Eine Einführung für die Geschäftsleitung (Teil 9)
Es gibt vier Gründe, warum Cybersecurity eine wichtige Rolle bei der Zusammenarbeit mit Lieferanten und Partnern spielt:
- Sie erhöhen die Anzahl der Routen und externen Berührungspunkte in Ihrer Organisation. Wenn also einer von ihnen gefährdet ist, sind auch Sie in Gefahr.
- Sie können als Zugang in die Organisation, die Sie beliefern, gezielt angesprochen werden.
- Ihre Lieferanten können als Zugang in Ihr Unternehmen gezielt angesprochen werden.
- Möglicherweise geben legen Sie sensible oder wertvolle Daten oder Informationen offen, die von Lieferanten geschützt werden sollten.
Der Nachweis eines guten Cybersicherheitsniveaus ist zunehmend ein wichtiger Bestandteil von Liefer- und Dienstleistungsverträgen und ist bereits Voraussetzung für viele Regierungsaufträge.
Cybersecurity: Was sollte die Geschäftsleitung tun?
Integrieren Sie Cybersecurity in jede Entscheidung
Alle Organisationen werden eine Beziehung zu mindestens einer anderen Organisation haben, sei es der Anbieter Ihres E-Mail-Dienstes oder die Entwickler der von Ihnen verwendeten Buchhaltungssoftware bis hin zu Ihrer traditionellen Beschaffungslieferkette. Die meisten Unternehmen werden auf mehrere Beziehungen angewiesen sein. Jede dieser Beziehungen hat ein gewisses Mass an verbundenem Vertrauen, normalerweise eine Form des Zugriffs auf Ihre Systeme, Netzwerke oder Daten. Es gibt drei wesentliche Dinge, die Sie daher sicherstellen müssen:
- Dass dieser Zugriff für einen Angreifer keinen Weg darstellt, um Zugang zu Ihrer Organisation zu erhalten, entweder durch vorsätzliches Handeln oder unbeabsichtigte Folge.
- Dass ein Partner oder Lieferant mit sensiblen Daten angemessen und sicher umgeht.
- Dass jedes Produkt oder jede Dienstleistung, die Sie kaufen, über die entsprechende Sicherheit verfügt.
Das Cyber-Sicherheitsrisiko sollte bei jeder Entscheidung über neue Beziehungen oder Kooperationen eine zentrale Rolle spielen. Dazu gehören Entscheidungen über Lieferanten, Anbieter, Fusionen, Übernahmen und Partner.
Cybersecurity: Was sollte Ihre Organisation tun?
Identifizieren Sie Ihr gesamtes Spektrum an Lieferanten und Partnern, welche Sicherheitsgarantien Sie von ihnen erwarten, und kommunizieren Sie dies klar und deutlich.
Überprüfen Sie Ihre aktuellen Lieferkettenvereinbarungen, um sicherzustellen, dass Sie Ihre Sicherheitsbedürfnisse klar darlegen und die daraus resultierenden Massnahmen identifizieren. Wenn Sie selbst Lieferant sind, stellen Sie sicher, dass Sie die von Ihrem Kunden für Sie festgelegten Sicherheitsanforderungen mindestens erfüllen.
Stellen Sie sicher, dass die von Ihnen festgelegten Sicherheitsanforderungen gerechtfertigt und verhältnismässig sind und den bewerteten Risiken für Ihren Betrieb entsprechen. Achten Sie auch auf den aktuellen Sicherheitsstatus Ihrer Lieferanten, um ihnen Zeit zu geben, die notwendigen Verbesserungen vorzunehmen.
Gewinnen Sie Sicherheit
Sicherheit sollte von Anfang an in alle Vereinbarungen integriert werden, und Sie sollten darauf vertrauen können, dass Ihre Sicherheitsbedürfnisse erfüllt werden. Abhängig von Ihrer Beziehung zum Lieferanten oder Anbieter und Ihren Ressourcen können Sie sich diese durch Prüfung, Auditierung oder Einhaltung von Akkreditierungsstandards sichern.
Berücksichtigen Sie die Auswirkungen, wenn Ihr Lieferant gefährdet ist
Unabhängig davon, wie umfassend Ihre Sicherheitsvereinbarungen mit Ihren Partnern sind und wie gut sie ihre Kontrollen umsetzen, sollten Sie davon ausgehen, dass Ihre Partner irgendwann gefährdet sein werden. Unter Berücksichtigung dieser Annahme sollten Sie die Sicherheit Ihrer Netzwerke, Systeme und Daten entsprechend planen. Das ist auch in Ihren Sicherheitsvereinbarungen zu berücksichtigen; was erwarten Sie von ihnen und ihrer Antwort? Müssen sie Sie benachrichtigen? Müssen sie Ihnen helfen, wenn Sie in Folge auch gefährdet sind?
Cybersecurity: Was wäre ein gutes Vorgehen?
