5 wichtige Schritte zur Integration des Risikomanagements in die DNA Ihres Unternehmens

Peter Schumacher: In Ordnung, ich danke Ihnen allen. Entschuldigen Sie die kurze Verzögerung beim Start. Aber herzlich willkommen und danke, dass Sie heute an unserem Webinar teilnehmen. Es geht um fünf wichtige Schritte, um das Risikomanagement in der DNA Ihres Unternehmens zu verankern. Wir haben das Glück, dass Brian Johnson, der Senior Director für Informationssicherheit bei PayPal, heute bei uns ist. Mein Name ist Peter Schumacher. Ich werde heute Ihr und unser Gastgeber sein. Und bevor wir offiziell anfangen, muss ich noch ein paar Dinge besprechen. Zunächst einmal möchte ich Sie daran erinnern, dass alle Teilnehmeranschlüsse stummgeschaltet sind, um die Hintergrundgeräusche auf ein Minimum zu beschränken. In dem Bemühen, die Sitzung interaktiv zu halten, laden wir Sie jedoch ein, über die Q&A-Konsole Fragen zu stellen. Sie sehen das am unteren Rand Ihres Bildschirms. Wenn es die Zeit erlaubt, werden wir am Ende der Stunde eine Live-Fragerunde mit Brian veranstalten. Das heutige Webinar wird aufgezeichnet. Wir werden eine Kopie der Aufzeichnung anbieten und Ihnen diese in ein oder zwei Tagen per E-Mail zusenden. Ich weiß, dass Sie nicht gekommen sind, um meine Stimme zu hören, deshalb möchte ich das Wort an Brian weitergeben. Vielen Dank, dass Sie sich uns angeschlossen haben, Brian, und bitte nehmen Sie es mit.

Brian Johnson: Vielen Dank, dass ich dabei sein darf, Peter, und herzlich willkommen. Vielen Dank für Ihre Teilnahme an diesem Webinar über das wichtige Thema Risikomanagement und wie Sie es in die DNA Ihrer Organisation einbauen können. Es ist ein Thema, das aktueller denn je ist, insbesondere angesichts der aktuellen Umstände und des globalen Klimas mit einer globalen Pandemie und Veränderungen in unserem Arbeitsumfeld. Die Art und Weise, wie wir unser soziales Leben und unser Arbeitsleben gestalten, ist wirklich von einem Moment auf den anderen unterbrochen worden. Und das unterstreicht noch mehr als je zuvor in unserer Generation die Notwendigkeit, nicht nur gut durchdachte Pläne, Notfallpläne und Geschäftspläne zu haben, sondern auch darauf vorbereitet zu sein, kritische Entscheidungen rechtzeitig zu treffen, und zwar aus einer informierten Position heraus. Die Fähigkeit, mit den richtigen Informationen zur richtigen Zeit Entscheidungen zu treffen, unterscheidet Unternehmen, die in Situationen wie dieser florieren und überleben, von denen, die es schwer haben. Und selbst als wir dieses Thema vor vielen Monaten, sogar noch vor dem COVID, aufgriffen, war es so relevant wie eh und je. Wenn wir jetzt sehen, wie sich diese Art von Bedingungen in unserer Umgebung auswirken. Wir sehen die Notwendigkeit, der Führungsebene und der Vorstands- und Geschäftsführungsebene Informationen zu geben, um diese Entscheidungen so relevant und angemessen wie möglich zu treffen. Also, zunächst einmal hoffe ich, dass es allen gut geht. Es ist ein großartiges Zeichen, dass Sie sich jetzt etwas Zeit nehmen können, um ein paar CE-Credits zu erwerben oder einfach nur ein paar Fähigkeiten zu erwerben oder auch nur ein wenig an relevanten Themen mitzuarbeiten, während wir etwas Zeit dafür haben. In unserem Umfeld bei PayPal sind wir sehr beschäftigt. Der Markt und das Klima haben die Art und Weise, wie wir arbeiten und wie unsere Interaktionen aussehen, definitiv stark verändert. Wenn ich mich mit meinen Kollegen rund um den Globus treffe, hören wir viele verschiedene Geschichten darüber, wie sich die Marktveränderungen auf die Art und Weise auswirken, wie wir Dinge tun. Aber bei all dem ist natürlich die Einheit der Menschen und der Aufbau von Vertrauen untereinander und die Aufrechterhaltung von Vertrauen ein Schlüsselfaktor, in den wir investieren, um sicherzustellen, dass wir weiterhin in Beziehungen investieren, damit sich die Menschen so sicher wie möglich fühlen und dass wir diesen Bedürfnissen gerecht werden. In diesem Sinne werde ich kurz den Hintergrund erläutern und dann auf das heutige Material eingehen, und wir werden uns etwas Zeit für Fragen und Antworten nehmen. Ich würde mich freuen, einige Ihrer Kommentare zu dem Material sowie einige der Gedanken, die ich mit Ihnen teilen werde, zu hören, und ich würde gerne Ihre Sichtweise und Ihre Fragen hören. Um ein wenig Kontext und Hintergrundinformationen zu meiner Rolle in der Technologie zu geben. Ich bin seit über 20 Jahren in der Technologieführung tätig und habe sowohl in der Infrastruktur als auch in den Betriebsfunktionen bei großen Finanzunternehmen, bei einigen kleinen Startup-Technologieunternehmen in der Vergangenheit und dann zuletzt im Fintech-Sektor bei PayPal eine Rolle gespielt. Und so habe ich in der Technologie- und Sicherheitswelt viele verschiedene Reifegrade und Ebenen der Befürwortung von Sicherheit erlebt, von Widerstand gegen Risikomanagement-Philosophien und wie Informationssicherheit und Cyber-Vertrauen oder Cyber-Sicherheit in einer Organisation aussieht bis hin zu voller Unterstützung und erheblichen Investitionen. Und ich weiß, dass auch Sie aus unterschiedlichen Perspektiven kommen. Einige Ihrer Organisationen werden einem Sicherheitsprogramm und den Investitionen, die zur Aufrechterhaltung und zum Ausbau eines Sicherheitsprogramms erforderlich sind, von ganzem Herzen zustimmen. Diese Art von Investitionen sind also Dinge, die wir als Modelle von Betriebsbedingungen betrachten und für deren Aufrechterhaltung wir arbeiten müssen. Und in vielen Fällen versuchen wir, die Unternehmensleitung davon zu überzeugen, in einen bestimmten Geschäftsbereich oder eine bestimmte Expansion in einen neuen Markt zu investieren oder auch nur ein grundlegendes Risikomanagementprogramm zu verwalten. Ähm, ich mache jetzt eine Pause. Ich sehe eine Notiz, in der jemand sagt, dass es ein sehr schlechtes Echo gibt. Ähm, lassen Sie mich sehen, ob wir das Audio reparieren können, indem Sie mir den Kommentar dort zuschieben. Können Sie antworten, wenn es besser ist oder wenn Sie besser hören können?

