Governance der Cybersicherheit: Wie wird sie eingeführt?

Bei der Cybersicherheits-Governance geht es vor allem um die Befugnis der Unternehmensleiter, Entscheidungen im Zusammenhang mit der Cybersicherheitspolitik zu treffen.

Laut dem neueste Forschungsergebnisse von CESIN (Französischer Club der Experten für Information und digitale Sicherheit), eine Mehrheit der Exekutivausschüsse ist nun bereit, Onlinesicherheit an vorderster Front ihrer Governance-Strategie. Es versteht sich von selbst, dass das, was Unternehmen im Bereich Cybersicherheit auf dem Spiel steht, 2021 noch verschärft wurde, da Cyberangriffe immer raffinierter wurden und ihre finanziellen Auswirkungen offensichtlich wurden. Trotz dieser Bedeutung kann es sich als schwierig erweisen, Vereinbarungen über den anzuwendenden Ansatz, die einzubeziehenden Personen und die Hindernisse zu treffen, die bei der Entwicklung einer Cybersicherheits-Governance zu überwinden sind.

Christophe Forêt

An article from

Christophe Forêt
President and co-founder of C-Risk
Published
November 9, 2023
Updated
November 9, 2023
Reading time
minutes
Governance der Cybersicherheit - C-Risk

Was ist Cybersicherheits-Governance?

Bei der Cybersicherheits-Governance geht es vor allem um die Befugnis der Unternehmensleiter, Entscheidungen im Zusammenhang mit der Cybersicherheitspolitik zu treffen.

Definition von Cybersicherheits-Governance

Verschiedene internationale Standards wie COBIT und ISACA bieten unterschiedliche Definitionen von Cybersicherheits-Governance. In der größeren Familie der ISO 27xx-Standards ISO/IEC 27001 definiert die Prinzipien für die Implementierung eines ISMS (Information Security Management System) bei gleichzeitiger Steuerung der Sicherheit von Informationen hat eine eigene Norm, ISO/IEC 27014-2020. Die ISO (International Standards Organization) und die IEC (International Electrotechnic Commission) wiederum definieren IT-Governance als „Konzepte, Ziele und Prozesse [...], anhand derer Organisationen die Prozesse im Zusammenhang mit der Informationssicherheit bewerten, steuern, überwachen und kommunizieren können“.

Cybersicherheits-Governance macht einen großen Teil der Unternehmensgespräche aus, da das, was auf dem Spiel steht, heute in der Verantwortung der höchsten Ebenen einer Organisation liegt. Während IT-Sicherheit früher in den Zuständigkeitsbereich der technischen und operativen Teams fiel, engagieren sich heutzutage auch höhere Managementebenen, und wichtige Akteure wie CSIOs, CIOs und CROs bringen das Thema in die Geschäftsleitung und das allgemeine Management.

Zusammenfassend lässt sich sagen, dass Cybersicherheits-Governance alle Entscheidungen umfasst, die ein Unternehmen treffen muss, um seine IT- und Informationssysteme zu schützen.

Was nützt Informationssicherheits-Governance?

Die Cybersicherheits-Governance sollte sich vor allem auf das Management von Cyberrisiken konzentrieren — das Antizipieren potenzieller Cybersicherheitsbedrohungen, um zukünftige finanzielle Verluste abzuschätzen und zu begrenzen. Dieser Verlust hängt weitgehend von der Risikotoleranz eines bestimmten Unternehmens ab; die unerwünschten Folgen — oder finanziellen Verluste —, die es bereit ist, zu erleiden.

Bei C-Risk empfehlen wir, das Risiko auf der Grundlage quantifizierbarer und mathematischer Kriterien zu analysieren, wie sie beispielsweise von FAIR™ Standard (Faktorenanalyse des Informationsrisikos). Die daraus resultierenden Maßnahmen, die zur Bewältigung eines Cyberrisikos ergriffen werden müssen, lassen sich in vier Kategorien einteilen: Umgang mit Cyberrisiken, Vermeidung, Reduzierung oder Übertragung. [1]

Wer sollte an der IT-Governance beteiligt sein?

