Das Cyber-Risikomanagement hat in den letzten Jahren erheblich an Bedeutung gewonnen, da die Unternehmen die operativen Herausforderungen der Pandemie bewältigt haben, auf hybrides Arbeiten umgestiegen sind und sich auf die möglichen Auswirkungen bedeutender geopolitischer Ereignisse und neu auftretender Cyber-Risiken vorbereitet haben.
Ergänzen Sie Ihre Lektüre mit unserer Folge Cybersecurity Trends in 2022 des The RegTech Report Podcast. Hören Sie sich die vollständige Folge an, um einen umfassenden Einblick in den Aufbau eines leistungsstarken Cyber-Risikomanagement-Programms, die Auswirkungen der von der SEC vorgeschlagenen Regeln auf die Cyber-Risikostrategie, die Governance und die Offenlegung von Vorfällen durch börsennotierte Unternehmen in den USA, die häufigsten Lücken in Cybersicherheitsrahmen, aufkommende Cyberrisiken und vieles mehr zu erhalten.
Die Regierungen haben viel in den Aufbau von Organisationen investiert, die sowohl die Bedrohungen überwachen als auch praktische Ratschläge für Unternehmen und Organisationen bereitstellen, um sie bei der Vorbereitung auf Cyberangriffe zu unterstützen, starke Programme für das Management von Cyberrisiken zu entwickeln und die Widerstandsfähigkeit zu gewährleisten.
Organisationen wie die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das britische National Cyber Security Centre (NCSC ) veröffentlichen regelmäßig Berichte über den allgemeinen Stand der Vorbereitung von Unternehmen auf Cyberangriffe in den USA und im Vereinigten Königreich. Dabei geht es nicht um Panikmache, sondern vielmehr darum, Unternehmensleiter und -teams über die aufkommenden Cyber-Risiken aufzuklären, mit denen sie konfrontiert sind, sowie über die praktischen Schritte, die sie zu deren Eindämmung ergreifen können. In der Regel spiegelt dieser Leitfaden die Ratschläge der Informationssicherheitsteams in den Unternehmen wider und trägt dazu bei, dass viele Unternehmen ihre Investitionen in Cybersicherheitsprojekte und Initiativen zum Management von Cyberrisiken verstärken.
CISA's Cyber Risk & Vulnerability Assessments Überprüfung
Die CISA hat kürzlich ihre Risiko- und Schwachstellenbewertungen für das Jahr 2021 überprüft, die Risiko- und Schwachstellenbewertungen (RVAs) für 112 Organisationen der US-Bundesregierung und des privaten Sektors umfassten. In dieser RVA-Prüfung wurden einige der Modelle hervorgehoben, die böswillige Akteure für Angriffe und die Ausnutzung von Netzwerken verwenden, darunter das erstmalige Eindringen, die Ausführung von Angriffen, die Persistenz, die Ausweitung von Berechtigungen und die Exfiltration. Außerdem werden die Auswirkungen auf Unternehmen hervorgehoben und für jeden Aspekt praktische Maßnahmen genannt, die Unternehmen ergreifen können, um die Probleme zu lösen.
In der Überprüfung für das GJ 2021 wurden von der CISA unter anderem Phishing-Angriffe und die weit verbreitete Verwendung von Standard-Sicherheitsanmeldeinformationen als kritische Risiken genannt. Die Analyse betonte die Notwendigkeit regelmäßiger Aufklärung über Phishing-Angriffe und die Verwendung sicherer Passwörter, die regelmäßig geändert werden. Der Bericht unterstreicht auch die Notwendigkeit, Eindringtechniken regelmäßig zu überprüfen, damit Unternehmen bei Vorfällen, bei denen neue Techniken zum Einsatz kommen, schnell reagieren können. Weitere Punkte betrafen die Notwendigkeit, Standardpasswörter zu ändern, Software regelmäßig zu aktualisieren und zu patchen sowie offene Ports zu finden und zu schließen.
UK NCSC's Bericht über Cyber-Sicherheitsbedrohungen
Diese Ansichten wurden in einem kürzlich erschienenen britischen NCSC-Bericht aufgegriffen, in dem die besonderen Risiken im Zusammenhang mit vernetzten Unternehmensgeräten (Enterprise Connected Devices, ECDs) hervorgehoben wurden. Zu den ECD-Geräten gehören Laptops, Smartphones und IoT-Geräte (Internet of Things), also physische Geräte wie Kühlschränke, Rauchmelder, Kameras und Präsenzmelder, die über eine Netzwerkanbindung verfügen und damit ferngesteuert werden können. ECDs sind beliebt, da sie in vielen Arbeitsumgebungen Flexibilität bei der Verwaltung und Effizienzeinsparungen bieten.
Obwohl sie sehr beliebt sind, können ECDs ein erhebliches Sicherheitsrisiko darstellen, da die meisten Mitarbeiter die damit verbundenen Sicherheitsrisiken nicht kennen und diese Geräte im gesamten Bürogebäude nicht sichtbar sind. Der NCSC-Bericht hebt viele der Bedrohungen hervor, die ECDs bieten. Hacker nutzen sie als Ausgangspunkt für den Zugriff auf andere, sicherere Systeme. Die mangelnde Sichtbarkeit von IoT-Geräten und die Verwendung von Standardsicherheitseinstellungen bedeutet, dass sie für seitliche Angriffe auf andere Systeme geeignet sind, die beispielsweise zu Datendiebstahl oder Ransomware-Angriffen führen können. Die Verwendung dieser Geräte in der Lieferkette eines Unternehmens stellt ebenfalls eine Bedrohung dar. Selbst wenn ein Unternehmen selbst über strenge ECD-Richtlinien und -Kontrollen verfügt, kann es vorkommen, dass seine Zulieferer dies nicht tun.
Diese Situation verdeutlicht das Problem, mit dem Unternehmen konfrontiert sind, wenn es um die Frage geht, wie sie am besten auf Cyber-Risiken reagieren können, die sich sowohl auf das Unternehmen als auch auf Dritte auswirken, während die Ressourcen und Kosten begrenzt bleiben.
Leistungsstarke Cyber-Risikomanagement-Funktionen ermöglichen
Neue technologische Möglichkeiten ermutigen die Sicherheitsteams dazu, neu zu überdenken, wie sie diese Art von Herausforderung am besten bewältigen können. Sie können nun einen alternativen Weg zur Bewältigung von Cyber-Risiken bieten, indem sie die Umsetzung und Überwachung der Sicherheitsrichtlinien eines Unternehmens in die Hände der Endnutzer und ihrer Manager legen und nicht nur in die eines kleinen - und überlasteten - Sicherheitsteams.
Ein SaaS-basierter Ansatz bedeutet, dass Sicherheitsteams eine einfach zu navigierende Bibliothek mit Sicherheitsrichtlinien und leistungsstarken Such- und Fragefunktionen bereitstellen können, die es den Mitarbeitern ermöglicht, ihre Verpflichtungen in einem für sie und ihre Projekte geeigneten Tempo zu verstehen. Schulungs- und Testfunktionen helfen, die Fähigkeiten und das Bewusstsein der Mitarbeiter für neue und aufkommende Sicherheitsbedrohungen zu verbessern. Attestierungsfunktionen ermöglichen es ihnen zu dokumentieren und nachzuweisen, wie sie die Sicherheitsstandards einhalten. Mithilfe von KI-Funktionen können Informationssicherheitsteams erkennen, wo Standards nicht eingehalten werden, wenn sich die spezifischen Geschäftsanforderungen ändern.
Dieser Ansatz ermöglicht es den Informationssicherheitsteams, das Unternehmen und Dritte besser über ihre Cybersicherheitspolitik zu informieren, und zwar in einem Tempo, das für alle Beteiligten akzeptabel ist. Das bedeutet auch, dass das Informationssicherheitsteam weiterhin die letzte Instanz für das Cyber-Risikomanagementprogramm sein kann.
Die GRC-Plattform von Mitratech bietet eine Reihe von Funktionen, die wichtige GRC-Anwendungsfälle abdecken wie: Cyber Risk Management, Third-Party Risk Management, Informationssicherheit und viele mehr.
Werfen Sie einen Blick auf diese sorgfältig zusammengestellte Auswahl an Inhalten, die zeigen, wie Mitratech Unternehmen dabei helfen kann, ihre Cybersicherheitsprogramme zu verbessern.
- Lesen Sie unsere Broschüre: Cyber Risk Management für einen umfassenden Einblick in die wichtigsten Maßnahmen zum Aufbau eines erfolgreichen Cyber Risk Management-Programms während des gesamten Lebenszyklus.
- Werfen Sie auch einen Blick auf unsere Broschüre: Cyber Resilience, um mehr über die integrierten End-to-End-Funktionen der GRC-Plattform von Mitratech zu erfahren.
Der RegTech-Bericht
Dieser Podcast ist die erste Anlaufstelle für alles, was mit RegTech zu tun hat.
RegTech-Nachrichten, Kontakte zu Branchenpionieren und Updates zu den neuesten Technologien.
