Seite auswählen

Durchführen einer Cyber-Risikobewertung

Galvanize

Galvanize

Das Cybersicherheitsrisiko nimmt weltweit zu und verändert sich. Dasselbe gilt auch für die Rolle, die die interne Revision bei der Begrenzung dieses Risikos hat.

Cybersecurity Ventures sagt voraus, dass die Internetkriminalität bis 2021 jährlich für Kosten von über 6 Billionen Dollar weltweit verantwortlich sein wird, gegenüber 3 Billionen Dollar im Jahr 2015. Da Verletzungen der Cybersicherheit immer häufiger in den Schlagzeilen erscheinen, rückt die Cybersicherheit stärker ins Blickfeld der internen Revision. Der erhöhte Risikofokus spiegelt sich in der Umfrage aus dem Jahr 2019 zur Leistungsfähigkeit von Audits wider, aus der hervorgeht, dass das Cybersicherheitsrisiko für Chief Audit Executives die zweithöchste Priorität hat.

Die interne Revision versucht die Cyber-Bedrohungen in den Griff zu bekommen, indem sie unabhängige Bewertungen der bestehenden Risiken vornimmt und Prüfungsausschuss und Vorstand hilft, dieses Risiko zu verstehen und in Angriff zu nehmen. Deloitte berichtet, dass viele Unternehmen feststellen, dass sie eine dritte Verteidigungslinie für die Abwehr von Cyber-Bedrohungen benötigen—eine unabhängige Überprüfung der Sicherheitsvorkehrungen und der Performance durch die interne Revision.

Die Cybersicherheit liegt nicht allein in der Verantwortung der Sicherheits- oder IT-Teams—das Thema hat Auswirkungen auf und betrifft alle Geschäftsbereiche. In einem traditionellen Silo-Ansatz beschäftigt sich jede Abteilung unabhängig voneinander mit den Risiken. Es gibt keine gemeinsame Sprache und keinen gemeinsamen Rahmen für eine ganzheitliche Analyse des Cyberrisikos. Liegt der Fokus auf dem Risiko, fallen diese Silos weg und gleichzeitig können die für den Geschäftsprozess Verantwortlichen Prioritäten setzen und auf der Grundlage von Erkenntnissen handeln.

Trotz des erhöhten Risikofokus gab in der Umfrage zur Leistungsfähigkeit von Audits nur die Hälfte der Führungskräfte aus dem Bereich interne Revision an, dass ihre Teams Bewertungen des Cyberrisikos durchführen. Drei Viertel von ihnen haben einen auf der Bewertung basierenden Prüfungsplan entwickelt.

Durch eine umfassende Bewertung des Cyberrisikos kann die interne Revision dem Prüfungsausschuss und den Vorstandsmitgliedern objektive Beurteilungen und Erkenntnisse präsentieren und diese dann verwenden, um einen breit angelegten internen Prüfungsplan zu erstellen, der auch das Cyberrisiko abdeckt.

Die Bewertung des Cyberrisikos kann auch so strukturiert sein, dass eine Liste mit Cyber-Sicherheitslücken erstellt und dem Unternehmen eine Roadmap für kurz- und langfristige Korrekturmaßnahmen an die Hand gegeben wird.

Schritte zur Bewertung des Cyberrisikos

Nachfolgend wird in acht Schritten dargelegt, wie Prüfer das Cyberrisiko bewerten können.

1. Beschreiben Sie das System (Prozess, Funktion oder Anwendung)

Beantworten Sie in diesem Schritt die folgenden Fragen: Welches System ist involviert? Welche Daten werden verwendet? Welche Anbieter sind an dem System und der Nutzung der Daten beteiligt? Wohin fließen die Informationen und wie sieht der Datenfluss aus?

