Was die Chefs über die Zukunft der Cyber-Sicherheit wissen müssen

Was die Chefs über die Zukunft der Cyber-Sicherheit wissen müssen

03/2019

Echtes Verstehen ist unabdingbar. Jetzt müssen Sie auf Risiken und die Auswirkungen auf Ihr Unternehmen reagieren.

 

Bis vor kurzem erhielten die Chief Executive Officers (CEOs) Informationen und Berichte, die sie ermutigten, Informationen und Cybersicherheitsrisiken zu berücksichtigen. Nicht alle von ihnen verstanden es jedoch, auf diese Risiken und die Auswirkungen auf ihre Unternehmen zu reagieren. Ein gründliches Verständnis dessen, was passiert ist und warum es notwendig ist, die zugrunde liegenden Risiken richtig zu verstehen und darauf zu reagieren, ist für den CEO und alle Mitglieder des VR eines Unternehmens im heutigen globalen Geschäftsklima erforderlich. Ohne dieses Verständnis können Risikoanalysen und daraus resultierende Entscheidungen fehlerhaft sein, was dazu führt, dass Unternehmen ein grösseres Risiko eingehen als geplant.

Nach der Überprüfung der aktuellen Bedrohungslandschaft möchte ich besonders auf vier Bereiche der Informationssicherheit hinweisen, mit denen alle CEOs im täglichen Betrieb ihres Unternehmens vertraut sein müssen.

Risikomanagement

Cyberspace ist ein zunehmend attraktiveres Jagdrevier für Kriminelle, Aktivisten und Terroristen, die motiviert sind, Geld zu verdienen, aufzufallen, Störungen zu verursachen oder sogar Unternehmen und Regierungen durch Online-Angriffe zu Fall zu bringen. In den letzten Jahren haben wir gesehen, wie Cyberkriminelle ein höheres Mass an Zusammenarbeit untereinander demonstrierten und ein Mass an technischer Kompetenz, das viele grosse Unternehmen unerwartet überrascht hat.

CEOs müssen auf das Unvorhersehbare vorbereitet sein, damit sie die Widerstandsfähigkeit haben, unvorhergesehenen, schwerwiegenden Ereignissen standzuhalten. Cyberkriminalität, zusammen mit der Zunahme der Online-Ursachen (Hacktivismus), der Anstieg der Compliance-Kosten, um mit dem Anstieg der regulatorischen Anforderungen fertig zu werden, gepaart mit dem unerbittlichen Fortschritt der Technologie vor dem Hintergrund, dass zu wenig in Sicherheitsabteilungen investiert wird, kann alles zusammen den perfekten Bedrohungssturm verursachen. Unternehmen, die herausfinden, worauf das Unternehmen am meisten angewiesen ist, sind gut positioniert, um den Business Case zu quantifizieren und in Resilienz zu investieren, wodurch die Auswirkungen unvorhergesehener Ereignisse minimiert werden.

Rufschädigung vermeiden

Angreifer sind organisierter geworden, Angriffe sind ausgefeilter geworden, und alle Bedrohungen sind gefährlicher und stellen mehr Risiken für den Ruf eines Unternehmens dar. Darüber hinaus haben sich die Markenreputation und die Vertrauensdynamik bei Lieferanten, Kunden und Partnern als sehr reale Ziele für den Cyberkriminellen und Hackaktivisten erwiesen. Angesichts der Geschwindigkeit und Komplexität der Bedrohungslandschaft, die sich täglich ändert, erleben wir allzu oft, dass Unternehmen zurückbleiben, manchmal als Folge von Reputations- und finanziellen Schäden.

CEOs müssen sicherstellen, dass sie auf diese ständig wachsenden Herausforderungen bestens vorbereitet sind, indem sie ihre Unternehmen besser für Angriffe auf ihren Ruf rüsten. Dies mag offensichtlich erscheinen, aber je schneller Sie auf diese Angriffe auf die Reputation reagieren können, desto besser sind Ihre Ergebnisse.