Die folgenden Fragen können verwendet werden, um produktive Diskussionen mit Ihrem technischen Team zu führen. Ziel ist es, herauszufinden, was „gute“ Cybersecurity ausmacht, wenn es darum geht, die Cybersicherheitsmassnahmen Ihrer Organisation zu bewerten.
Frage 1
Wie können wir als Unternehmen die Risiken mindern, die mit dem Austausch von Daten und Systemen mit anderen Unternehmen verbunden sind?
Sie sollten:
- Haben Sie ein gutes Verständnis für Ihre Lieferanten, welche Daten und Netzwerke sie haben und haben Sie einen Prozess, um diese Informationen auf dem neuesten Stand zu halten.
- Setzen Sie klare Erwartungen daran, wie Ihre Partner Ihre Daten schützen und auf Ihre Systeme zugreifen.
- Sicherheit in alle Beziehungen und Vereinbarungen von Anfang an integrieren.
Um dies zu tun, können Sie:
- Wenn Sie eine sehr grosse Anzahl von Supply-Chain-Unternehmen haben, vereinbaren Sie mit Ihren Hauptlieferanten Prozesse darüber, wie sie alle Arbeiten untervergeben, insbesondere welche Verpflichtungen sie haben, Sie zu informieren.
- Wählen Sie Organisationen, die die Sicherheit ihrer Sicherheitsmassnahmen nachweisen können. So werden beispielsweise grössere Unternehmen regelmässig Pen-Tests durchgeführt und auf die Ergebnisse reagiert haben, um ihre verbleibenden Schwachstellen zu verstehen.
- Beschränken Sie die mit anderen Organisationen ausgetauschten Dienste und Informationen auf das erforderliche Minimum.
- Implementieren Sie Benutzer- und System-Authentifizierung und -Autorisierung, bevor der Zugriff gewährt wird.
- Auditieren Sie alle sensiblen Aktionen oder den Datenaustausch/Zugriff.
Frage 2
Wie stellen wir als Unternehmen sicher, dass die Cybersecurity bei jeder Geschäftsentscheidung berücksichtigt wird?
Sicherheit sollte in Ihre Kultur und Strategie eingebettet sein und daher bei jeder Entscheidung über Beschaffung, Fusionen oder Übernahmen bewusst berücksichtigt werden. Wenn es einen Prozess gibt, um diese Entscheidungen zu treffen, kann die Sicherheit explizit als relevante Gegenleistung identifiziert und alle Schlussfolgerungen festgehalten werden.
Frage 3
Sind wir als Unternehmen zuversichtlich, dass wir unsere Sicherheitsanforderungen als Lieferant erfüllen?
Wenn Sie ein Lieferant für andere Unternehmen sind, sind Sie einem erhöhten Risiko ausgesetzt. Sowohl ein Reputationsrisiko (wenn Ihr Produkt dazu führt, dass Ihr Kunde gefährdet wird) als auch ein operatives Risiko (da Sie jetzt Zugang zu mehr und potenziell wertvolleren Organisationen haben). Sie sollten:
- Wissen, wie Sie reagieren würden, wenn Ihr Unternehmen gefährdet wird, Partnernetzwerke, mit denen Sie verbunden sind, gefährdet werden oder Kundendaten, die Sie möglicherweise besitzen.
- Verstehen Sie Ihre Kunden und die Auswirkungen, die sie auf Ihr Bedrohungsprofil haben können
Frage 4
Haben wir als Geschäftsleitung eine klare Strategie für den Einsatz von Lieferanten und haben wir diese kommuniziert?
Wenn Beschaffungs- und Lieferantenentscheidungen unterhalb der Geschäftsleitung getroffen werden, beschreiben Sie klar:
- Welches Risiko sind Sie bereit, bei der Nutzung von Lieferanten einzugehen? Wenn beispielsweise Ihre Organisation durch einen Angriff auf die Lieferkette gefährdet ist, sind Sie möglicherweise nicht dem gleichen Reputationsrisiko ausgesetzt wie wenn Sie direkt gefährdet wären, aber Sie sind möglicherweise dem gleichen finanziellen Risiko ausgesetzt.
- Welche Erwartungen haben Sie an die Sicherheit der Lieferanten und wie viel sind Sie bereit, für eine bessere Sicherheit zu zahlen? Wenn beispielsweise Unternehmen A teurer, aber auch sicherer ist, wie viel billiger müsste Unternehmen B sein, um es zur besseren Option zu machen?
- Welche Chancen versuchen Sie zu nutzen? Dies sollte durch ein Bewusstsein dafür unterstützt werden, was Sie innerhalb Ihrer Organisation leisten können und was Sie auslagern werden. Wenn Sie beispielsweise der Meinung sind, dass es nicht möglich ist, Ihren eigenen Datenspeicher zu unterstützen, nutzen Sie dann die Vorteile des wettbewerbsorientierten Cloud-Datenspeichermarktes?
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/