Cyberrisiken sind heutzutage allgegenwärtig. Kaum ein Tag vergeht, an dem man in den Medien nicht über Attacken im In- und Ausland liest. Als Datenschutzverantwortlicher, Security Officer aber auch als Endkunde fragt man sich natürlich: «Was lief hier schief? Und wie konnte es soweit kommen? Sind all unsere Investitionen in die Cyber Security umsonst?» Eine durchaus berechtigte Frage! In diesem Blogbeitrag erhalten Sie Antwort darauf und auch, wie Sie ein gutes Risk Management aufbauen können.
Der Druck auf die Cyber Security steigt
Der Markt für Security-Lösungen wächst Jahr für Jahr überdurchschnittlich stark. Trotzdem scheinen die News über Data Breaches und sonstige Cyberattacken nicht abzunehmen. Regulatoren und Gesetzgeber bleiben den Unternehmen dicht auf den Fersen. Aber auch die angesprochene mediale Aufmerksamkeit hat in letzter Zeit eine wichtige Rolle gespielt. Cyber Risk Management wird dadurch aktiver betrieben und vermehrt von den operativen Hinterzimmern hin näher in das Sichtfeld der Geschäftsleitung verschoben. Andererseits ist aber auch das Bewusstsein für Cyberrisiken stärker in den Lenkungsgremien verwurzelt. Entsprechend ist der Anspruch auf etablierte Prozesse zur zielgerichteten Investition in die Behandlung dieser Risiken vorhanden.
Erfolgsfaktoren für den Aufbau eines erfolgreichen Cyber Risk Management-Programms
Der Aufbau eines effizienten Cyber Risk Management-Programms in einem Unternehmen setzt gewisse Strukturen voraus. Unabhängig vom ausgewählten Risiko-Management Framework setzt sich ein solches Programm meist aus der Identifikation, der Beurteilung, der Behandlung und dem Monitoring von Risiken zusammen.
Die Interdisziplinarität im Risk Management-Team ist hierbei ein wichtiger Faktor. So ist es beispielsweise unabdingbar, Spezialisten aus den Fachbereichen zu involvieren. Nur so können Sie verstehen, welche Kritikalität die verarbeiteten Daten haben. Oder als weiteres Beispiel bei der Risiko-Identifikation die Einkaufsabteilung miteinzubeziehen. Denn der Bezug von Outsourcing-Leistungen wie Cloud-Diensten und ähnlichen läuft in Unternehmen meist über einen zentralen Einkauf. So erlangt man eine gute Übersicht über eine mögliche Konzentration von Anbieter- oder Third Party-Risiken.
Kommunikation ist das A und O – auch für Ihr Cyber Risk Management
Für die adressatengerechte Kommunikation der Risiken empfiehlt es sich, Szenarien zu skizzieren. Diese Risiko-Szenarien helfen, die tatsächlichen Auswirkungen von Risiken auf das Unternehmen und dessen Stakeholder sichtbar und besser verständlich zu machen – auch ohne vertiefte Cyber-Kenntnisse. Dies hilft bei der Entscheidung, ob die Risiken aktiv behandelt werden sollen oder ob diese akzeptiert werden können. Die Reaktion auf die Risiken erfolgt dann nach einem strukturierten Ansatz. Idealerweise berücksichtigt dieser die Kritikalität des Risikos sowie den Aufwand zur Umsetzung der Risiko-Behandlungsmassnahme.
Sind die Risiken bekannt und die Strategie zum Umgang definiert, gilt es, diese kontinuierlich zu überwachen. Änderungen im Umfeld der Unternehmung können sich direkt auf die Risiko-Situation auswirken. Dies kann einerseits dazu führen, dass bekannte Risiken wichtiger oder weniger wichtig werden. Aber auch, dass neue Risiken hinzukommen, die bis anhin noch nicht bekannt waren.
So bekommen Sie Ihre Cyberrisiken in den Griff
Was bedeutet das nun konkret für Sie als Entscheidungsträger? Es ist wichtig, dass Sie eine Übersicht über die tatsächlichen Cyberrisiken haben, denen Ihr Unternehmen Tag für Tag ausgesetzt ist. Nur wenn die Risiken bekannt und verstanden werden, können die Investitionen in die Cyber Security effizient gesteuert werden. Hierbei unterstützen wir Sie gerne über den ganzen Lebenszyklus des Cyber Risk Managements – oder auch nur für ausgewählte Teilaspekte. Die Leistungen des InfoGuard Cyber Risk Management-Portfolios umfassen:
- Aufbau des unternehmensweiten Cyber Risk Management-Programms
- Entwicklung konkreter Risikoszenarien
- Analyse von Schwachstellen (z.B. mittels GAP Analysen nach ISO27002/NIST Cyber Security Framework/Technische Assessments)
- Qualitative Beurteilung und Bestätigung der Risiken
- Definition von Risikobehandlungs-Strategien
- Unterstützung in der Umsetzung von Risikobehandlungs-Massnahmen
Neben den oben beschriebenen Leistungen bieten wir auch Lösungen zur technischen Unterstützung der Cyber Risk Management-Prozesse. So lassen sich mit dem HiScout ISMS Tool sämtliche relevanten Risk Management-Aktivitäten abbilden. Zudem unterstützen Sie bei der Identifikation, der Beurteilung, dem Reporting und dem kontinuierlichen Monitoring der Cyberrisiken.
Haben Sie Fragen oder sind Sie an weiteren Informationen Interessiert? Kontaktieren Sie uns und profitieren Sie von unserer breiten und langjährigen Erfahrung von Cyberrisiken.