Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Cybersecurity geht alle an (Kapitel 7)

Generalaufgaben für IT, Kommunikation und Netzwerk (ITC)

Cybersecurity-Generalaufgaben: Nutzung von Technologielösungen für Geschäftskonnektivität, Produktivität und wichtige Prozesse

Was die IT macht
Wenn Sie Technologielösungen für das Unternehmen definieren, entwickeln, testen, bereitstellen, unterstützen, warten und schützen, gilt das Folgende für Sie.

Sie sind verantwortlich für das „zentrale Nervensystem“ des Unternehmens, verwalten die Computersysteme und Netzwerke, die Entscheidungsfindung und Kommunikation ermöglichen, und übersetzen diese Inhalte dann in Prozesse, die das Unternehmen führen. Sie sind wahrscheinlich in die Interaktion mit Endbenutzern involviert, um deren Anforderungen zu erfassen und zu erfüllen. Sie können eng mit den Funktionen Personalwesen sowie Recht und Compliance zusammenarbeiten, um ein unternehmensweites Bewusstsein für und die Einhaltung von Cybersecurity-Richtlinien zu gewährleisten. Möglicherweise sind Sie auch an der Interaktion mit externen Anbietern für Technologieakquisition und -unterstützung beteiligt. Im Falle eines Cybersecurity-Vorfalls interagieren Sie wahrscheinlich mit Dienstleitstern, Strafverfolgungsbehörden und externen Cybersecurity-Organisationen.

Sie sind für das Unternehmen wichtig, weil Sie es jedem ermöglichen, zu kommunizieren, Daten zu erfassen, Informationen zu verarbeiten und die Systeme zu verwalten, von denen die Arbeit abhängt. Kritische Vermögenswerte, einschliesslich vertraulicher Informationen, geistiges Eigentum, Wettbewerbsvorteile und Kundendaten, können aufgrund Ihrer Rolle ordnungsgemäss genutzt und geschützt werden.

Die Rolle der Informationstechnologie in der Cybersecurity beinhaltet:

  1. Zurverfügungstellung von technischer Expertise für die Sicherheit von Informationssystemen und zugehörigen Technologieplattformen
  2. Implementierung und Aufrechterhaltung eines robusten mehrschichtigen Ansatzes für die Informationssicherheit des Unternehmens, der mit den besten Praktiken der Branche und den geltenden Vorschriften und Standards übereinstimmt
  3. Reaktion auf und Minderung von sicherheitsrelevanten Vorfällen

Was Informationstechnologie-Profis tun sollten:

  • Bereitstellung von technischem Fachwissen zur Unterstützung des Cybersecurity-Programms der Organisation
    • Sicherstellung des aktuellen Wissens über Tools, Techniken und Verfahren der Cybersecurity, einschliesslich sicherer Anwendungen und Plattformdesign
    • Cross-Training anderer IT-Funktionen mit Security-Funktionen, um ein breiteres Bewusstsein und mehr Kapazität zu schaffen
    • Proaktive Zusammenarbeit mit anderen Unternehmensfunktionen im gesamten Unternehmen
  • Implementierung eines robusten Cybersecurity-Programms mit geeigneten technischen und Prozesskontrollen im Einklang mit der Risikominderungsstrategie des Unternehmens
    • Nutzung von anerkannten Best Practice-Frameworks für die Cybersecurity
    • Verweisen Sie auf sichere Konfigurationsstandards von massgeblichen Stellen
    • Zusammenarbeit mit externen Stellen wie Beratern, Wirtschaftsprüfern, Berufsverbänden sowie Produkt- und Dienstleistungsanbietern, um die besten Werkzeuge für den Job zu finden
  • Integration von Security in IT-Design, Architektur, Bereitstellung und Routinebetrieb
    • Betrachten Sie Security im Voraus, nicht als nachträglichen Gedanken
    • Integrieren Sie Security in den gesamten Prozess der Anwendungsentwicklung, des Testens, der Bereitstellung, einschliesslich DevOps
    • Nutzung von Best Practices im IT-Betrieb zur Verbesserung der Security
  • Erstellung von und Unterstützung bei der Durchsetzung effektiver Security-Richtlinien für Mitarbeitende, Auftragnehmer und Lieferanten, die in Richtlinien für die zulässige Nutzung und anderen einschlägigen Normen festgelegt wurden, denen gegenüber sie zur Rechenschaft gezogen werden können
    • Enge Zusammenarbeit mit dem Top-Management, um die Unterstützung der Richtlinien zu gewährleisten
    • Anwendung des Grundsatzes der Aufgabentrennung für kritische Security-Aufgaben und den Umgang mit sensiblen Informationen
  • Erstellung, Überprüfung und Durchsetzung robuster Cloud Security-Richtlinien für das Unternehmen
    • Stellen Sie sicher, dass Cloud Service Provider das Security-Niveau bieten, das das Unternehmen benötigt
    • Verstehen Sie die Modelle der gemeinsamen Verantwortung, die mit der Nutzung von Cloud Services verbunden sind
    • Erstellung und Durchsetzung interner Security-Richtlinien für die Nutzung von Cloud Services
  • Schützen Sie den Zugriff auf jede Online-Datenaustausch- oder Entscheidungsunterstützungsplattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
    • Verwendung von Passwortmanagementsystemen oder -anwendungen
  • Schutz vertraulicher Unternehmensinformationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übermitteln
    • Sicherstellung einer redundanten Speicherung kritischer Informationen
  • Aufrechterhaltung eines hohen Masses an technischer Kompetenz in den für die Cybersecurity unerlässlichen Bereichen
    • Aktive Mitgliedschaft von Fachverbänden und Teilnahme an Konferenzen und Veranstaltungen
    • Anerkannte Weiterbildungen in relevanten Bereichen
    • Erlangung technischer Zertifizierungen in Cybersecurity-Bereichen

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ

Kategorie: Cybersecurity
© Swiss Infosec AG 2024