OT-Systeme und IoT-Geräte schützen

Cybersecurity geht alle an (Kapitel 4)


06/2019

 

Generalaufgaben für Finanzen und Verwaltung

 

Cybersecurity-Generalaufgaben: Unterstützung aller Funktionen innerhalb des Unternehmens bei der Planung, Prognose, Buchhaltung, Transaktionen und Verwaltung

 

Was Finanzen und Verwaltung in mehr Detail machen
Wenn Sie an der Verwaltung der Finanzen des Unternehmens beteiligt sind, von der Planung und Budgetierung über die Buchhaltung bis hin zur Abwicklung von Transaktionen, gilt dieser Abschnitt Ihnen.

 

Sie sind dafür verantwortlich, dass jeder Teil des Unternehmens in der Lage ist, für Waren und Dienstleistungen zu bezahlen, innerhalb eines Budgets zu arbeiten, Einnahmen und Ausgaben zu verfolgen und Geschäfte mit externen Einheiten - von Kunden bis Lieferanten - zu tätigen. Sie können auch administrative Unterstützung für die Planungs- und Governance-Funktion leisten oder den Bürobetrieb verwalten.
Diese Funktion umfasst alle Personen, die in diesen Bereichen eine Vollzeitbeschäftigung ausüben, gilt aber auch für alle Führungskräfte, Manager und Mitarbeitenden, die sich mit Finanz- und Verwaltungsangelegenheiten befassen, also fast alle.

 

In vielen Fällen beinhaltet die Funktion Finanzen und Verwaltung das unternehmensweite Risikomanagement mit den dazugehörigen Prozessen und die Personalberichterstattung an einen Chief Financial Officer (CFO) oder eine ähnliche Funktion. Auch interne Audit- und Compliance-Funktionen können einbezogen werden.

 

Sie sind für das Unternehmen wichtig, denn ohne die Fähigkeit, die finanzielle Gesundheit aufrechtzuerhalten, wesentliche Transaktionen durchzuführen, Geschäftsrisiken zu managen und die Planungs- und Governance-Funktion zu unterstützen, ist der Geschäftsbetrieb gefährdet.

 

Die Rolle von Finanzen und Verwaltung bei der Cybersecurity beinhaltet:

  1. Integration von Cyberrisiken in den Risikomanagementprozess des Unternehmens
  2. Ressourcenbeschaffung für Cybersecurity-Initiativen im Einklang mit der Sicherheitsstrategie und im Gleichgewicht mit anderen IT-Investitionen
  3. Wahrung der Vertraulichkeit und Integrität sensibler Finanzinformationen, um die Sicherheit und Einhaltung der geltenden Richtlinien zu gewährleisten

 

Was Finanz- und Verwaltungsfachleute tun sollten:

  • Sicherstellen, dass Cyberrisiken in den Risikomanagementprozess des Unternehmens integriert werden
    • Identifizieren Sie cyberbezogene Risiken für das Unternehmen im Risikomanagementprozess frühzeitig und nicht als separate Aktivität oder spätere Ergänzung
    • Verstehen Sie die vielen verschiedenen geschäftlichen Auswirkungen von Cyber-Bedrohungen, die von Geschäftsunterbrechungen und Reputationsverlust bis hin zu gesetzlicher Haftung und Sachschäden reichen
  • Bereitstellung ausreichender Mittel, um den Erfolg der Cybersecurity-Strategie des Unternehmens zu ermöglichen
    • Verweisen Sie auf die Sicherheitsstrategie des Unternehmens und externe Best Practice-Frameworks, um die Priorisierung von Investitionen zu unterstützen
    • Zusammenarbeit mit Cybersecurity-Managern, um zu verstehen, wie ihre Ressourcenanforderungen mit der Strategie übereinstimmen (was wiederum mit dem Risikomanagement des Unternehmens übereinstimmen sollte); Unterscheidung zwischen Must-Haves und Nice-to-Haves
    • Entwicklung einer vollständigen Übersicht über die sicherheitsrelevanten Ausgaben, die oft auf mehrere Funktionsbereiche und Budgetpost verteilt sind
  • Zusammenarbeit mit anderen Unternehmensfunktionen für die Planung von Notfallausgaben
    • Im Falle eines Cybervorfalls sollten die Reaktionspläne für Vorfälle auch den Kauf der benötigten Geräte oder Dienstleistungen umfassen
    • Lieferanten und Auftragnehmer sollten bereits überprüft worden sein, wenn ein solcher Vorfall eintritt
    • Für den Verlust von Finanzsystemen sollten Notfallpläne erstellt werden, um bei minimaler Unterbrechung die Kontinuität zu gewährleisten
    • Erwägen Sie den Abschluss einer Cyber-Risikoversicherung, um die finanziellen Auswirkungen von Sicherheitsvorfällen auszugleichen
    • Sicherstellen, dass der Notfallplan Ausgleichsleistungen für die betroffenen Parteien umfasst, wie z.B. Kreditüberwachungsdienste
  • Zusammenarbeit mit den Bereichen Recht und Compliance sowie IT, um sicherzustellen, dass Verträge mit Dritten Klauseln für eine wirksame Überwachung der Cybersecurity der Lieferanten, die Benachrichtigung über Vorfälle und die Einhaltung relevanter branchenspezifischer und staatlicher Richtlinien und Vorschriften enthalten
  • Definition des angemessenen Ausgleichs der Ressourcenallokation zwischen Geschäftsbetrieb, Geschäftsverbesserung und Geschäftssicherung
    • Während erstere eine engere Ausrichtung an den Unternehmenszielen und -leistungen aufweisen können, führt eine übereilte Umsetzung oft zu neuen Risiken
    • Bei richtiger Anwendung können Verbesserungen im IT-Betrieb auch die Sicherheit und Compliance verbessern, da viele grundlegende Sicherheitskontrollen (z.B. wie Asset Profiling, Vulnerability Management, Konfigurations- und Patch-Management sowie Access Management) für eine gut funktionierende IT-Umgebung unerlässlich sind
  • Schützen Sie die finanzielle Tragfähigkeit und Reputation des Unternehmens, indem Sie die Einhaltung von Gesetzen, Vorschriften, Regeln, Standards und Richtlinien (sowohl extern als auch intern) sicherstellen
    • Verständnis der regulatorischen Anforderungen im Zusammenhang mit Finanzinformationen
    • Unterstützung der Bemühungen des Cybersecurity-Teams zur Sicherung der Systeme, die von diesen Anforderungen betroffen sind
  • Schützen Sie sensible strategische, finanzielle, rechtliche und risikobezogene Informationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie Verschlüsselung, Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
  • Schützen Sie den Zugriff auf jede Online-Datenaustauschplattform oder Plattformen zur Entscheidungsunterstützung, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung

 

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

 

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK