Compliance versus Risiko: Die Wahl des richtigen Ansatzes

Galvanize

Die meisten Unternehmen haben inzwischen erkannt, wie wichtig das Management von Cybersicherheitsrisiken ist.

Im Durchschnitt kostet es 3,86 Millionen Dollar, die Folgen einer Datenschutzverletzung zu bewältigen, und 280 Tage, um eine solche Verletzung zu identifizieren und zu beheben. Für einen Konzern können die Kosten weitaus höher sein: Capital One etwa schätzt seine Verluste durch eine Datenschutzverletzung im Jahr 2019 auf bis zu 150 Millionen US-Dollar.

Auch ohne Verluste durch einen tatsächlichen Verstoß ist die Einhaltung der strengen Branchenvorschriften zum Schutz von Daten und Privatsphäre mit Zeit und Kosten verbunden. Darüber hinaus unterliegen Unternehmen, die Geschäfte innerhalb der Europäischen Union tätigen, der Datenschutz-Grundverordnung (DSGVO), in deren Rahmen die EU Geldstrafen von bis zu 20 Millionen Euro (ca. 24 Millionen US-Dollar) oder 4 % des weltweiten Jahresumsatzes verhängen kann.

In Anbetracht der Gefahr eines tatsächlichen Verstoßes und des Risikos von Geldstrafen bei Verstößen gegen die Vorschriften haben viele Unternehmen die Cybersicherheit zu einem Kernanliegen ihres Risikomanagement-Programms erklärt, das in der Regel in die Zuständigkeit des Chief Information Security Officer (CISO) fällt. Programme für das Management von Cybersicherheitsrisiken können sich jedoch hinsichtlich ihrer Ziele unterscheiden: Einige konzentrieren sich ausschließlich auf die Einhaltung von Compliance-Zielen, während andere sich auf die Minderung tatsächlicher Cybersicherheitsrisiken konzentrieren.

Unternehmen, die sich einzig auf die Einhaltung von Vorschriften konzentrieren, übersehen wesentliche Risikofaktoren. Die Einrichtung einer guten Abwehrbereitschaft kann zwar viele bekannte Bedrohungen eindämmen, bedeutet aber auch, dass Ihnen der Überblick über die sich verändernde Bedrohungslandschaft fehlt, sodass Sie auf manche der möglichen Szenarien eventuell nicht vorbereitet sind. Von der COVID-19-Pandemie etwa wurden viele Organisationen überrascht und mussten feststellen, dass ihre Sicherheit gefährdet war, da ihre Mitarbeiter ohne angemessene Infrastruktur und völlig unvorbereitet auf Homeoffice umstellten. Dadurch waren ganze Unternehmen dem Risiko von Betrug und Datenschutzverletzungen ausgesetzt. Im ersten Quartal 2020 traten umfangreiche Datenschutzverletzungen in einer Häufigkeit auf, die fast 300 % über der des Vorquartals lag.

Um besser auf sich ändernde Risikoszenarien vorbereitet zu sein, kommt es darauf an, einen Cybersicherheitsansatz zu entwickeln, der sich auf die Bewertung und das Management von Risiken konzentriert und nicht allein auf die Einhaltung von Vorschriften. Für den Einstieg empfehlen wir Ihnen, die folgenden bewährten Praktiken zu beachten.

