Das Cybersicherheitsrisikomanagement läuft auf drei Schlüsselfaktoren hinaus:
- Die Eintrittswahrscheinlichkeit eines Ereignisses;
- Die Schwere der Auswirkungen, wenn dieses Ereignis eintritt; und
- Alle mildernden Faktoren, die entweder die Wahrscheinlichkeit oder den Schweregrad verringern können.
Das war unser Fazit aus einer ausgezeichneten Podiumsdiskussion, die von unseren Partnern bei Cylance mit dem Titel Cut Through the Risk Confusion: Shedding Light on Common Security Misperceptions moderiert wurde.
Risikomanagement ist oft verwirrend, weil es nach Ansicht des Panels mit Subjektivität behaftet ist. Ein typisches Beispiel? Leitende Führungskräfte – General Counsel, CFO und CIO – haben alle unterschiedliche Vorstellungen von der Zusammensetzung des Risikos und den geeigneten Kontrollen.
Während sich die Diskussion darauf konzentrierte, wie diese Subjektivität durch Prozesse beseitigt werden kann, gaben die Diskussionsteilnehmer dabei einige hervorragende Tipps. Wir haben diejenigen artikuliert, die für uns unten herausstachen.
- 1) Selbst für Profis ist das Cyber-Risikomanagement schwierig.
- 2) Vielfalt in die Risikoperspektive einbeziehen.
- 3) Ein Gegenargument in Auftrag geben.
- 4) Ein strukturierter Risikomanagementprozess hilft beim „Managen“.“
- 6) Einfach „abschalten“ ist nicht immer die beste Lösung.
- 7) Übersetzen Sie Tech Speak in Business Talk.
- 8) Trends untersuchen und vorbereiten.
1) Selbst für Profis ist das Cyber-Risikomanagement schwierig.
Die Indikatoren des Risikos zu sehen, zu identifizieren und zu verstehen, ist für die meisten Menschen nicht selbstverständlich. Um diesen Punkt zu veranschaulichen, bemerkte ein Diskussionsteilnehmer, dass er die Risikoindikatoren verpasste, nachdem er neue Hartholztreppen in sein Haus gebracht hatte.
Trotz mehrerer Beschwerden von Gästen, dass die neue Treppe rutschig sei, suchte er erst nach einer Lösung, nachdem er ausgerutscht war und sich einen Knöchel gebrochen hatte, der operiert werden musste. Die Lösung war $ 50 Rolle Anti-Rutsch-Band.
Dies veranschaulicht den Zweck des Risikomanagements – und den Wert einer relativ kleinen vorbeugenden Investition im Vergleich zu den umfangreichen Kosten (und Schmerzen) für die Sanierung nach einem Ereignis.
2) Vielfalt in die Risikoperspektive einbeziehen.
Eine vielfältige Perspektive ist entscheidend für ein gutes Risikomanagement in der Cybersicherheit. Noch wichtiger ist, dass Meinungsverschiedenheiten keine Illoyalität sind. Die Untersuchung eines Problems aus verschiedenen Blickwinkeln verhindert Gruppendenken und das Überbewusstsein, das zu Lücken und Fehlern führen kann.
3) Ein Gegenargument in Auftrag geben.
Es ist nützlich, ein Mitglied oder ein Team mit der Aufgabe zu beauftragen, die gegenteilige Ansicht zu vertreten. Dies ist etwas anderes als Vielfalt in der Perspektive, da die Kommission absichtlich nach Lücken in einem Argument oder einer Idee sucht.
Wenn die Konsensansicht der Ansicht ist, dass ein Faktor ein geringes Risiko darstellt, lassen Sie jemanden einen Fall erstellen, dass er ein hohes Risiko darstellt, und umgekehrt. Das Gremium bezeichnete dies als „Stratifizierung des Dialogs“, um alle Optionen und potenziellen Auswirkungen zu sehen.
4) Ein strukturierter Risikomanagementprozess hilft beim „Managen“.“
Ein strukturiertes Risikoformat bringt organisatorische Disziplin in das Risikomanagement ein, die auch für das Management nachrichtengesteuerter Risiken nützlich ist. Das Panel nannte dies „Wall Street Journal Risk Management.“
Was bedeutet das? Ein Vorstandsmitglied liest eine Geschichte über Datenverlust an USB-Anschlüssen und sendet die Geschichte an den CEO. Der CEO wiederum sendet es an den CIO und plötzlich ist die Verhinderung von Datenverlust auf Netzwerk- und Hostebene die oberste Priorität für das Risikoteam. Folglich sind USB-Anschlüsse abgeschaltet, aber die Mitarbeiter haben weiterhin Zugriff auf kommerzielle Filesharing-Sites.
Ein strukturierter Prozess ermöglicht es dem Team, alle Optionen in Betracht zu ziehen, und bietet auch einen Rahmen für die diplomatische Verwaltung von Anfragen von Führungskräften auf der Grundlage von Nachrichtenereignissen. Geschichten sind eine kraftvolle und erstaunliche Art zu kommunizieren, aber Geschichten sind Datenpunkte, keine Daten.
5) Einige Risiken erscheinen nur interessanter als andere.
