Eine Einführung für die Geschäftsleitung (Teil 5)
Es gibt zwei Aufgaben in diesem Abschnitt, aber wir untersuchen sie Seite an Seite, da sich die Ergebnisse der einen auf die andere auswirkt und umgekehrt. Die beiden Aufgaben sind:
- Ausarbeitung, welche Komponenten Ihres „technischen Bereiches“ (d.h. Ihrer Systeme, Daten, Dienste und Netzwerke) für die Ziele Ihrer Organisation am kritischsten sind.
- Verständnis dafür, was Ihren technischen Bereich ausmacht, so dass Sie eine Ausgangsbasis schaffen können, die in Ihre Risikobewertungen und Ihre Abwehrmassnahmen einfliesst.
Während diese beiden Aufgaben getrennte Zwecke haben, müssen Sie einen Überblick Ihrer technischen Ausstattung haben, um zu verstehen, welche Teile davon geschäftskritisch sind. Gleichzeitig müssen Sie die Bereiche zu priorisieren, die der Baseline zugeordnet werden sollen, da dies für Ihren gesamten technischen Bereich zu tun eine sehr ressourcenintensive Aufgabe wäre.
Was sollte die Geschäftsleitung tun?
Finden Sie heraus, was Ihnen am wichtigsten ist.
Wie bei allen anderen Geschäftsrisiken wird Ihr Unternehmen nicht in der Lage sein, alle Cyber-Sicherheitsrisiken zu jeder Zeit zu minimieren. Daher muss die Geschäftsleitung wichtige Ziele kommunizieren (es könnte z.B. sein, „Kunden und Klienten einen guten Service zu bieten“), damit sich die technischen Experten auf den Schutz der Dinge konzentrieren können, die sicherstellen, dass diese Ziele erreicht werden.
Die Geschäftsleitung sollte auch prüfen, was für das Unternehmen am wertvollsten ist. So könnte die Geschäftsleitung beispielsweise wissen, dass ein bestimmter Partner für die Organisation entscheidend ist und dass eine Kompromittierung seiner Daten katastrophal wäre. Dies sollte den technischen Teams mitgeteilt werden, damit sie dem Schutz dieser „Kronjuwelen“ Priorität einräumen können.
Es ist sehr wichtig, dass es sich um eine aktive und kontinuierliche Diskussion zwischen der Geschäftsleitung und ihren Experten handelt:
- Die Geschäftsleitung wird Geschäftseinblicke haben, die technische Teams möglicherweise nicht haben (z.B. welche Partnerbeziehung priorisiert werden muss).
- Technische Teams haben Wissen über die Treiber für Schlüsselziele (z.B. welche Netzwerke oder Systeme bestimmte Partner nutzen).
Nur wenn man diese beiden zusammenbringt, kann man sich ein vollständiges Bild davon machen, was es zu schützen gilt. Sobald Sie dieses Bild haben, ist es wahrscheinlich, dass die Geschäftsleitung innerhalb dieser Liste noch Prioritäten setzen muss. Dieses Verständnis wird nicht nur dazu beitragen, das Ziel Ihrer Cybersecurity zu fokussieren, sondern auch die Einschätzung der Bedrohung, der Ihr Unternehmen ausgesetzt sein könnte, beeinflussen.
Was sind Ihre Kronjuwelen?
Ihre Kronjuwelen sind die Dinge, die für Ihre Organisation am wertvollsten sind. Sie könnten wertvoll sein, weil Sie ohne sie einfach nicht funktionieren könnten, oder weil ihre Kompromittierung Reputationsschäden verursachen würde, oder es zu finanziellen Verlusten führen würde. Einige Beispiele könnten sein:
- umfangreiche personenbezogene Daten
- geistiges Eigentum
- Ihre öffentlich zugängliche Website
- industrielle Steuerungssysteme
Was sollte Ihre Organisation tun?
Finden Sie heraus, wo Sie anfangen.
Dies liefert Informationen, die Ihre Risikoentscheidungen auf zweierlei Weise unterstützen.
Erstens beeinflusst es die Optionen, die Sie haben. Zu wissen, welche Systeme miteinander verbunden sind, wer und was Zugang zu bestimmten Daten hat und wem welche Netzwerke gehören, ist entscheidend für den Aufbau einer guten Verteidigung. Diese Informationen werden auch bei einem Vorfall benötigt, um eine Bewertung des Schadens, den ein Angreifer verursachen könnte, oder der Auswirkungen von Abhilfemassnahmen, die Sie ergreifen könnten, vorzunehmen.
Zweitens könnte es Ihre Risikobewertung beeinflussen. Manchmal kommt ein Risiko nicht von einer Bedrohung eines wichtigen Vermögenswertes, sondern von einer Schwachstelle in den Systemen Ihres Unternehmens. Viele Vorfälle sind das Ergebnis von Schwachstellen in älteren und Legacy-Systemen, und die Vorfälle entstehen nicht, weil die Schwachstelle nicht abgewehrt werden kann, sondern weil die Organisation nicht über ein ausreichendes Verständnis ihrer Systeme verfügte, um zu erkennen, dass sie gefährdet waren.
Das Verständnis der Gesamtheit Ihrer technischen Landschaft kann eine gewaltige oder unmögliche Aufgabe sein – insbesondere für Organisationen, deren Netzwerke und Systeme organisch gewachsen sind – aber auch nur ein grundlegendes Verständnis wird helfen, und ein gutes Verständnis Ihrer Prioritäten kann helfen, diese Aufgabe zu fokussieren.
Identifizierung kritischer technischer Vermögenswerte
Basierend auf den Prioritäten der Geschäftsleitung müssen Sie ermitteln, welche Teile des technischen Bereichs für die Erreichung der obersten Ziele entscheidend sind. Dies können Systeme, Daten, Netzwerke, Dienste oder Technologien sein. So kann beispielsweise die Pflege eines langfristigen Kundenstamms ein vorrangiges Ziel sein. Es gibt viele Möglichkeiten, wie eine gute Cybersecurity dies ermöglichen könnte. Es könnte sein:
- Sicherung einer Kundendatenbank zum Schutz ihrer Daten
- Sicherstellung der Ausfallsicherheit des Auftragsabwicklungssystems, um sicherzustellen, dass die Lieferungen pünktlich erfolgen.
- Sicherstellung der Verfügbarkeit der Website, damit Kunden Sie problemlos kontaktieren können.
Es kann manchmal schwierig sein, diese Abhängigkeiten zu identifizieren, da sie ein so integraler Bestandteil Ihres Betriebs sind, dass sie als selbstverständlich angesehen werden können, aber die folgenden Fragen können helfen. Dies in Verbindung mit dem Baselining Ihrer IT-Landschaft zu tun, wird auch dazu beitragen, potenziell Vermögenswerte zu identifizieren, die Ihnen nicht einmal bekannt waren und die für die Bereitstellung bestimmter Dienstleistungen tatsächlich entscheidend sind.
Zusammenarbeit mit Lieferanten und Partnern
Die meisten Unternehmen haben Lieferanten oder Partner, mit denen sie Informationen, Systeme oder Dienstleistungen erhalten, bereitstellen oder teilen. Sie müssen dies in der Baseline Ihrer IT-Landschaft berücksichtigen, da dies potenzielle Einstiegspunkte in Ihre Organisation sind.
Cybersecurity: Was wäre ein gutes Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity ausmacht, wenn es darum geht, Ihre Ausgangslage zu ermitteln und herauszufinden, was Ihnen am wichtigsten ist.
Frage 1
Haben wir als Unternehmen ein klares Verständnis dafür, wie technische Systeme, Prozesse oder Vermögenswerte zur Erreichung unserer Ziele beitragen?
Einige Fragen, die dabei helfen können, diese Abhängigkeiten zu identifizieren:
- Was sind unsere „Kronjuwelen“ (d.h. die Dinge, ohne die unsere Organisation nicht überleben könnte)?
- Welche Anforderungen müssen wir erfüllen (z.B. gesetzliche oder vertragliche Anforderungen)?
- Was wollen wir nicht, dass es passiert, wie könnte es passieren?
Frage 2
Haben wir als Geschäftsleitung unsere vorrangigen Ziele klar kommuniziert und haben wir die Gewissheit, dass diese Prioritäten unsere Bemühungen um Cybersecurity leiten?
Die Cyber-Sicherheitsstrategie sollte in die Strategie Ihrer Organisation integriert werden, und Ihre strategischen Prioritäten sollten die Abwehrmassnahmen leiten. Eine gute Organisation sollte über einen Prozess verfügen, um sicherzustellen, dass diese Strategien aufeinander abgestimmt bleiben, und sollte in der Lage sein zu zeigen, wie die Investitionen auf diese Prioritäten ausgerichtet sind.
Wenn zum Beispiel ein Versprechen an Kunden über ihre Privatsphäre eine Priorität ist, dann könnten Sie Folgendes tun:
- festzustellen, was dieses Versprechen gefährden könnte, z.B. der Verlust ihrer Kreditkartendaten.
- festzustellen, welche technischen Mittel erforderlich sind, um diese Daten zu schützen, z.B. Datenbank, Zugangsmanagementsystem.
- bei der Umsetzung von Cybersicherheitsmassnahmen die Verteidigung dieser Vermögenswerte in den Vordergrund zu stellen.
- regelmässige Auditierung der Massnahmen
Frage 3
Wie identifizieren und verfolgen wir als Unternehmen Systeme, Daten oder Dienstleistungen, für die wir verantwortlich sind?
Wenn Sie eine grosse Organisation sind und Ihre Systeme organisch gewachsen sind, kann es unpraktisch sein, die Details Ihrer Systeme, Geräte und Netzwerke zu verstehen. Mindestens sollten Sie sich darüber im Klaren sein, welchen Grad an Verständnis Sie haben und welche potenziellen Risiken sich aus undokumentierten Systemen ergeben können. Im Idealfall beginnen Sie mit einer guten Vorstellung davon beginnen, wie Ihre IT-Landschaft aussieht, und haben dann einen Prozess, um sicherzustellen, dass alle Änderungen berücksichtigt und aufgezeichnet werden, um die Baseline auf dem neuesten Stand zu halten. Diese Baseline kann Informationen beinhalten wie z.B.:
- Inventarisierung der in der gesamten Organisation verwendeten Hard- und Software
- ein aktuelles Verzeichnis der Systeme, einschliesslich aller mit dem Internet verbundenen, partnerseitig gerichteten Systeme und Netzwerke.
- Details zu Datensätzen; welche Dienste, Systeme und Benutzer haben Zugriff auf sie, wo werden sie gespeichert, wie werden sie verwaltet.
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/