitale Services

Heute in der Stadt shoppen, morgen online bestellen, was gestern nicht vorrätig war oder…
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Microsoft-Sicherheitslücken seit 2013 mehr als verdoppelt

Avecto hat seinen jährlichen Bericht zu Microsoft-Schwachstellen veröffentlicht, der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security