Peter Schumacher: Soweit ich das beurteilen kann, Brian, scheint es in Ordnung zu sein. Es gibt ein kleines Echo, aber der Ton ist jetzt mit dem Video synchron, und ich denke, das funktioniert.

Brian Johnson: In Ordnung. Ausgezeichnet. Ich werde also fortfahren. Also, die Grundlage und der Hintergrund dessen, was ich mit Ihnen besprechen und Ihnen vorstellen möchte, ist ein Thema, zu dem Gartner einige Untersuchungen durchgeführt hat, und es ist eine Methodik und ein Rahmenwerk für die Entwicklung des Risikomanagements, und ich möchte Ihnen mitteilen, wie ich und meine Organisation und meine Partner dies in die Unternehmenspraktiken implementiert haben, einschließlich der Struktur, der Funktionen und der Prioritäten, wie Sie dies in Ihre Organisation einbauen können. Einiges davon hat tatsächlich dazu geführt, dass wir gesehen haben, wie verschiedene Industriepartner ihre Organisation gestaltet haben. Vielleicht haben sie sogar die Struktur von Teams geändert und bestimmte Rollen in einer Organisation festgelegt, die es vorher vielleicht nicht gab. Ich werde also einige davon in unserer gemeinsamen Zeit behandeln. Und dann werde ich Ihnen einige Konzepte vorstellen, die Ihnen vielleicht vertraut sind, vielleicht aber auch neu für Sie sind. Ich hoffe, dass Sie daraus ein paar Anregungen mitnehmen können, die Sie in Ihrer Organisation nutzen können. Ich möchte Ihnen die Frage nach der Quantität oder Qualität im Zusammenhang mit Risikomanagement, Technologie und Sicherheitsrisikomanagement stellen. Durch Handzeichen, wenn Sie die Option zum Heben der Hand in der Funktion auf dem Zoom-Anruf hier nutzen können, heben Sie die Hand, klicken Sie auf die Option zum Heben der Hand, wenn Sie eine quantitative Risikoanalyse in Ihrem Unternehmen verwendet haben. Mit anderen Worten, eine Methode zur Messung von quantitativen Modellen oder einer Art statistischer Analyse, Risikomessungen und Risikomanagement in Ihrem Unternehmen. Wir bekommen hier einige Handzeichen. Äh, 10. Also, bis jetzt haben Sie etwa 10 % Anreize. Ähm, danke für das Feedback dazu. Übrigens, es ist gut zu wissen, woher Sie kommen. Ähm, okay. Es sieht also so aus, als ob knapp 10 % von Ihnen sagen, dass Sie eine quantitative Risikoanalyse verwendet haben. Das ist also gut zu verstehen. Was ich also im Zusammenhang mit der quantitativen Risikoanalyse erörtern werde, ist für die meisten Organisationen neu, weil viele von uns, offen gesagt, noch nie ein Instrument, einen Rahmen oder eine Methodik zur quantitativen Risikomessung hatten.

