Eine Einführung für die Geschäftsleitung (Teil 2)
Die Rolle der Cybersecurity besteht darin, die Ziele des Unternehmens zu erreichen und, zunehmend, Wettbewerbsvorteile zu schaffen. Sie sollte einen Mehrwert für Ihre Organisation darstellen und nicht den Fortschritt behindern. Dies erfordert eine positive Cybersicherheitskultur und angemessene Investitionen und ein angemessenes Management der Cybersecurity.
Was sollte die Geschäftsleitung tun?
Integrieren Sie Cybersecurity in die Ziele und Risiken Ihrer Organisation.
Es gibt zwei Gründe, warum das so wichtig ist.
Erstens wirkt sich die Cybersecurity auf jeden Aspekt Ihrer Organisation aus. Um sie richtig zu managen, muss sie daher in das organisatorische Risikomanagement und die Entscheidungsfindung integriert werden. Zum Beispiel:
- Das operationelle Risiko wird wahrscheinlich durch die Cybersecurity verstärkt, da Sie sich auf die Sicherheit der von Ihnen genutzten digitalen Dienste (E-Mail-Dienste, massgeschneiderte Software usw.) verlassen.
- Ein gewisses rechtliches Risiko ist mit dem Cybersicherheitsrisiko verbunden (z.B. vertragliche Anforderungen zum Schutz von Daten oder Partnerschaften, regulatorische Anforderungen zum spezifischen Umgang mit Daten).
- Das finanzielle Risiko wird durch die Cybersecurity beeinflusst (z.B. Geldverlust durch Betrug, der durch Cyber ermöglicht wurde, Umsatzeinbussen, wenn Dienste durch einen Cyberangriff offline genommen werden).
- Eine gute Cybersecurity ermöglicht es Ihnen auch, ein gewisses Risiko einzugehen, wenn Sie neue Technologien zur Innovation nutzen. Ein zu vorsichtiger Umgang mit Risiken kann zu verpassten Geschäftsmöglichkeiten oder zusätzlichen (und unnötigen) Kosten führen.
Zweitens muss die Cybersecurity integriert werden, damit sie erfolgreich ist. Bei einer guten Cybersecurity geht es nicht nur darum, gute Technologien zu haben, sondern auch darum, dass Menschen ein gutes Verhältnis zur Sicherheit haben und dass Sie über die richtigen Prozesse in der gesamten Organisation verfügen, um diese zu verwalten.
Zum Beispiel, um sich vor einem Angreifer zu schützen, der auf sensible Daten zugreifen will (während sichergestellt wird, dass nur diejenigen mit einem aktuellen und gültigen Bedürfnis diese sehen können), benötigen Sie:
- eine gute technische Lösung zur Speicherung der Daten
- angemessene Schulung des Personals, dass die Daten bearbeitet
- einen Prozess zur Verwaltung der Personalbewegungen, der auf die Zugangsverwaltung abgestimmt ist.
Spiegeln Sie dies in Ihrer Struktur wider.
Überlassen Sie es nicht einer Person; die Cybersecurity ist die Verantwortung der gesamten Geschäftsleitung.
Ein Cybersicherheitsvorfall betrifft die gesamte Organisation – nicht nur die IT-Abteilung. So kann er sich beispielsweise auf den Online-Verkauf oder Vertragsbeziehungen auswirken oder rechtliche oder regulatorische Massnahmen auslösen. Es sollte genügend Fachwissen innerhalb der Geschäftsleitung vorhanden sein, um eine Cybersicherheitsstrategie vorzugeben und Entscheidungen hinterfragen zu können. Jedes Mitglied der Geschäftsleitung benötigt genügend Fachwissen, um zu verstehen, wie sich dies konkret auf seinen Schwerpunktbereich auswirkt, und um die allgemeinen Auswirkungen auf die Organisation als Ganzes zu verstehen.
Arbeiten Sie mit Ihren Experten zusammen
Überlegen Sie, ob Ihre Berichtsstruktur es der Geschäftsleitung ermöglicht, sich mit der Cybersecurity wie erforderlich zu befassen. Wenn der CISO an einen Ansprechpartner in der Geschäftsleitung rapportiert, der sich nur auf einen Aspekt konzentriert – sei es Finanzen oder Recht oder Technologie -, kann dies die Fähigkeit der Geschäftsleitung beschränken, die weiteren Auswirkungen der Cybersecurity zu erkennen. In der Mehrheit der FTSE350-Organisationen berichtet der CISO nun direkt an die Geschäftsleitung.
Ein guter Ausgangspunkt für die Verbesserung der Cybersecurity in Ihrer Organisation ist die Kommunikation zwischen Experten und Geschäftsleitungsmitgliedern. Die richtige Struktur zu finden, kann helfen, aber wir sehen auch oft eine Zurückhaltung beider Parteien, sich zu engagieren:
- Technische Mitarbeiter denken, dass die Geschäftsleitung sie nicht verstehen wird.
- Die Geschäftsleitung ist der Ansicht, dass das technische Personal nicht in der Lage ist, die Fragen im Zusammenhang mit den strategischen Zielen der Organisation zu erläutern.
