Strategien gibt es bereits für zig Unternehmensbereiche – und jetzt sollen Sie noch eine Cyber Security-Strategie entwickeln? Sie denken, das brauchen nur die ganz Grossen – wenn überhaupt? Viele Unternehmen teilen (leider) diese Meinung. Gemäss einer kürzlich veröffentlichten Studie von swissVR Monitor haben nur gerade 35 % der Schweizer Unternehmen eine Cyber Security-Strategie definiert. Und damit meinen wir eine situationsübergreifende und längerfristige Orientierung; meist mit einem Horizont von drei bis fünf Jahren sowie einer jährlichen Neubewertung. Welche Vorteile dies Ihrem Unternehmen bringt, erklären wir Ihnen in diesem Blogbeitrag.
Unternehmen – aber auch Sie persönlich, liebe Leserinnen und Leser – werden immer abhängiger von digitalen Technologien. Die digitalen Technologien, Kommunikation, Infrastrukturen und Systeme sind für viele Unternehmen essentiell. Sie ermöglichen eine stetige Verbindung zu und Verfügbarkeit von Informationen und Daten. Als Teil der digitalen Welt sind auch Interconnected-Technologien und Schnittstellen unabdingbar – sei es für die Materialbestellung, Just-in-Time-Produkte, Onlinehandel, Cloud Services, IoT, Cloud Data Center usw. Aber Vorsicht: Solche Technologien sind auch Cyber-Risiken ausgesetzt.
Klar, fast jeder berücksichtigt in Projekten eine integrierte Planung und die üblichen Cyber-Bedrohungen. Aber wie sieht es mit einer grundsätzlichen Cyber-Strategie aus? Welches sind die optimalen Massnahmen für aussergewöhnliche Situationen? Was sind die Business-Erwartungen? Was sind die Verfahren bei einem Sicherheitsvorfall z.B. einem Hack der Management-Systeme? Welche technischen und organisatorischen Schnittstellen sind kritisch?
Stellen Sie sich den Herausforderungen
Hier nur ein kleiner Anschnitt von aktuellen Themen und Cyber-Bedrohungen, welche Sie in Ihrer Strategie berücksichtigen sollten:
- Ransomware: Bei Hackern immer noch hoch im Kurs und somit immer ausgefeilter.
- IoT: Zunehmend Ziel von Angriffen. Zudem verwischen die Grenzen zwischen kommerziellen und Business-Lösungen immer stärker.
- DDoS (Distributed Denial of Service) Attacken: Einfach für Hacker zu erstellen und ein beliebtes Druckmittel.
- Sicherheitsvorfälle kosten: Die Entstehungskosten für Cyber-Angriffe erodieren – und die Anzahl der Vorfälle nimmt zu. Auch die Anzahl der publizierten Sicherheitsvorfälle wird durch die GDPR sowie der Entwicklung der nationalen DSG zunehmen.
- Entwendete Daten werden aktiv gehandelt: Der Reputationsschaden und die damit verbundene mediale Aufmerksamkeit sind teils enorm und können schwerwiegende Folgen haben.
Wie sollten Sie als Unternehmer damit umgehen? Wir sind klar der Meinung, dass eine Cyber Security-Strategie unabdingbar ist. Entwickeln Sie eine Strategie, die die Bedürfnisse und die Sicherheitsziele Ihres Business artikuliert und in Balance bringt. Damit können Themenbereiche – unabhängig von der jeweiligen Situation – differenziert betrachtet und strategisch adressiert werden.
Warum das sinnvoll ist? Weil Ihnen eine Cyber Security-Strategie viele Vorteile bringt
…und zwar beispielsweise folgende:
- Das Demonstrieren des Management Commitment ‒ Bewusstsein und Verpflichtung ‒ zu Cyber Security
- Das Schaffen von Verständnis auf allen Ebenen für Cyber Security-Kultur sowie Transparenz und Übersicht über die Cyber Security-Risiken
- Die Involvierung des Managements in Sicherheitsrisiken sowie die Zuweisung und Verteilung von Sicherheitsrollen mit definierten Aufgaben, Kompetenzen und Verantwortung
- Eine Rechenschaftspflicht für alle IT-Umgebungen und definierten Eskalations-Linien
- Eine längerfristige strategische Orientierung für Ziele, Ressourcen, Fähigkeiten und Massnahmen
- Strategien werden durch das Management verabschiedet und getragen – Cyber Security bekommt ein Gesicht und gegebenenfalls ein Business Case
- Das Messen der Cyber Security gegen Good / Best Practice sowie das Erstellen eines Business Case für ein Sicherheitsprogramm
- Die Betrachtung mehrerer Situationen, Risikoszenarien und eine ganzheitliche Einschätzung der Folgen für die Geschäftstätigkeit
- Aktiver Beitrag zum strategischen und operationellen Risiko-Management zur Behandlung identifizierter Risiken
- Die Positionierung und längerfristige Ausrichtung im Bereich Cyber Security
- Das Gewinnen von Rückhalt im Management
Strategien gehören nicht umsonst ins Management – das gilt auch für die Cyber Security. Die Anspruchsgruppen ihres Unternehmens erwarten heutzutage, dass sich die Unternehmensleitung mit diesem Thema auseinandersetzt – und es auch versteht. Und zwar nicht nur die Strategie, sondern auch die Umsetzung, wobei der Austausch mit internen Spezialisten fast unumgänglich ist. Nur so kann die Komplexität des Themas verstanden sowie die Erwartungen erfüllt und das Vertrauen der Beteiligten gewonnen werden.
Eine Cyber Security-Strategie muss leben
Und vergessen Sie nicht: Hacker werden immer professioneller. Angriffsvektoren verschieben sich kontinuierlich und die Attacken werden zukünftig in Frequenz und Heftigkeit zunehmen. Eine Cyber Security-Strategie ist kein Papier, das geschrieben und danach im Schrank verstauben darf. Sie muss leben und periodisch überprüft sowie angepasst werden. Zudem sollte sie auch Elemente der Prävention, Detektion und Reaktion beinhalten sowie die Wiederherstellung berücksichtigen. Hier empfehlen wir als Basis das NIST Cyber Security Framework.
Benötigen Sie Hilfe bei der Erstellung und Umsetzung Ihrer Cyber Security-Strategie? Oder brauchen Sie Rat von erfahrenen Experten? Dank unserem ganzheitlichen Angebot und Erfahrung verstehen wir die Bedürfnisse unserer Kunden optimal – und mit Sicherheit auch Ihre. Kontaktieren Sie uns, wir beraten Sie gerne!
