Fünf Möglichkeiten für zukunftssichere Informationssicherheitsprozesse

Von DDoS bis zum IP-Diebstahl fordern Cyberangriffe ihren Tribut von Unternehmen.  Immer mehr Unternehmen erkennen die potenzielle Auswirkung auf das Geschäftsergebnis und sind daher bereit, Cyberrisiken zu managen. Die Umfrage Global State of Information Security® 2014 zeigt, dass führende Unternehmen „Sicherheitsfunktionen auf eine Weise verbessern, die verdeutlicht, dass Sicherheit inzwischen nicht mehr nur eine IT-Herausforderung, sondern geschäftlich unabdingbar ist.“ Laut der Umfrage sind die durchschnittlichen Verluste durch Incidents im letzten Jahr um 18 % gestiegen, wobei umfangreiche Verluste schneller angestiegen sind als geringere. Damit Unternehmen Innovationen fördern und wachsen können, müssen sie Cyberrisiken also proaktiver managen.

Welche Verantwortungen tragen Sicherheitsteams, wenn das Unternehmen ein höheres Sicherheitsniveau erreichen möchte? Sie müssen formalisierte, konsistente Sicherheitsprozesse etablieren, die sich in kritische Geschäftsprozesse integrieren lassen. Sicherheitsteams müssen in enger Zusammenarbeit mit dem Unternehmen Ziele setzen, über Risiken informieren und Lösungen kommunizieren. Dazu ist ein Verständnis dafür erforderlich, wie Informationen im Geschäftsbetrieb verwendet werden und wie kritische Geschäftsprozesse vollständig optimal geschützt werden können.

Das SBIC weist schon länger auf die Notwendigkeit für Unternehmen hin, Cyberrisiken proaktiv zu managen. Unser neuester Bericht konzentriert sich auf die Optimierung der Sicherheitsprozesse und unterstreicht die Tatsache, dass die Ad-hoc-Prozesse aus der Zeit der Checklisten und der perimeterbasierten Sicherheit für das Management aktueller Cyberrisiken nicht mehr ausreichen.  In dem Bericht – Future-Proofing Processes (Zukunftssichere Prozesse) – werden einige der problematischsten Ergebnisse unzeitgemäßer Sicherheitsprozesse verdeutlicht:

  • Die Verwendung technischer Fachbegriffe zur Risikobewertung erschwert die Abgabe von Empfehlungen an Führungskräfte.
  • Komplizierte manuelle Methoden zur Verfolgung von Risiken sind nicht im Sinne des Unternehmens.
  • Zeitpunktbasierte, punktuell erfolgende Kontrollbewertungen sind nicht mehr ausreichend.
  • Das System für Sicherheitsbewertungen und Beaufsichtigung von Drittanbietern muss schnell verbessert werden.
  • Fortschritte zur aussagekräftigen Erfassung und Analyse von Bedrohungsdaten sind erforderlich.

Die fünf Empfehlungen aus dem Bericht bieten Anhaltspunkte beim Aktualisieren bestehender Prozesse, beim Entwerfen neuer Prozesse und beim Weiterentwickeln der Verfahren zur Verbesserung von Programmen zur Informationssicherheit. Dazu gehören:

  1. Verlagerung des Schwerpunkts von technischen Ressourcen auf kritische Geschäftsprozesse: Beginnen Sie mit dem Dokumentieren der Prozesse und überlegen Sie, wie die kritischsten Geschäftsprozesse vollständig geschützt werden können.
  2. Einführung von Schätzungen zu den Cyberrisiken im Unternehmen: Entwickeln Sie Szenarios zur Abschätzung der Wahrscheinlichkeit und Auswirkung von Incidents und verfeinern Sie entsprechende Verfahren zur Risikobewertung durch die Prognose finanzieller Verluste.
  3. Einführung eines unternehmensorientierten Risikobewertungsprozesses: Nutzen Sie automatisierte Tools, um Risiken zu verfolgen und Rechenschaft ablegen zu können.
  4. Einrichtung beweisbasierter Kontrollen: Erfassen Sie relevante Daten, um die Wirksamkeit von Kontrollmechanismen für interne und externe Bewertungen fortlaufend überprüfen zu können.
  5. Entwicklung fundierter Datenerfassungsmethoden: Untersuchen Sie die Arten von Fragen, die sich mithilfe von Datenanalysen beantworten lassen, und entwickeln Sie entsprechende Datenanwendungsfälle.

Da Informationssicherheitsteams mit immer höheren Anforderungen und Erwartungen konfrontiert werden, kann die Überarbeitung wichtiger Prozesse zu positiven Veränderungen führen. Wir sind zuversichtlich, dass diese Leitlinien Ihrem Unternehmen dabei helfen können, sich näher mit veränderungswürdigen Prozessen zu beschäftigen.

 „Angesichts der Entwicklungen in Wirtschaft, Technologie und in der Bedrohungslandschaft steht die Funktion der Informationssicherheit im Rampenlicht. Auch sie muss sich weiterentwickeln, damit Unternehmen weiterhin erfolgreich sein können. Als Fachkräfte haben wir die einzigartige Chance, unsere Sicherheitsprozesse wirklich innovativ zu gestalten.“

Roland Cloutier, Vice President, Chief Security Officer, Automatic Data Processing, Inc.

 

No Comments