Brian Johnson: Also, die meisten von uns haben das Risiko qualitativ gemessen, normalerweise mit einem Ampelbericht, vielleicht mit einem roten, gelben, grünen, vielleicht mit einer Art Pfeil-nach-oben-Pfeil-nach-unten-Indikator, mit Harvey-Kugeln, die vielleicht den prozentualen Fortschritt oder Hinweise auf die Risikodynamik anzeigen, also diese Dinge sind es, die wir in Kombination betrachten wollen. Ja, man sollte die Risiken in der Organisation und im gesamten Unternehmen qualitativ messen, aber man sollte auch quantitativ messen, damit wir eine Ausgangsbasis haben, nach Trends Ausschau halten und dann auch den Fortschritt messen können. Wenn wir also in unsere Technologie, Sicherheitsplattformen und Geschäftsinitiativen investieren, sollten wir in der Lage sein, den Unterschied, das Delta und die Veränderung des Risikos im Laufe der Zeit zu messen, um den Wert für das Unternehmen nachweisen zu können. Ein großer Teil des Themas, über das wir sprechen, wird sich also um den Wert für das Unternehmen drehen, und der geschäftliche Wert des Risikomanagements ist ein enormer Schwerpunkt, den wir auch in unseren Unternehmensführungsbereichen verstärken sollten. Lassen Sie uns also ein wenig auf einige der Ansätze und Probleme der Branche eingehen, die sich mit diesem Thema befassen. Wenn wir also die Herausforderungen der Branche in diesem Bereich betrachten, dann haben wir natürlich, wenn man bedenkt, in welcher Art von Umfeld wir leben, ein sich schnell veränderndes Umfeld. Im Sinne von Dingen wie einer weltweiten Pandemie oder auch nur im normalen Geschäftsverlauf, wenn die Dinge wieder zur Normalität zurückkehren, wenn Sie so wollen, werden ständig neue Vorschriften vorgeschlagen. Und wenn Sie als reguliertes Unternehmen im Gesundheitswesen, im Energiesektor, im Finanzsektor oder in einem anderen Segment tätig sind, sehen Sie sich wahrscheinlich mit einem gewissen regulatorischen Druck und Anforderungen von Regulierungsbehörden oder Compliance-Organisationen konfrontiert, an die Sie sich halten müssen. Wir beobachten also, dass der Trend in diesen Segmenten der Regulierung dahin geht, nicht mehr nur zu testen, sondern proaktiv und kontinuierlich zu prüfen.