Jede Organisation, die echte Penetrationstests durchführt, wird wahrscheinlich zu dem gleichen Schluss kommen: Das rote Team wird hineinkommen. Dies bedeutet jedoch nicht, dass das Risiko, das ein rotes Team feststellt, ein reales Risiko darstellt.
Ein Diskussionsteilnehmer bemerkte beispielsweise ein rotes Team, das ein physisches Gerät im Netzwerk abgelegt hatte. Obwohl interessant, waren die Chancen, dass dies wirklich geschah, ziemlich gering. Dieses Phänomen kann die Risikoperspektive verzerren, unnötige Bedenken der Führungskräfte hervorrufen und zu einer Fehlallokation endlicher Ressourcen führen.
6) Einfach „abschalten“ ist nicht immer die beste Lösung.
Die Mitarbeiter eines Unternehmens waren während ihrer Ankündigungen in den sozialen Medien eher lautstark. Dies machte das Führungsteam aus offensichtlichen Compliance-Gründen nervös, so ein Diskussionsteilnehmer, der die Geschichte erzählte. Die Führung wollte einfach den Zugang zu Social-Media-Sites aus dem Unternehmensnetzwerk schließen.
Es war jedoch unwahrscheinlich, dass dies nach Einschätzung des Sicherheitsteams die Mitarbeiter daran hinderte, dasselbe vom Gastnetzwerk oder von persönlichen Geräten aus zu tun. Schlimmer noch, diese Aktion würde die Sichtbarkeit des Unternehmens einschränken, um die Aktivität zu überwachen; es würde immer noch passieren, sie würden es jetzt einfach nicht sehen.
Eine bessere oder zumindest aus Sicht des Risikomanagements erwägenswerte Lösung bestand darin, die Mitarbeiter einzubeziehen und das Verhalten durch Schulungen und Informationen zu gestalten.
7) Übersetzen Sie Tech Speak in Business Talk.
Der Cybersicherheitsbereich hat seinen fairen Anteil an Schlagworten, die das Unternehmen möglicherweise nicht versteht. Sicherheitsteams müssen sich dessen bewusst sein, wenn Peers aus anderen Funktionen an Sicherheitsgesprächen beteiligt sind.
Einer der Diskussionsteilnehmer erinnerte sich an eine Situation, in der das technische Team schädliche Software auf einem Backup-Laufwerk gefunden hatte. Die Wahrscheinlichkeit eines Risikos war gering, aber die Auswirkungen waren hoch, so dass das Gespräch eskaliert wurde, um andere Teammitglieder aus dem gesamten Unternehmen einzubeziehen. Dabei stellte sich heraus, dass das Unternehmen die Diskussion nicht verfolgte und daher nicht zur Risikobewertung beitragen konnte.
Der Diskussionsteilnehmer sagte, er habe schnell eine Analogie gefunden, um das vorliegende Datensicherungsproblem zu beschreiben: Wir versuchen, Menschen (Daten) von einem Punkt zum anderen zu bewegen. Wir haben ein Auto benutzt, um Leute abzuholen, aber wir können nicht sehen, wie viele Passagiere im Auto sind oder wie viele sicher am Ziel angekommen sind.
Eine gute Technik besteht darin, eine „Vordiskussion“ zu führen, bevor Sie mit anderen Geschäftspartnern sprechen, um sicherzustellen, dass die wichtigsten Punkte eher auf geschäftlicher als auf technischer Ebene präsentiert werden.
8) Trends untersuchen und vorbereiten.
Sicherheitsexperten haben in vielerlei Hinsicht die Aufgabe, zukünftige Trends vorherzusagen und Pläne zur Erstellung von Notfallplänen aufzustellen. Zum Beispiel ist es nicht schwer vorherzusagen, dass Ransomware sich intensivieren und sich auf die Datenvernichtung konzentrieren wird.
Wenn Sie diesen Trend und die Kosten verstehen, können Sie im Falle eines Vorfalls die Geschäftsoptionen artikulieren. Das Unternehmen kann sich weigern, das Lösegeld zu zahlen und eine Woche oder mehr Einnahmen zu verlieren, während ES daran arbeitet, Systeme in Betrieb zu nehmen. Oder es kann die Möglichkeit haben, das Lösegeld in Bitcoin zu zahlen, das bereits festgelegt ist, falls das Unternehmen diese Option verfolgt – wie es einige Unternehmen tun.
Cybersicherheit ist „erstaunlich kompliziert“ und je sicherer Sie sich einer Antwort sicher sind, desto besorgter sollten Sie sich fühlen. Ein rigoroser Prozess zur Analyse von Cyberrisiken wird einen großen Beitrag zur Erfüllung des Sicherheitsziels der Geschäftssicherheit leisten. Eine vollständige Aufzeichnung dieser Podiumsdiskussion ist über Cylance unter dem oben angegebenen Link verfügbar.
Wenn Ihnen dieser Beitrag gefallen hat, gefällt Ihnen vielleicht auch:
Cyberthreat Evolution verlagert den Schwerpunkt auf proaktive Erkennung und Prävention
Bildnachweis: (CC0 1.0)