Wie oben erklärt und wie der Name schon sagt, Cybersicherheit Führung fällt in erster Linie in den Zuständigkeitsbereich der Geschäftsleitung. Exekutivausschüsse und Verwaltungsräte sind die zentralen Aushängeschilder bei der Entscheidungsfindung. Obwohl CIOs nicht mehr die zentralen Akteure sind, wenn es um Cybersicherheitsfragen geht, spielen sie dennoch eine wichtige Rolle bei der Sensibilisierung und der Unterstützung von Unternehmensleitern.

In Bezug auf Unternehmen entgeht keiner wirklich der Notwendigkeit, seine Informationssicherheitspolitik zu definieren — da ihr Ziel darin besteht, Cyberrisiken zu antizipieren und zu regulieren, betrifft diese Governance Unternehmen aller Größen.

Vergessen wir das nicht Cyberangriffe sind seit 2020 und 2018 stark gestiegen Die CESIN-Forschung zeigte weiter dass 92% der Unternehmen mindestens einen Cyberangriff erlebt hatten. Darüber hinaus kann die Bedeutung für kleine Unternehmen gar nicht genug betont werden, da sie die Strukturen sind, bei denen die Wahrscheinlichkeit am geringsten ist, gut geschützt zu sein, was sie zu leichten Zielen für Hacker und andere Cyberkriminelle macht.

Cybersecurity falls under the jurisdiction of general management

Transformieren Sie die Kunst und Weise, wie Sie Cyberrisiken modellieren, messen und managen.

Erfahren Sie, wie unsere CRQ-Lösungen Ihnen helfen können, Ihre Cyberrisiken zu quantifizieren und zu mindern.

Warum sollten Sie eine Cybersicherheits-Governance implementieren?

Die im Februar 2021 veröffentlichte Studie von CESIN zeigt, dass die wichtigste Herausforderung, die Unternehmen im Jahr 2020 identifiziert haben, darin besteht, effektive Cybersicherheit in die Unternehmensführung zu integrieren. So sehr, dass 60% der Studienteilnehmer angaben, dies sei der wichtigste Faktor, und 72% gaben an, dass sie mehr Vertrauen in die Übernahme des Themas auf hoher Führungsebene hätten.

In der Tat stellt die Implementierung einer Cybersicherheits-Governance die IT in den Mittelpunkt der Unternehmensstrategie, sodass es logischer ist, in andere verwandte Bereiche zu investieren:

  • Sensibilisierung der Mitarbeiter für Cyberrisiken und wie menschliche Schwachstellen dazu beitragen;
  • Bereitstellung ausreichender Ressourcen für Cybersicherheit;
  • Erhöhung des engagierten Personals;
  • Anschaffung von Software, die das Unternehmen besser vor Cyberangriffen schützt (dies wurde von 85% der CESIN-Teilnehmer als wünschenswert bezeichnet).

Allerdings bringt die Entwicklung einer effektiven Cybersicherheits-Governance ein eigenes Netzwerk von Herausforderungen mit sich, wie zum Beispiel:

  • die Befürchtung, dass eine Cybersicherheitspolitik die Digitalisierung von Unternehmen verlangsamen wird;
  • die ständige Aktualisierung und Erneuerung der Vorschriften, wodurch eine regelmäßige Aktualisierung der IT-Sicherheitsregeln erzwungen wird;
  • ein Mangel an Experten für Cybersicherheitsberufe;
  • eine Verzögerung bei der Aufnahme aufgrund von COVID-19-Sperren und -Einschränkungen;
  • die Tatsache, dass CISO Budgets und Ressourcen sind in einem schlechten Zustand, und die Teams der CIOs sind unterbesetzt;
  • die Unterfinanzierung von Abteilungen, die sich mit IT-Sicherheit befassen;
  • Analysemethoden sind zu subjektiv und daher voreingenommen.
Cybersecurity governance requires collaboration between several partners

