Generalaufgaben für Facilities, physische Systeme und Betrieb
Cybersecurity-Generalaufgaben: Entwicklung und Bereitstellung von Produkten und Dienstleistungen, Verwaltung von Abläufen und Wartung der physischen Umgebung.
Mit was sich Facilities, physische Systeme und Betrieb beschäftigen
Wenn Sie die Produkte und Dienstleistungen Ihres Unternehmens für Ihre Kunden entwerfen und bereitstellen, Teil der Abläufe zur Unterstützung der Bereitstellung sind oder die physische Umgebung verwalten und warten, gilt dieser Abschnitt für Sie.
Da die Arten von Produkten und Dienstleistungen sehr unterschiedlich sind, decken Facilities, physische Systeme und Betrieb eine Vielzahl von Funktionen ab, von der Standortverwaltung über den Produktingenieur, den Betriebsanalytiker bis hin zum Vertriebsleiter und darüber hinaus. Sie liefern der Welt die Wertigkeit des Unternehmens aus und erfüllen damit seinen Hauptzweck. Ihre Rolle wirkt sich direkt auf Bürger, Kunden und Partner aus, die von den Produkten und Dienstleistungen Ihres Unternehmens abhängig sind.
Sie sind dem Unternehmen wichtig, denn die erfolgreiche Entwicklung und Lieferung seiner Produkte und Dienstleistungen hängt von Ihnen ab. Das Unternehmen würde ohne die von Ihnen bereitgestellten Fähigkeiten nicht mehr funktionieren und der Hauptzweck des Unternehmens würde unerfüllt bleiben. Ihre Leistung ist auch entscheidend für die Aufrechterhaltung eines Wettbewerbsvorteils – was Ihr Unternehmen einzigartig und anerkannt macht – in einer lauten und geschäftigen Welt. Darüber hinaus bergen die von Ihnen betriebenen Technologiesysteme, einschliesslich derjenigen, die physische Prozesse steuern (Operational Technology (OT), weniger Informationstechnologie (IT)), potenzielle Risiken für Leib und Leben, so dass Ihre Sicherheitsbereitschaft an erster Stelle steht.
Die Rolle von Facilities, physischen Systemen und Betrieb in der Cybersecurity ist:
- Schutz der Einzigartigkeit der Produkte und Dienstleistungen, die Ihr Unternehmen anbietet
- Sicherung physischer Systeme vor Beeinträchtigung durch alle Gefahren, einschliesslich physischer und Cyberrisiken
- Integration von Cybersecurity mit physischer Sicherheit und Sicherung
Was die Fachleute für Facilities, physische Systeme und Operationen tun sollten:
- Identifizierung von Cyberrisiken für die Widerstandsfähigkeit physischer Systeme, einschliesslich Kontrollsysteme
- Einbeziehung von IT- und OT-Stakeholdern
- Vertrauenswürdige Dritte einbeziehen, um ein Verständnis für Cyberrisiken in der physischen Umgebung zu entwickeln
- Durchführung einer umfassenden Bewertung der physischen Umgebung, um Schwachstellen zu identifizieren
- Sicherstellen, dass angemessene physische Sicherheitskontrollen in den Einrichtungen umgesetzt werden
- Entwicklung eines umfassenden Plans zur Verbesserung der Sicherheit von Kontrollsystemen
- Nutzung von Best Practice-Frameworks für die Cybersecurity
- Einbeziehung von Cybersecurity-Massnahmen in das allgemeine Sicherheitsprogramm
- Sicherstellen, dass die Mitarbeiterschulung das Bewusstsein für Cyberrisiken in der physischen Umgebung beinhaltet
- Nutzung des Sicherheitsprogramms als weiteres Mittel zur Förderung einer Cybersecurity-Kultur
- Zusammenarbeit mit der IT-Abteilung bei der Entwicklung eines Systems für Gäste, die auf die physische Umgebung zugreifen: Einschränkung des direkten Zugriffs, Bereitstellung eines eingeschränkten Wi-Fi-Netzwerks usw.
- Schutz des geistigen Eigentums
- Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an/von Kunden und Partnern übermittel
- Nur notwendige Informationen weitergeben
- Sicherstellen, dass sensible Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
- Verhindern Sie Fernzugriff auf Systeme, es sei denn, dies ist absolut notwendig
- Berücksichtigung von Sicherheitsrisiken und -minderungen in der Lieferkette
- Sicherstellen, dass Sicherheitskontrollen bei Bedarf in die Produkte integriert sind
- Sicherstellen, dass Lieferanten die Best Practices für die Sicherheit einhalten
- Schützen Sie den Zugriff auf Ihre Informationsspeicher, indem Sie bewährte Verfahren anwenden, wie z.B.:
- Starke Passwörter
- Eindeutige Passwörter für jedes kritische Konto
- Multi-Faktor-Authentifizierung
Was wir alle tun sollten:
- Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren
- Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
- Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
- Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
- Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
- Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
- Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
- Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
- Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
- Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
- Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
- Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
- Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
- Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
- Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
- Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
- Social Media sinnvoll nutzen
- Wenden Sie starke Datenschutzeinstellungen an
- Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
- Geben Sie keine Geschäftsinformationen auf Privatkonten weiter
NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