Brian Johnson: Ein Teil des Ansatzes, den wir mit diesem Modell zur Integration von Risiken in Ihre Organisation verfolgen, besteht also darin, bei Risikobewertungen und Risikomanagement proaktiver zu werden. Und das kontinuierliche Testen und Validieren der Kontrollen, die sich auf das Risiko beziehen, ist einer der Punkte, die meiner Meinung nach implementiert werden müssen. Auch Gartner empfiehlt nachdrücklich, dass Sie Ihr Programm zu einem kontinuierlichen und proaktiven Modell ausbauen. Und einige der Methoden, auf die ich später in der Präsentation eingehen werde, zeigen, wie wir bei der Umsetzung helfen können. Ein weiterer Punkt ist die Integration und Automatisierung. Wenn Sie also das Risikomanagement in Ihrem Unternehmen integrieren, handelt es sich oft um eine Silo-Organisation, die die Daten, die wir für die Risikobewertungen erhalten, nur als Hilfsmittel betrachtet. Ich möchte jedoch vorschlagen, dass Sie das Risikomanagement als Praxis in die Geschäftsfunktionen einbetten, zumindest in einer virtuellen Ausrichtung. Ähm, und zwar so, dass die Prozesse zur Datenerfassung automatisiert werden, das Dashboarding oder die KPIs und KRI-Beziehungen automatisiert werden, so dass diese Daten in einer Weise gesammelt werden, die in Echtzeit genutzt werden kann, ähm, und nicht nur auf vierteljährlicher oder jährlicher Basis, sondern Daten, die Sie jederzeit auf einem Dashboard abrufen können und zumindest wichtige Leistungsindikatoren haben, die sich auf diese Risikotreiber beziehen, und dann in der Lage sind, sie in die Geschäftsbereiche zu integrieren, so dass Ihre OKRs, wenn Sie Ziele und Schlüsselergebnisse oder irgendein Modell der Ausrichtung von Geschäftszielen auf Risiken verwenden, diese in die Geschäftspläne integriert werden und tatsächlich Entscheidungen und Prioritäten in Ihrer gesamten Unternehmensgruppe vorantreiben. Gruppen und Partner in der Organisation. Der dritte Punkt des Ansatzes ist die Quantifizierung und Kontextualisierung, und der wichtigste Punkt dabei ist, dass wir das Risiko als qualitativ ansehen, und wir werden den roten, gelben, grünen Stopp oder den Pfeil nach oben und unten verwenden.

Brian Johnson: Es ist gut, Aufmerksamkeit zu erregen und einen Bericht vorzulegen. Wenn Sie Risiken aus der Perspektive eines Compliance-Teams oder einer Technologieorganisation verwalten, stellen Sie sie oft so dar, dass sie beängstigend klingen und sagen: "Hey, das ist ein wirklich schlimmer Bereich, auf den wir uns konzentrieren müssen." Aber die Quantifizierung des Risikos in Form von Auswirkungen auf das Geschäft liefert eine viel fundiertere Botschaft, die Bestand hat, so dass Sie den Wert im Laufe der Zeit nachweisen können, im Gegensatz zu "Wir sind von Rot auf Orange umgestiegen" oder "Wir sind auf eine kleine gelbe Farbe umgestiegen" oder einer anderen Variante. Und dann fangen wir an, qualitative Diskussionen zu führen, und ich bin sicher, dass einige von Ihnen mit denselben Themen zu tun haben, bei denen Sie versuchen, eine Modellanalogie auszuwählen, um Risiken zu kommunizieren. Mit einem rein qualitativen Ansatz lässt sich nicht immer die richtige Botschaft vermitteln. Wenn man es also in einen geschäftlichen Kontext stellt, könnte es so aussehen, dass Ihre App für Zahlungsdienste oder Ihre Transaktions-App, die Überweisungen mit einer Bank oder einem Gesundheitsdienstleister durchführt, ein Partnernetzwerk-SLA ist. Sagen wir mal, Sie haben eine Service-Level-Vereinbarung und verlieren vertraglich 10.000 Dollar pro Stunde für jede Auswirkung, sei es eine Auswirkung auf den Service, sei es eine Ausfallzeit, sei es ein Produktivitätsverlust beim Kunden oder sei es eine Auswirkung aufgrund von Bußgeldern und Sanktionen durch eine Regulierungsbehörde. Diese werden durch den Geschäftsservice kontextualisiert und in Dollar oder lokaler Währung für das Geschäft quantifiziert und können so weit vereinheitlicht werden, dass Sie das Risiko als eine Komponente des Geschäftswerts messen und den Geschäftswert des Risikos in Form von echten harten Dollars oder Einsparungen und unterm Strich Einsparungen messen können. Kostenvermeidung und ein Modell zur Kontextualisierung des Risikos, um in der Entscheidungsfindung fortschrittlich zu sein, müssen also kontextualisiert und quantifiziert werden. Messung und Rechenschaftspflicht ist etwas, das wir in der gesamten Branche als verbesserungswürdig ansehen würden, aber Sie werden feststellen, dass viele der Ausschussstrukturen die Ergebnisse oft nicht messen und zur Rechenschaft ziehen, weil sie meistens keine OKR oder ein Ziel und eine Art Schlüsselergebnis vorgeben.

