Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Cybersecurity geht alle an (Kapitel 1)

Generalaufgaben für Management, Planung und Governance

Cybersecurity-Generalaufgaben: Festlegung der Gesamtrichtung und Prioritäten, Aufrechterhaltung des Einflusses und Risikominderung

Welche Rolle spielen Führung, Planung und Governance?
Wenn Sie für die allgemeine strategische Ausrichtung des Unternehmens oder für die Aufrechterhaltung der Kontrollen und die Risikominderung verantwortlich sind, gilt dieser Abschnitt für Sie.

Führungs-, Planungs- und Governance-Experten sind oft die obersten Führungskräfte oder unterstützen strategische Entscheidungsträger direkt. Sie können an Vorstandsprozessen beteiligt sein, als leitende Angestellte mitwirken oder eine komplexe Regierungsbehörde mit treuhänderischer Verantwortung und Haushaltsbefugnis leiten. Oder Sie sind der Eigentümer und Betreiber eines kleinen Unternehmens oder Franchiseunternehmens. Was alle diese Rollen gemeinsam haben, ist, dass endgültige Entscheidungen von Ihnen getroffen werden, oder Sie unterstützen diejenigen, die diese Entscheidungen treffen. Da konkurrierende Anforderungen ausgeglichen werden müssen und nur begrenzte Ressourcen zur Verfügung stehen, spielen Sie eine entscheidende Rolle bei der Festlegung von Prioritäten und deren Einhaltung. Gleichzeitig müssen strategische Risiken für das Unternehmen angegangen werden. Sie sind oft der Schiedsrichter bei schwierigen Entscheidungen.

Sie sind für die Organisation wichtig, denn ohne Sie fehlt der Organisation die Richtung und der Zusammenhalt. Sie sind die Drehscheibe, um die vielen Bereiche des Unternehmens zu verbinden, zu koordinieren und zu steuern.

Führungs-, Planungs- und Governance-Rollen befassen sich bezüglich Cybersecurity mit:

  1. Management und Minderung der gesamten cyberbezogenen Geschäftsrisiken
  2. Einrichtung effektiver Governance-Kontrollen
  3. Priorisierung und Ressourcenbeschaffung für Cybersecurity-Programme
  4. Schutz der vertraulichen Informationen, auf die Sie sich bei der Planung und Entscheidungsfindung verlassen
  5. Etablierung einer Cybersecurity-Kultur innerhalb des Unternehmens


Was Management, Planer und Governance-Experten bzgl. Cybersecurity tun sollten:

  • Verstehen Sie die Grundlagen und Best Practice in der Cybersecurity so gut, dass eine fundierte Entscheidungsfindung möglich ist
    • Etablierung eines regelmässigen Berichtsprozesses für Cyberrisiken innerhalb des Unternehmens
    • Zusammenarbeit mit vertrauenswürdigen Dritten, um sich über Cyberrisiken und deren Eindämmung zu informieren – dazu gehören Berater, Branchengruppen, Anbieter von Cybersecurity-Dienstleistungen und Schulungsanbieter
    • Regelmässige Beauftragung objektiver Risikobewertungen des Unternehmens
    • Leiten Sie die Umsetzung von (inter-)national anerkannten Cybersecurity-Best Practice-Frameworks
  • Ziehen Sie Cyberrisiken in den Risikomanagementprozess des Unternehmens mit ein
    • Vermeiden Sie es, Cyberrisiken als eigenständige und mysteriöse Angelegenheit nur für Technologen zu behandeln
    • Verstehen Sie die organisatorischen Auswirkungen von Cyber-Vorfällen
    • Berücksichtigen Sie die möglicherweise von Partnern und Lieferanten eingeführten Risiken
    • Durchführung von Krisenstabsübungen, um sich und Ihr Unternehmen mit der Vorgehensweise bei Katastrophen und Sicherheitsvorfällen vertraut zu machen
    • Priorisieren Sie cyberbezogene Risiken, um sicherzustellen, dass angemessene Aufmerksamkeit und Anstrengungen auf deren Minderung gerichtet sind
  • Entwickeln und unterhalten Sie Informationssicherheitsvorgaben und -richtlinien für Ihr Unternehmen
    • Stellen Sie sicher, dass die Richtlinien zur Informationssicherheit auf Risikobewertungen, Vorschriften und Normen/Best Practices basieren
    • Stellen Sie sicher, dass die Sicherheitsrichtlinien des Unternehmens angemessen umgesetzt, institutionalisiert und kommuniziert werden
    • Seien Sie sich der relevanten Datenschutzbestimmungen und -gesetze bewusst, um sicherzustellen, dass diese von Ihrem Unternehmen eingehalten werden
    • Erstellen Sie einen Zeitplan, um die Richtlinien regelmässig zu überprüfen und zu aktualisieren
  • Fördern Sie die Entwicklung effektiver funktionsübergreifender Teams zur Erreichung von Cybersecurity-Zielen für die Organisation
  • Sorgen Sie für die angemessene Finanzierung von Cybersecurity-Ressourcenanforderungen
    • Digitale Ressourcen können nicht ohne menschliche und technische Ressourcen geschützt werden; seien Sie bereit, Ressourcen einzusetzen, die auf eine kohärente Cybersecurity-Strategie ausgerichtet sind
    • Planen Sie für zukünftige Bedürfnisse
  • Schützen Sie sensible strategische, finanzielle, rechtliche und Risikoinformationen
    • Geben Sie nur notwendige Informationen weiter
    • Stellen Sie sicher, dass die Informationen in Übereinstimmung mit den Richtlinien zur Datenspeicherung des Unternehmens oder externen Vorschriften aufbewahrt/vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
  • Schützen Sie den Zugriff auf Online-Datenaustausch-Plattformen oder Plattformen zur Unterstützung von Entscheidungsprozessen, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Hersteller-Updates aktivieren
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, sie zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie nach Möglichkeit Virtual Private Networks (VPN), um auf Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen.
    • Geben Sie mit öffentlichen Computern keine sensiblen Informationen ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen spezifischen drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Nutzen Sie Social Media sinnvoll
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie auf Geschäftskonten keine personenbezogenen Daten weiter
    • Geben Sie keine Geschäftsinformationen auf persönlichen Konten weiter

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ


© Swiss Infosec AG 2024