Die Verbesserung der Kommunikation zwischen diesen beiden Gruppen erfordert Anstrengungen von beiden Seiten:
- Eine Geschäftsleitung benötigt ein so gutes Verständnis der Cybersecurity, dass sie verstehen kann, wie Cybersecurity ihre übergeordneten Unternehmensziele unterstützt.
- Das technische Personal muss verstehen, dass die Kommunikation über Cyberrisiken eine Kernkomponente seiner Arbeit ist, und sicherstellen, dass es den Beitrag seines Rolle als zu den Zielen der Organisation versteht.
Was wäre ein gutes Cybersecurity-Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity ausmacht, wenn es darum geht, Cybersecurity in Ihre Struktur und Ziele zu integrieren.
Frage 1
Verstehen wir als Geschäftsleitung, wie sich Cybersecurity auf unsere individuelle und kollektive Verantwortung auswirkt?
Sie sollten in Betracht ziehen:
- Verfügt jedes Geschäftsleitungsmitglied über genügend Fachwissen, um die potenziellen Auswirkungen und den Wert der Cybersecurity zu verstehen?
- Gibt es jemanden, der für die Cybersecurity der Organisation verantwortlich ist?
- Wer ist für die Überwachung der Cybersecurity verantwortlich?
- Sind wir uns darüber im Klaren, welche Informationen sowohl die Geschäftsleitung als auch unsere breiteren Interessengruppen benötigen?
Frage 2
Wer ist in der Organisation derzeit für die Cybersecurity verantwortlich?
Dies kann eine Person oder eine Funktion sein, z.B. ein Audit Committee. Sie sollten in Betracht ziehen:
- Wie arbeiten sie mit der Geschäftsleitung zusammen – berichten sie direkt an die Geschäftsleitung oder passen sie in einen anderen Berichtsprozess? Ermutigt dies die Geschäftsleitung, sich aktiv an den Diskussionen über Cybersecurity zu beteiligen?
- Was sind ihre Ziele und wer legt sie fest – treiben diese Ziele die Cybersecurity voran, um ein Unternehmen zu unterstützen?
- Haben sie Zugang zu allen Personen, die sie benötigen, um eine effektive Cybersecurity zu gewährleisten – dies könnte nur im Hinblick auf die Ressourcen erfolgen, die zur Erreichung Ihrer Cybersicherheitsziele erforderlich sind, aber es könnten auch die Teams sein, mit denen sie verbunden werden müssen, z.B. Personal, Finanzen usw.
Frage 3
Wie stellen wir als Geschäftsleitung sicher, dass die Cybersicherheitsmassnahmen unserer Organisation wirksam sind?
Sie möchten vielleicht die Gewissheit haben, dass:
- Das Unternehmen wendet eine angemessene Palette von technischen Assurance-Tätigkeiten an, deren Ergebnisse der Geschäftsleitung auf sinnvolle Weise vermittelt werden. Assurance-Aktivitäten können die Überprüfung von Abwehrmassnahmen anhand geeigneter Rahmenbedingungen beinhalten.
- Bedrohungsbewertungen und Verteidigungsprioritäten werden regelmässig überprüft und die Abwehrmassnahmen entsprechend aktualisiert.
- Der Fokus Ihrer Cybersicherheitsmassnahmen richtet sich nach den Risiken, die Sie identifiziert und priorisiert haben.
Frage 4
Haben wir als Unternehmen einen Prozess, der sicherstellt, dass das Cyber-Risiko mit dem Geschäftsrisiko integriert wird?
Ein Beispiel dafür wäre, wenn ein Risiko von einem Teil der Organisation gegen ein anderes abgewogen wurde. So kann beispielsweise ein Unternehmen beurteilen, dass die Einführung einer Bring Your Own Device (BYOD)-Richtlinie dem Unternehmen einen erheblichen Nutzen in Form von flexibler Arbeit bringt. Im Rahmen des Änderungsfalls, einschliesslich der Bewertung des Geschäftsrisikos, ein BYOD-Modell nicht zu implementieren, sollten Sie auch Folgendes tun:
- Bewerten Sie den Anstieg des Risikos, das mit der erhöhten Anzahl von Geräten verbunden ist, die an Ihr Netzwerk angeschlossen sind.
- Bewerten Sie das Risiko, das damit verbunden ist, dass Sie keine Geräte besitzen und somit keine Kontrolle über diese Geräte haben, die mit Ihrem Netzwerk verbunden sind.
- Wägen Sie bewusst Geschäftsrisiken und -nutzen und technische Risiken und Nutzen von BYOD ab.
- Berücksichtigen Sie andere Modelle, wie z.B. Corporate Owned, Personally Enabled (COPE) und vergleichen Sie die Risiken und Vorteile.
- Bewertung der Eignung geplanter Sicherheitsmassnahmen, um sicherzustellen, dass sie die Ziele der flexiblen Arbeit unterstützen und nicht einschränken.
- In diesem Beispiel wurde das Cyberrisiko der Einführung des neuen Dienstes (BYOD) in das Geschäftsrisiko integriert. Diejenigen, die für einen Dienst verantwortlich sind, sollten bestmögliche Beratung erhalten, damit sie Cyberrisiken und andere Risiken (und Vorteile) bei ihrer Entscheidungsfindung klar abwägen können.
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/