Brian Johnson: Ich würde also vorschlagen, und das ist wieder eine Art Best-Practice-Modell, dass die Organisationsleiter nicht nur verstehen, welche Ziele sie für die Hauptrisiken und für die Risikomessungen in der Organisation festgelegt haben, sondern dass sie auch für diese Ziele verantwortlich sind, und zwar durch ein bestimmtes Format der Verantwortlichkeit der Führungsebene oder der Überwachung durch ein Komitee, und dass Ihre Überwachungsstruktur eine Rolle dabei spielt, sicherzustellen, dass die Organisationsleiter und die Eigentümer der Abteilungsbereiche diese Ziele zur Risikominderung auch tatsächlich erreichen. Wenn Ihre Organisation oder Ihr Unternehmen noch keine Verteidigungslinien eingeführt hat, ähm, das ist ein Modell, das sich im Laufe der Jahre immer mehr durchgesetzt hat, ähm, dann würde ich Ihnen dringend empfehlen, das Modell der drei Verteidigungslinien in Betracht zu ziehen und zu überlegen, wie der Ansatz der drei Verteidigungslinien aussieht, dass es in erster Linie Technologie-, Produkt- und Funktionsorganisationen gibt. Nehmen wir die CIO-Organisation, die Ihrem Unternehmen die Unternehmensdienste bereitstellt, und das Team für Unternehmensdienste ist dafür verantwortlich, dass Ihr Nachrichtensystem, Ihre E-Mail-Zustellung und Ihre mobilen Anwendungen ordnungsgemäß bereitgestellt werden und funktionieren. Dieses Team wird als eine Funktion der ersten Reihe betrachtet. Bei der Bestimmung ihrer Rolle und Verantwortung ist eine First-Line-Funktion für die Verwaltung ihrer eigenen Risikoziele, die Messung ihrer eigenen Zustellung und die technischen und betrieblichen Funktionen zur Unterstützung dieser Ziele verantwortlich. Als zweitrangige Organisation hat eine Risikoorganisation dann oft die Aufgabe, die Definition dieser Schwellenwerte zu verwalten und aufrechtzuerhalten, um die Risiken und Ziele in Form eines OKR-Modells zu definieren und dann die Umsetzung und den Fortschritt bei der Erreichung der Geschäftsziele zu überwachen. Die Funktion, die in erster Linie für die Bereitstellung und den Betrieb der Technologie und die Risikoverantwortung auf funktionaler Ebene zuständig ist, berichtet dann an die Organisation in zweiter Linie als Aufsichtsfunktion, um sicherzustellen, dass eine Trennung der Aufgaben, der Verantwortlichkeit und der Bereitstellungsstruktur beibehalten wird und dass das Geschäft mit den übergeordneten strategischen Zielen in Einklang gebracht wird.

Brian Johnson: Und Ihre Third-Line-Organisation wäre die interne Revision, externe Aufsichtsbehörden, vielleicht auch Dritte, die Sie mit Test- und Sicherungsfunktionen beauftragen, sei es im Rahmen eines HIPPA-Assessments oder eines PCI-Assessments oder welches Modell in Ihrer Branche auch immer Sie anwenden. Die dritte Verteidigungslinie wird als tertiäre Aufsichtsfunktion betrachtet, die validiert, dass der Umfang der Kontrollen, die Validierung dieser Methoden und Ansätze, die Sie befolgt haben, in der zweiten Linie angemessen getestet und geliefert werden. und die Verpflichtungen als Organisation der ersten Linie erfüllen. Also noch einmal zur Messung und Rechenschaftspflicht: Wenn Sie kein Modell für die dritte Verteidigungslinie implementiert haben, muss es sich nicht um ein übermäßig bürokratisches Modell handeln. Es könnte auch nur eine kleine Gruppe von 10 oder 12 Personen in einem mittelgroßen Unternehmen sein, aber die Benennung dieser Personen innerhalb dieser Rollen hilft bei der Abgrenzung zwischen ihren Zielen und der Aufgabentrennung dieser Funktionen, um Ziele und Aufsichtsfunktionen zu verwalten. Und fünftens, aber sicher nicht zuletzt, bin ich ein starker Befürworter, dass Unternehmen natürlich die Vorschriften einhalten müssen. Aber die Einhaltung der Vorschriften muss ein Ergebnis sein, nicht ein Ziel. Einer der größten Fehler, den wir in der gesamten Branche festgestellt haben, ist die Annahme, dass ein regelkonformes Unternehmen ein sicheres Unternehmen ist und dass ein regelkonformes Unternehmen ein verwaltetes Unternehmen ist. Und das ist einfach nicht wahr. Jeder Verstoß, den wir in den letzten Jahren erlebt haben, betraf ein vorschriftsmäßiges Unternehmen. Selten hat man gesehen, dass Equifax bei der PCI-Bewertung durchgefallen ist. Natürlich ist das nicht passiert. Man sieht auch nicht, dass ein Unternehmen bei einem SA SSA 16-Audit durchgefallen ist, kurz bevor es zu einem Einbruch kam. Compliance misst nicht das Niveau der SEC. Sie gewährleistet natürlich die Einhaltung eines Grundniveaus von Kontrollen. Aber Sie sollten die Compliance als eine Funktion betrachten, die die Teams, insbesondere die Organisationen der zweiten Reihe, als Ergebnisse messen. Wir führen zum Beispiel ein Pentest-Programm durch, und das Pentest-Programm wird Ergebnisse liefern, die zu dem Bericht beitragen, den die Compliance-Organisation anstrebt.

