Einblicke in das Risikomanagement

  • Artikel

Der Betrieb eines Unternehmens ist mit Risiken verbunden. Ein Sicherheitsteam hat die Aufgabe, Entscheidungsträger darüber zu informieren und zu informieren, wie Sicherheitsrisiken in ihre Frameworks passen. Das Ziel von Sicherheit ist es, etwas über Ihr Unternehmen zu erfahren und dann ihre Sicherheitsexpertise zu nutzen, um Risiken für Geschäftsziele und -werte zu identifizieren. Die Sicherheit berät dann Ihre Entscheidungsträger zu jedem Risiko und empfiehlt, welche Risiken akzeptabel sind. Diese Informationen werden mit dem Verständnis bereitgestellt, dass die Verantwortung für diese Entscheidungen bei Ihrem Ressourcen- oder Prozesseigentümer liegt.

Hinweis

Die allgemeine Regel für Risikoverantwortlichkeit lautet:

Die Person, die das Risiko besitzt und akzeptiert, ist die Person, die der Welt erklärt, was schief gelaufen ist (häufig vor TV-Kameras).

Wenn sie ausgereift ist, besteht das Ziel der Sicherheit darin, Risiken aufzudecken und zu mindern und dann das Unternehmen in die Lage zu versetzen, Änderungen mit minimalem Risiko durchzuführen. Dieser Reifegrad erfordert Risikokenntnisse und tiefe Sicherheitsintegration. Bei jedem Reifegrad Ihrer Organisation sollten die wichtigsten Sicherheitsrisiken im Risikoregister aufgeführt werden. Diese Risiken werden dann bis zu einem akzeptablen Grad verwaltet.

Schauen Sie sich das folgende Video an, um mehr über die Sicherheitsausrichtung und darüber zu erfahren, wie Sie Risiken in Ihrer Organisation verwalten können.

Was ist Cybersicherheit?

Cybersicherheitsrisiko ist die potenzielle Beschädigung oder Zerstörung von Geschäftsvermögen, Umsatz und Ansehen. Dieser Schaden wird durch menschliche Angreifer verursacht, die versuchen, Geld, Informationen oder Technologie zu stehlen.

Obwohl diese Angriffe in der technischen Umgebung geschehen, stellen sie häufig ein Risiko für Ihre gesamte Organisation dar. Das Cybersicherheitsrisiko sollte an Ihrem Framework für Risikomessung, Nachverfolgung und Risikominderung ausgerichtet werden. Viele Organisationen behandeln das Cybersicherheitsrisiko weiterhin als technisches Problem, das gelöst werden muss. Diese Einschätzung führt zu falschen Schlussfolgerungen, die die strategischen Auswirkungen des Risikos auf das Geschäft nicht mindern.

Die folgende Abbildung zeigt den Übergang von einem typischen technisch orientierten Programm zu einem Geschäftsframework.

Abbildung, die den Übergang von einem typischen technisch orientierten Programm zu einem Geschäftsframework zeigt.

Sicherheitsverantwortliche müssen die technische Brille ablegen und lernen, welche Ressourcen und Daten den Unternehmensverantwortlichen wichtig sind. Priorisieren Sie dann, wie Teams ihre Zeit, ihre Aufmerksamkeit und ihr Budget im Zusammenhang mit der geschäftlichen Wichtigkeit einsetzen. Während die Sicherheits- und IT-Teams an Lösungen arbeiten, wird der technische Blickwinkel erneut angewendet. Wenn Sie das Cybersicherheitsrisiko jedoch nur als Technologieproblem ansehen, besteht das Risiko, die falschen Probleme zu lösen.

Ausrichten Ihres Sicherheitsrisikomanagements

Arbeiten Sie kontinuierlich an einer stärkeren Brücke zwischen Cybersicherheit und Ihrer Organisationsführung. Dieses Konzept gilt sowohl für menschliche Beziehungen als auch für explizite Prozesse. Die Art des Sicherheitsrisikos und die unterschiedliche Dynamik der Geschäftsmöglichkeiten ändern sich ständig. Sicherheitsrisikoquellen erfordern fortlaufende Investitionen in den Aufbau und die Verbesserung dieser Beziehung.

Der Schlüssel zu dieser Beziehung ist das Verständnis, wie der Geschäftswert mit bestimmten technischen Ressourcen verknüpft ist. Ohne diese Richtungungsvorgabe kann die Sicherheit nicht sicher sein, was für Ihre Organisation am wichtigsten ist. Sie kann dann nur die wichtigsten Ressourcen mit Glücksgriffen schützen.