2. Ermitteln Sie Bedrohungen

Bedrohungen sind in jedem Unternehmen unterschiedlich, übliche Bedrohungen sind jedoch:

  • Unberechtigter Zugriff (z.B. greift ein Mitarbeiter auf sensible Daten zu, für die er keine Berechtigung hat, sei es in böswilliger Absicht oder auf anderweitig)
  • Missbrauch von Informationen durch einen berechtigten Benutzer (z.B. böswillige Verwendung von Informationen durch einen Mitarbeiter mit Zugang zu hochsensiblen/vertraulichen oder wettbewerbsrelevanten Informationen/Daten)
  • Dienstunterbrechungen (z.B. Unterbrechungen der Geschäftsaktivitäten, Ausfall von Diensten, Ausfall des Internetdienstanbieters, Serverausfall)
  • Datenverlust (z.B. fehlgeschlagene Sicherungsprozesse oder absichtliche Löschung von Dateien).

3. Bestimmen Sie inhärente Risiken und Auswirkungen

Stufen Sie jede der von Ihnen ermittelten Bedrohungen standardmäßig als geringes, mittleres oder hohes Risiko mit entsprechenden Auswirkungen ein. (Ohne jedoch Ihre Kontrollumgebung zu berücksichtigen und ein "Was wäre wenn"-Szenario festzulegen, in dem das Risiko eingetreten ist.) Erfahren Sie mehr über die Auswahl effektiver Cybersicherheitsmetriken.

4. Analysieren Sie die Kontrollumgebung

Identifizieren Sie Kontrollen zur Prävention, Minderung und Erkennung von Bedrohungen (z.B. Kontrollen bei der Erstellung von Nutzern, Verwaltung, Sicherheit des Datenzentrums, Geschäftskontinuität) und deren Beziehung(en) zu den ermittelten Bedrohungen.

5. Bestimmen Sie einen Wahrscheinlichkeitsquotienten

Nachdem Sie nun die Bedrohungen identifiziert und die Risiken/Auswirkungen bestimmt haben, ermitteln Sie als nächstes, wie wahrscheinlich das Eintreten der jeweiligen Gefährdung ist. Bestimmen Sie innerhalb Ihrer Kontrollumgebung die Wahrscheinlichkeit, mit der in Ihrem Unternehmen ein Exploit oder ein Risiko tatsächlich eintritt (wiederum mit der Bewertung gering, mittel oder hoch).

6. Berechnen Sie Ihre Risikoeinstufung

Die Gleichung für die Ermittlung der Risikoeinstufung ist relativ simpel: Auswirkung (falls ein Exploit ausgenutzt wird) * Wahrscheinlichkeit (eines Exploits in der Kontrollumgebung). Die Verwendung des Bewertungssystems "niedrig", "erhöht" und "gravierend" hilft bei der Bestimmung des Werts für individuelle Risiken und das ist der nächste Schritt.

7. Risiken priorisieren

Verwenden Sie das von Ihnen bevorzugte System zur Risikoeinstufung/-bewertung, um Ihre Risiken der Größenordnung nach zu priorisieren.

8. Dokumentieren Sie die Ergebnisse in einem Risikobewertungsbericht

Erstellen Sie einen Risikobewertungsbericht zur Unterstützung der Geschäftsleitung bei Budget-, Politik- und Verfahrensentscheidungen.

Die Vorbereitungen für die Cybersicherheit sind ein kontinuierlicher Prozess. Nachdem die obigen acht Schritte abgeschlossen sind, besteht der nächste Schritt im kontinuierlichen Anpassen und Neubewerten der Risiken. Wenn Sie infolge Ihrer Bewertung des Cyberrisikos die Verfahren ändern oder ein neue Prozesse einführen, bewerten Sie deren Wirksamkeit und beurteilen Sie weiterhin das Programm insgesamt auf seine Wirksamkeit.

E-Book

Eine zukunftssichere interne Revision

Lernen Sie die Technologien kennen, die CAEs und interne Audit-Teams anwenden und so für die Zukunftssicherheit ihrer Auditfunktion sorgen. Erfahren Sie mehr zu folgenden Themen:

  • Die Rolle von Audits bei der Minderung von Cyberrisiken
  • Aufbau einer starken Daten-Governance
  • Mit Datenanalyse die Zukunft des Audit gestalten
  • Maschinelles Lernen und robotergesteuerte Prozessautomatisierung.

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"