Umsetzung der Cybersicherheits-Governance

Das Risikomanagement Die Methode, die C-Risk anwendet, beruht auf der Bereitschaft der Unternehmen, sich von subjektiven und daher unpräzisen Ansätzen des Risikomanagements zu distanzieren. Die Anwendung der Methode auf Cyber-Governance ermöglicht es daher, IT-politische Entscheidungen von den quantifizierbaren Wahrscheinlichkeiten finanzieller Verluste im Zusammenhang mit Cyberrisiken leiten zu lassen.

Bei dieser Methode wird die Verantwortung für die Cybersicherheitssteuerung in drei „Verteidigungslinien“ aufgeteilt:

1) Die erste Verteidigungslinie besteht darin, die Grenzen der operativen Verantwortung für Cyberrisiken festzulegen. In der Regel dreht sich dies um diejenigen, die für die Geschäftsprozesse und die technische Überwachung des IT-Systems verantwortlich sind. Diese Verteidigungslinie befasst sich mit der täglichen Erkennung und Vermeidung von Vorfällen und umfasst manchmal auch die Risiko- und Schwachstellenanalyse des Unternehmens sowie die Überwachung der von der ersten Verteidigungslinie eingesetzten Tools. Sie ist auch ein Kontaktpunkt zwischen der ersten und der zweiten Verteidigungslinie.

2) Die zweite Verteidigungslinie umfasst Führungspositionen im internen Cyberrisikomanagement sowie Fragen zur Einhaltung gesetzlicher Vorschriften. Sie ist verantwortlich für die Definition der verwendeten Richtlinien, Prozesse und Standards. Es steht auch im Mittelpunkt der Kontrolle und Überwachung der Maßnahmen der ersten Verteidigungslinie. Im Allgemeinen umfasst die zweite Verteidigungslinie die Rollen und Zuständigkeiten des CISO und des DPO (Datenschutzbeauftragten).

3) Interne und externe Audits bilden die dritte Verteidigungslinie gegen Cyberrisiken. In Wirklichkeit handelt es sich dabei um eine unabhängige Validierung der ersten und zweiten Verteidigungslinie, die hauptsächlich alle sechs Monate oder jedes Jahr von hochrangigen Managern durchgeführt wird.

Diese drei Kategorien von Partnern arbeiten zusammen, um eine solide IT-Sicherheitssteuerung zu definieren — Richtlinien und Verfahren, mit denen Cybervorfälle erkannt, verhindert und darauf reagiert werden können, um schädliche Folgen zu begrenzen.

C-Risk’s vision of cybersecurity governance lines of defence

Häufig gestellte Fragen: Cybersicherheitsmanagement

Was ist Cybersicherheits-Governance?

Cybersecurity Governance ist eine Governance, die sich der IT-Sicherheit und dem Schutz vor Cyberangriffen widmet. Wir sprechen von „Governance“, weil Cyberrisiken 2022 eine große Herausforderung darstellen, die Unternehmen aller Arten und Größen betrifft und daher eine übergreifende Politik erfordert.

Warum ist es wichtig, eine effektive Cybersicherheits-Governance zu entwickeln?

Cyberrisiken sind für Unternehmen von großer strategischer Bedeutung geworden. Es geht nicht mehr um einzelne Unternehmensabteilungen, daher ist es notwendig, IT-Sicherheitsrichtlinien zu verabschieden, die sowohl rechtliche als auch finanzielle Aspekte abdecken können.

Können wir über Cybersicherheit GRC sprechen?

GRC (Governance, Risk, Compliance) ist ein globaler Risikoansatz, der sich mit seinen Auswirkungen auf die Unternehmensstrategie und die Einhaltung gesetzlicher Vorschriften überschneidet. Dies macht ihn zu einem perfekt angepassten Ansatz für das Management von Cyberrisiken.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.