Es ist wichtig, diesen Prozess sofort zu starten. Beginnen Sie mit einem besseren Verständnis sensibler und unternehmenskritischer Ressourcen in Ihrer Organisation.

Der typische Prozess zum Starten dieser Transformation ist:

  1. Ausrichten des Unternehmens in einer bidirektionalen Beziehung:
    • Kommunizieren Sie in seiner Sprache, um Sicherheitsbedrohungen mithilfe unternehmensfreundlicher Terminologie zu erklären. Diese Erklärung hilft bei der Quantifizierung des Risikos und der Auswirkungen auf die allgemeine Geschäftsstrategie und den Geschäftsauftrag.
    • Hören Sie aktiv zu, und lernen Sie, indem Sie mit Personen im gesamten Unternehmen sprechen. Arbeiten Sie daran, die Auswirkungen auf wichtige Unternehmensdienste und -informationen zu verstehen, wenn diese kompromittiert oder verletzt wurden. Dieses Verständnis gibt einen klaren Einblick in die Bedeutung von Investitionen in Richtlinien, Standards, Schulungen und Sicherheitskontrollen.
  2. Übersetzen Sie Erkenntnisse über geschäftliche Prioritäten und Risiken in konkrete und nachhaltige Maßnahmen, etwa:
    • Kurzfristige Maßnahmen, bei denen es um den Umgang mit wichtigen Prioritäten geht.
      • Schützen Sie wichtige Ressourcen und hochwertige Informationen mit geeigneten Sicherheitskontrollen. Diese Kontrollen erhöhen die Sicherheit und ermöglichen gleichzeitig Geschäftsproduktivität.
      • Konzentrieren Sie sich auf sofortige und neu auftretende Bedrohungen, die wahrscheinlich Auswirkungen auf das Unternehmen haben.
      • Überwachen Sie Änderungen in Geschäftsstrategien und -initiativen, um die Ausrichtung beizubehalten.
    • Langfristiges Maßnahmen legen die Richtung und Prioritäten fest, um im Laufe der Zeit stabilen Fortschritt zu erzielen und den Gesamtsicherheitsstatus zu verbessern.
      • Verwenden Sie Zero Trust, um eine Strategie, einen Plan und eine Architektur zur Reduzierung von Risiken in Ihrer Organisation zu erstellen. Richten Sie diese Aspekte an den Zero Trust-Prinzipien aus: Annahme einer Sicherheitsverletzung, geringstmögliche Rechte und explizite Überprüfung. Die Übernahme dieser Prinzipien führt von statischen Kontrollen zu dynamischeren, risikobasierten Entscheidungen. Diese Entscheidungen basieren auf Echtzeiterkennungen von seltsamem Verhalten, unabhängig davon, von wo aus die Bedrohung ausgeht.
      • Tilgen Sie technische Schulden als konsistente Strategie, indem Sie im gesamten Unternehmen bewährte Sicherheitsmethoden anwenden. Ersetzen Sie beispielsweise kennwortbasierte Authentifizierung durch kennwortlose und mehrstufige Authentifizierung, wenden Sie Sicherheitspatches an, und entfernen oder isolieren Sie Legacysysteme. Wie bei der Tilgung einer Hypothek müssen Sie stetige Zahlungen leisten, um den vollen Nutzen und Wert Ihrer Investitionen zu realisieren.
      • Wenden Sie Datenklassifizierungen, Vertraulichkeitsbezeichnungen und rollenbasierte Zugriffssteuerung an, um Daten während des gesamten Lebenszyklus vor Verlust oder Kompromittierung zu schützen. Diese Bemühungen können die dynamische Natur und die Reichhaltigkeit von Geschäftskontext und -einblicken nicht vollständig erfassen. Aber diese Schlüsselfaktoren werden genutzt, um Informationsschutz und Governance zu steuern und die potenziellen Auswirkungen eines Angriffs zu begrenzen.
  3. Etablieren Sie eine gesunde Sicherheitskultur , indem Sie das richtige Verhalten explizit praktizieren, kommunizieren und öffentlich modellieren. Die Kultur sollte sich auf eine offene Zusammenarbeit zwischen Geschäfts-, IT- und Sicherheitskollegen konzentrieren. Wenden Sie diesen Fokus dann auf eine „Wachstumsmentalität“ des kontinuierlichen Lernens an. Konzentrieren Sie sich bei Kulturänderungen auf das Entfernen von Silos aus Sicherheit, IT und der größeren Geschäftsorganisation. Durch diese Änderungen wird ein größerer Wissensaustausch und ein höheres Maß an Belastbarkeit erreicht.

