Anzeige

Cyber Sec Guide

Cybersicherheit ist mit der fortschreitenden Digitalisierung zum elementaren Faktor innerhalb des Risikomanagements moderner Unternehmen und Organisationen avanciert.

Angesichts einer Vielzahl potenzieller Gefahrenquellen für Daten und die digitale Infrastruktur muss der CISO in der Lage sein, Risiken auf jeder Systemebene vom Server über die Systemsoftware bis hin zur einzelnen Anwendung zu identifizieren und zu managen. Die Herausforderung besteht darin, Informationen über die Risikobewältigung auf Unternehmensebene zu kommunizieren, während gleichzeitig Risiken operativ ausgeschaltet und detaillierte Reaktionspläne auf Systemebene ausgeführt werden müssen. Um IT-Entscheider dabei zu unterstützen, hat Kudelski Security die entscheidenden Schritte in einem Leitfaden zusammengefasst.

1. Kontext und Risiken identifizieren

Um eine wirksame Strategie für das Management von Cyberrisiken zu erarbeiten, ist es unerlässlich, die Erwartungen der Stakeholder und der Geschäftsführung zu verstehen. Erst im Lichte dessen, was Kunden, Lieferanten, Aufsichtsbehörden und Wettbewerber für eine Motivation und Herangehensweise an das Thema haben, wird eine 360-Grad-Sicht möglich. Das schließt auch die grundsätzliche Haltung des Managements hinsichtlich Risikobereitschaft, Unternehmens- und Führungskultur sowie Marktstrategie mit ein. Nur wer seine Vermögenswerte lückenlos kennt – also auch die digitalen – kann gezielt und verlässlich Bedrohungen, Schwachstellen und Konsequenzen von Risikoszenarien bewerten. 

2. Risiken analysieren und bewerten

Überaus hilfreich ist es, die Wahrscheinlichkeit zu kennen, mit der ein Risikoereignis eintritt, und die möglichen Konsequenzen. Wenngleich dies primär eine Ermessensentscheidung ist, gibt es dennoch Techniken, die bei der Risikoanalyse helfen. Die gängigsten Ansätze sind der qualitative, der auf der Zuweisung eines Wertes wie hoch, mittel oder gering basiert und der quantitative, der einen numerischen Wert für die Auswirkungen, basierend auf statistischen Wahrscheinlichkeiten und monetären Werten von Verlusten oder Gewinnen zugrunde legt. Ein dritter Ansatz wird als semi-qualitativ bezeichnet und basiert auf der Zuweisung von numerischen Werten zu qualitativen Kategorien. Alle drei liefern eine Grundlage dafür, ein Risikoprofil zu erstellen. Typischerweise werden die Risiken in einer Matrix dargestellt, um die Wahrscheinlichkeit und die Auswirkungen des Risikos abzubilden. Die Visualisierung von Risiken hilft Führungskräften und Geschäftsführern bei der Priorisierung entsprechender Gegenmaßnahmen.

3. Reaktionsstrategien und geeignete Maßnahmen implementieren

Risikostrategien im IT-Sektor sollten so gestaltet sein, dass die identifizierten Risiken den Rahmen nicht überschreiten, den die Risikobereitschaft und Risikotoleranz des Unternehmens setzen. Ein wichtiger Teil dieser Bewertung ist es, die Kosten für die Gegenmaßnahmen zu bestimmen und diese mit dem potenziellen Verlust oder den Auswirkungen des eingetretenen Risikofalls zu vergleichen. Üblicherweise wird eine der folgenden vier Reaktionsarten ausgewählt: akzeptieren, übertragen, abmildern oder vermeiden. Als Reaktion empfiehlt sich vielfach eine spezifische Sicherheitsinitiative oder ein Projekt, das lösungsorientiert geplant und ausgeführt werden sollte. Abgerundet werden sollte jeder Cybersecurity-Risikoprozess, egal wie er konkret beschaffen ist, durch regelmäßiges Monitoring und eine systematische Statusaktualisierung der Gegenmaßnahmen oder der Risikomerkmale.

www.kudelskisecurity.com/de


Artikel zu diesem Thema

Gesundheitswesen
Mai 16, 2021

Hohe Risiken für Patientendaten und medizinische Forschungsergebnisse

Der neue Datenrisiko-Report für den Gesundheitssektor von Varonis Systems zeigt ein…
Smart Factory
Apr 13, 2021

Connected Factory: Es geht nicht ohne Remote Monitoring

Ein wesentlicher Bestandteil der heutigen kulturellen, technologischen und…

Weitere Artikel

Endpoint Security

Warum Endpoint-Schutz auch bei Offline-Systemen notwendig ist

In Teilen der IT-Welt dominiert die Meinung, dass einige Systeme keinen Endpoint-Schutz benötigen. Diese Einschätzung ist häufig für solche Geräte anzutreffen, die isoliert und nicht mit dem Internet verbunden sind oder keine wichtigen Daten oder Programme…
Produktion

IT-Security - Digitalisierung - Mobile Office – für jede Branche die richtige Lösung für den Netzwerkschutz

Der Wandel der Arbeitswelt, der sich durch mobiles Arbeiten sowie in der fortschreitenden Digitalisierung, dem Internet of Things sowie dem Auslagern verschiedener Dienste in die Cloud immer weiter beschleunigt, sind Gründe dafür, dass Unternehmen in Bezug…
Cloud Identity

Cloud-Identitäten - ungenutzt und ungeschützt

Knapp die Hälfte aller Cloud-Identitäten werden nicht mehr genutzt – und stellen so ein enormes Risiko für die Datensicherheit von Unternehmen dar. Dies ist eines der Ergebnisse des 2021 SaaS Risk Report des Cloud Research Teams von Varonis Systems.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.