  • Implementieren Sie einen Lenkungsausschuss
    Bauen Sie einen abteilungsübergreifenden Lenkungsausschuss auf, der Sie dabei unterstützt, Ihre Risiken im gesamten Unternehmen zu erfassen. Legen Sie dann gemeinsam fest, welche Risiken mit höchster Priorität angegangen werden müssen.
  • Suchen Sie ein ausgewogenes Verhältnis zwischen ambitionierten und erreichbaren Zielen
    Stellen Sie bei der Einführung von Plänen sicher, dass Sie sich auf Ziele konzentrieren, die nicht so unrealistisch sind, dass sie nie erreicht werden können. Eine bewährte Faustregel ist, nur solche Pläne zu berücksichtigen, die innerhalb von zwei Jahren umgesetzt werden können.
  • Gewähren Sie sich eine Schonfrist
    Neue Richtlinien und Technologien können nicht von heute auf morgen übernommen werden. Geben Sie Ihrem Unternehmen Zeit, Optionen zu prüfen und richten Sie den Fokus auf die Implementierung und Schulung.
  • Konzentrieren Sie sich auf geschäftskritische Systeme und Datenbestände
    Treffen Sie eine Auswahl und nehmen Sie dabei eine Folgenabschätzung vor, um bei der Festlegung, welche Risiken vorrangig zu berücksichtigen sind, aus wirtschaftlicher Perspektive die Kritikalität der betroffenen Systeme oder Assets zu bewerten.
  • Bewerten Sie GRC-Produkte, um den Prozess zu optimieren
    Wenn Sie für Ihre GRC-Initiativen den richtigen Tech-Stack wählen, können Sie den Cyberrisiko-Prozess semi-automatisieren und so den Personaleinsatz bei Aufgaben von hoher strategischer Bedeutung maximieren.
  • Präsentieren Sie wirtschaftliche Argumente, um die Entwicklung eines Cyberrisiko-Ansatzes zu unterstützen
    Besprechen Sie mit Ihren Stakeholdern einen fest umrissenen und engagierten Plan zur Verbesserung der Cybersicherheit Ihres Unternehmens, einschließlich des angestrebten Investitionsvolumens, schnell zu erreichender Erfolge und Best Practices.
  • Entwickeln Sie einen aufeinander abgestimmten Ansatz
    Übernehmen Sie sich nicht, indem Sie versuchen, alles auf einmal zu machen. Beginnen Sie mit Initiativen, die eine hohe Priorität haben, und erweitern Sie von dort aus Ihr Programm.
  • Übertragen Sie die Risikoabschätzung auf andere Bereiche Ihres Sicherheitsprogramms
    Sobald Ihr Risikomanagementprogramm eingerichtet ist, sollten Sie die Kernbotschaft durch aktualisierte Richtlinien und ein unternehmensweites Sensibilisierungs- und Schulungsprogramm bekannt machen.
  • Werben Sie bei Ihren Kunden und Partnern für den Ansatz
    Wenn Sie Ihren strategischen Ansatz zur Cybersicherheit zu einem Vorzeigeprojekt machen, können Sie dazu beitragen, die Wettbewerbsposition Ihres Unternehmens zu verbessern.

Führen Sie bei der Bewertung der Geschäftsrisiken die folgenden Arbeitsschritte durch:

  1. Erstellung eines Profils: Richten Sie zu Beginn Ihr Unternehmensprofil ein und nehmen Sie eine Bestandsaufnahme der Risiken vor.
  2. Bestimmung der Auswirkungen auf das Unternehmen: Welche finanziellen oder reputationsbezogenen Folgen hätten die einzelnen Risiken auf Ihr Unternehmen?
  3. Bewertung der Bedrohungen: Wie wahrscheinlich ist es auf der Grundlage von historischen und Branchendaten, dass eines der Risiken eintritt?
  4. Bewertung der Schwachstellen: Welche Schwachstellen gibt es derzeit in Ihrem Unternehmen?
  5. Ermittlung des Risikos: Bewerten Sie, welche Risiken die höchste Priorität haben.
  6. Umgang mit dem Risiko: Sollten Sie angesichts der Kosten und der potenziellen Folgen die Risiken jeweils mindern, vermeiden, übertragen oder in Kauf nehmen?

Denken Sie daran, dass Sie das Cyberrisiko nicht isoliert betrachten sollten. Andere Abteilungen benötigen oft Schulungen und Weiterbildungen, um Probleme im Bereich Cyberrisiko in den Griff zu bekommen. So sollte Ihre Personalabteilung zum Beispiel Richtlinien zur Vermeidung von Insider-Angriffen einführen, Ihr Awareness- und Weiterbildungsteam sollte ein Seminar zur Vermeidung von Social Engineering-Angriffen entwickeln, und die Verträge mit Ihren Lieferanten sollten geeignete Formulierungen und Mindeststandards enthalten, um das Third Party-Risiko zu begrenzen.

Indem Sie sicherstellen, dass Sie ein umfassendes Programm entwickelt haben, das mit den Best Practices für die Analyse von Cybersicherheitsrisiken übereinstimmt, können Sie im gesamten Unternehmen Akzeptanz gewinnen und das Bewusstsein für die Bedeutung der Arbeit Ihres Teams stärken.

Weitere Informationen zum Thema Verlagerung der Cybersicherheit vom Fokus der Compliance hin zum Risiko erhalten Sie in unserem E-Book.

E-Book:

Cybersicherheit: Von einem Compliance- zu einem Risikofokus

CISOs sollten einen risikobasierten Ansatz wählen, anstatt sich allein auf Fragen der Compliance zu konzentrieren. In diesem E-Book untersuchen wir:

  • Was bedeutet "gut" für den Bereich Management von Cyberrisiken
  • Sechs Schritte im Prozess der Geschäftsrisikobewertung
  • Die wichtige Rolle der Automatisierung beim Management von Cyberrisiken

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"