Die Lieferkette sichern

Wenn ich nach Schlüsselbereichen suche, in denen die Informationssicherheit möglicherweise fehlt, komme ich immer wieder auf die Lieferkette zurück. Lieferketten sind das Rückgrat der heutigen Weltwirtschaft, und Unternehmen sind zunehmend besorgt über das Management grösserer Lieferkettenstörungen. Zu Recht sollten sich CEOs Gedanken darüber machen, wie offen ihre Lieferketten für verschiedene Risikofaktoren sind. Unternehmen müssen sich jetzt auf die am stärksten gefährdeten Stellen in ihren Lieferketten konzentrieren. Die unglückliche Realität des heutigen komplexen globalen Marktes besteht darin, dass nicht jeder Sicherheitskompromiss im Voraus verhindert werden kann.

Proaktiv zu sein bedeutet jetzt auch, dass Sie - und Ihre Lieferanten - besser in der Lage sein werden, schnell und intelligent zu reagieren, wenn etwas passiert. In extremen, aber durchaus möglichen Szenarien kann diese Bereitschaft und Widerstandsfähigkeit Wettbewerbsfähigkeit, finanzielle Gesundheit, Aktienkurs oder sogar das Überleben des Unternehmens bestimmen.

Sensibilisierung der Mitarbeitenden und Verhaltensänderungen

Unternehmen investieren weiterhin stark in die "Entwicklung des Humankapitals". Keine Rede des CEOs oder kein Jahresbericht wäre vollständig, ohne seinen Wert zu verdeutlichen. Die implizite Idee dahinter ist, dass Bewusstsein und Training immer eine Art Wert liefern, ohne dass man es beweisen muss - die Zufriedenheit der Mitarbeiter wurde als ausreichend angesehen. Dies ist nicht mehr der Fall. Die heutigen CEOs fordern oft Return on Investment-Prognosen für die Projekte, zwischen denen sie wählen müssen, und Sensibilisierung und Training bilden da keine Ausnahme. Die Bewertung und Demonstration ihres Wertes wird zu einem unternehmerischen Gebot. Leider gibt es keinen einzigen Prozess oder keine Methode, um eine Änderung des Verhaltens der Informationssicherheit einzuführen, da Unternehmen in ihrer Demografie, ihren bisherigen Erfahrungen, Erfolgen und Zielen so unterschiedlich sind.

Während viele Unternehmen Compliance-Aktivitäten durchführen, die unter den allgemeinen Begriff "Sicherheitsbewusstsein" fallen, sollte der eigentliche kommerzielle Treiber das Risiko sein und wie neue Verhaltensweisen dieses Risiko reduzieren können. Die Zeit ist reif und die Chance, vom Bewusstsein zum konkreten Verhalten überzugehen, war noch nie so gross. CEOs sind zunehmend cybertauglich geworden, und Aufsichtsbehörden und Interessengruppen drängen kontinuierlich auf eine stärkere Governance, insbesondere im Bereich des Risikomanagements. Der Übergang zu einer Verhaltensänderung wird dem CISO die nötige Munition zur Verfügung stellen, um positive Antworten auf Fragen zu geben, die wahrscheinlich vom CEO und anderen Mitgliedern des Senior Management Teams gestellt werden.

Vermeiden möglicher Sicherheitsstolpersteine

Unternehmen jeder Art und Grösse agieren in einer zunehmend Cyber-fähigen Welt, und das traditionelle Risikomanagement ist nicht agil genug, um mit den Risiken aus Aktivitäten im Cyberspace umzugehen. Das Risikomanagement im Unternehmen muss erweitert werden, um Risikobeständigkeit zu schaffen, die auf einer Grundlage der Vorsorge basiert, die die Bedrohungsvektoren aus einer Position der Geschäftsakzeptanz und des Risikoprofils bewertet.

Unternehmen haben ein unterschiedliches Mass an Kontrolle über sich entwickelnde Sicherheitsbedrohungen, und da sich die Geschwindigkeit und Komplexität der Bedrohungslandschaft täglich ändert, sehe ich viel zu oft, wie Unternehmen zurückbleiben, manchmal im Zuge von Reputations- und finanziellen Schäden. CEOs müssen jetzt die Führung übernehmen und Bilanz ziehen, um sicherzustellen, dass ihre Unternehmen besser vorbereitet und engagiert sind, um mit diesen ständig wachsenden Herausforderungen umzugehen.

 

Infosecisland.com; Steve Durbin; 14.02.2019
http://infosecisland.com/blogview/25172-What-CEOs-Need-to-Know-About-the-Future-of-Cybersecurity.html

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung