Bessere Cyberhygiene ist angesagt: IT-Risikomanagement im Jahr 2024
Bereiten Sie Ihr Unternehmen darauf vor, im ständigen Kampf gegen Cyber- und IT-Risiken einen Schritt voraus zu sein.
Da Unternehmen zunehmend Dienste von Drittanbietern und Cloud-Technologien nutzen, werden Cyberkriminelle immer geschickter im Ausnutzen von Schwachstellen, was zu einem Anstieg von Cyberangriffen führt. Eine von der University of Maryland durchgeführte Studie ergab, dass im Durchschnitt alle 39 Sekunden ein Bedrohungsakteur die Cybersicherheitsinfrastruktur eines Unternehmens angreift.
Als Reaktion darauf verschärfen die Aufsichtsbehörden ihren Griff, was einen proaktiven und transparenten Ansatz für das IT-Risikomanagement erforderlich macht. Doch wie sieht dieser Ansatz aus, und wie können Unternehmen die Vorschriften einhalten (und auf Fragen der Interessengruppen reagieren)?
Die Vorschriften für Cybersicherheit und IT-Risikomanagement entwickeln sich weltweit weiter
In den meisten Regionen gibt es Datenschutz- und Sicherheitsgesetze (wie z. B. die GDPR der EU oder die DPA des Vereinigten Königreichs, um nur einige zu nennen), die der Gestaltung von Cybersicherheitsvorschriften dienen. Angesichts der Zunahme des digitalen Nomadentums in der Belegschaft und der Abhängigkeit von Drittanbietern im Zuge neuer gesetzlicher Vorschriften ist eine wirksame, umfassende IT-Risikomanagementstrategie erforderlich, um mit diesen Veränderungen Schritt zu halten - und zwar in jeder Region, in der Sie mit einer bestimmten Anzahl von Mitarbeitern tätig sind.
Nehmen Sie zum Beispiel die US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission). Die SEC hat die wachsende Bedrohung durch Cyber-Vorfälle erkannt und im Jahr 2023 eine bahnbrechende Regel zur Offenlegung von Cyber-Vorfällen eingeführt. Danach sind in den Vereinigten Staaten tätige börsennotierte Unternehmen nun verpflichtet, wesentliche Vorfälle innerhalb von vier Werktagen nach ihrer Entdeckung zu melden. Darüber hinaus sind jährliche Offenlegungen erforderlich, die Aufschluss über das Risikomanagement, die Strategie und die Unternehmensführung im Bereich der Cybersicherheit geben.
Die von der SEC vorgeschlagenen Regeln gehen auf spezifische Aspekte ein und betonen die Bedeutung der Offenlegung wesentlicher Vorfälle, regelmäßiger Aktualisierungen zu zuvor gemeldeten Ereignissen und die Feinheiten der Richtlinien und Verfahren eines Registranten zur Identifizierung und Verwaltung von Cybersicherheitsrisiken. Darüber hinaus beleuchten die vorgeschlagenen Regeln die Aufsicht durch den Vorstand, die Rolle der Geschäftsleitung bei der Bewertung und Verwaltung von Cybersicherheitsrisiken und die jährliche Berichterstattung über die Cybersicherheitskompetenz des Vorstands.
Und vergessen Sie nicht: Unternehmen mögen heute von Serverräumen vor Ort zu Drittanbietern, Cloud-Anbietern usw. übergegangen sein, aber die Auslagerung von Diensten bedeutet nicht die Auslagerung des Risikos. Wenn Ihr Netzwerk wächst, sind Sie dafür verantwortlich, dass Ihre Anbieter, Partner und andere Dritte Ihre internen Richtlinien und Verfahren einhalten - eine Aufgabe, die in der heutigen Cyber-Umgebung immer schwieriger wird.
Ausarbeitung eines soliden IT-Risikomanagement-Rahmens
In diesem dynamischen regulatorischen Umfeld müssen Unternehmen die Herausforderungen der Cybersicherheit proaktiv angehen, indem sie einen robusten Rahmen für das IT-Risikomanagement schaffen. Dazu gehört nicht nur die Einhaltung spezifischer Vorschriften (wie der SEC-Regel zur Offenlegung von Informationen über Cyberrisiken), sondern auch die Bereitstellung von Ressourcen, um die Einhaltung der Vorschriften nachzuweisen und alle Fragen von Interessengruppen zu Ihrem IT-Risikomanagementprogramm zu beantworten.
Eine wirksame Strategie für das IT-Risikomanagement umfasst eine kontinuierliche Überwachung, aktualisierte Richtlinien und Verfahren sowie eine ganzheitliche Sichtbarkeit. Durch eine proaktive Haltung können Unternehmen die sich ständig ändernden rechtlichen Rahmenbedingungen meistern, ihre Vermögenswerte schützen und ihre Widerstandsfähigkeit gegenüber den sich entwickelnden Taktiken von Cyberkriminellen erhöhen.
Ihr Vorstand wird sich mehr denn je für das Verständnis und die Überwachung Ihrer IT-Risikotechnologie einsetzen - und er wird mehr Fragen stellen. Statten Sie sich mit dem Wissen und den Werkzeugen aus, die Sie benötigen, um die Anfragen Ihrer Interessenvertreter sicher zu beantworten und in der sich ständig verändernden Welt der IT-Risikoüberwachung einen Schritt voraus zu sein - mit unserem neuesten E-Book.