Weitere Informationen finden Sie unter Definieren einer Sicherheitsstrategie.

Grundlegendes zum Cybersicherheitsrisiko

Das Cybersicherheitsrisiko wird durch menschliche Angreifer verursacht, die versuchen, Geld, Informationen oder Technologie zu stehlen. Es ist wichtig, die Beweggründe und Verhaltensmuster dieser Angreifer zu verstehen.

Beweggründe

Die Motivationen und Anreize für verschiedene Arten von Angreifern spiegeln diejenigen von legitimen Organisationen wider.

Abbildung, die die Beweggründe von Angreifern zeigt.

Wenn Sie die Motivation der Angreifer verstehen, können Sie die Wahrscheinlichkeit und die potenziellen Auswirkungen der verschiedenen Angriffsarten besser einschätzen. Während die Sicherheitsstrategien und die wichtigsten technischen Kontrollen in allen Unternehmen ähnlich sind, kann dieser Kontext helfen, die Schwerpunkte Ihrer Sicherheitsinvestitionen zu bestimmen.

Weitere Informationen finden Sie unter Angreifern Rendite verwehren.

Verhaltensmuster

Organisationen sehen sich einer Reihe von menschlichen Angriffsmodellen gegenüber, die ihr Verhalten beeinflussen:

  • Ware: Die meisten Bedrohungen, mit denen sich Unternehmen konfrontiert sehen, sind gewinnorientierte Angreifer, die auf eine Rendite (Return on Investment, ROI) aus sind. Diese Angreifer verwenden in der Regel die kostengünstigsten und effektivsten verfügbaren Tools und Methoden. Die Raffinesse dieser Angriffe (z. B. Stealth und Tooling) nimmt in der Regel zu, wenn neue Methoden von anderen Personen erprobt und für den Einsatz in großem Maßstab verfügbar gemacht werden.

  • Vorsprung: Ausgefeilte Angriffsgruppen werden von langfristigen Missionsergebnissen angetrieben und haben oft finanzielle Mittel zur Verfügung. Diese Förderung wird verwendet, um sich auf Innovationen zu konzentrieren. Zu diesen Innovationen gehören beispielsweise Investitionen in Angriffe auf die Lieferkette oder die Änderung von Taktiken innerhalb einer Angriffskampagne, um die Erkennung und Untersuchung zu erschweren.

In der Regel sind die Angreifer:

  • Flexibel: Sie verwenden mehrere Angriffsvektoren, um Zugang zum Netzwerk zu erhalten.
  • Zielgesteuert: Sie erreichen einen definierten Zweck durch den Zugriff auf Ihre Umgebung. Die Ziele können spezifisch für Ihre Mitarbeiter, Daten oder Anwendungen sein, aber Sie passen möglicherweise auch zu einer bestimmten Klasse von Zielen. Beispiel: „Ein profitables Unternehmen, das bereit ist, für die Wiederherstellung des Zugriffs auf seine Daten und Systeme zu zahlen.“
  • Getarnt: Sie treffen Vorkehrungen, um Beweise zu beseitigen oder ihre Spuren zu verwischen, meist auf verschiedenen Investitions- und Prioritätsebenen.
  • Geduldig: Sie nehmen sich Zeit für eine Untersuchung, um Ihre Infrastruktur und Geschäftsumgebung zu verstehen.
  • Gut ausgestattet und qualifiziert: Sie sind in den Technologien, auf die sie abzielen, geschult, wobei die Tiefe der Kenntnisse variieren kann.
  • Erfahren: Sie verwenden etablierte Techniken und Tools, um erhöhte Privilegien für den Zugriff auf oder die Kontrolle über verschiedene Aspekte des Unternehmens zu erlangen.

Nächste Schritte

Damit das Risikomanagement effektiv ist, muss es in alle Aspekte Ihrer Governance- und Complianceaktivitäten eingebunden werden. Damit Risiken ordnungsgemäß bewertet werden können, muss die Sicherheit immer als Teil eines umfassenden Ansatzes betrachtet werden.