Brian Johnson: Ähm, aber wenn man sich die Einhaltung der Vorschriften zum Ziel setzt, dann konzentriert man sich auf eine Messlatte, die durch eine Erwartung auf Branchenebene festgelegt wurde, die nicht unbedingt für das Geschäftsrisiko geeignet ist. Die Kontextualisierung des Geschäftsrisikos ist also etwas, das Sie als Verantwortungsbereich betrachten müssen, um zu sagen, dass unsere Testergebnisse, unsere Ergebnisse der Überwachungsfunktionen als Ergebnis unseres Tests geliefert werden. Aber Ihr Testumfang kann noch viel umfassender sein als das. Beschränken Sie sich also nicht auf ein auf die Einhaltung von Vorschriften ausgerichtetes Programm, wenn Sie diese als Ergebnisse definieren können. In Ordnung, ich mache eine kurze Pause. um dieses Thema noch einmal auf die Herausforderungen der Branche einzugehen. Warum ist es für uns wichtig, Risikomanagement zu betreiben? Worauf achten wir bei der Einhaltung von Vorschriften und warum müssen wir uns damit befassen? Wie ich bereits erwähnt habe, nehmen die Vorschriften natürlich zu, wir sehen eine Zunahme der Vorschriften und des Datenschutzes. Wir sehen das in der Art und Weise, wie die Sicherheit von Programmen zum Management von Schwachstellen im Hinblick auf die Einhaltung von Vorschriften geprüft wird. Und wenn Ihr Unternehmen weltweit tätig ist, sehen Sie das auch, und zwar auf sehr unterschiedliche Art und Weise. Manchmal werden sogar Datentypen je nach Region unterschiedlich identifiziert. Wenn also die Vorschriften zunehmen, müssen wir unsere Risikomodelle und unsere Risikoansätze an das Geschäft anpassen. Risikomessung ist nicht einfach. Es ist sicherlich kein einfacher Prozess, das Risiko für Ihr Unternehmen zu messen. Aber es ist absolut notwendig, das Risiko zu messen, und wir messen es auf eine Art und Weise, die wiederum quantitativ Fortschritte aufzeigen kann. Integration ist der Schlüssel. Es in das Unternehmen zu bringen und Funktionen in jede der Geschäftseinheiten oder Geschäftsbereiche, die Sie unterstützen, einzubetten, ist kein einfacher Prozess, aber es ist etwas, das wir herausfinden müssen, wie wir es so einbetten können, dass es relevant ist. Wir sehen eine Risikomanagement-Funktion nicht als einen Elfenbeinturm-Ansatz, um etwas zu messen, was funktionale Organisationen als irrelevant abtun würden oder nur eine Checkbox-Funktion ist, die sicherlich nicht das Geschäft bei Prioritäten beraten und bei einer Aufsichtsfunktion helfen wird.

Brian Johnson: Und das Marktpotenzial und das Timing dessen, womit unsere Unternehmen konfrontiert sind, ist natürlich enorm, und das bedeutet, dass unsere Unternehmen in jeder Branche und auf jedem Markt mit Herausforderungen konfrontiert sind, wenn es darum geht, sicherzustellen, dass wir risikokonform und risikoadäquat sind und das Risiko messen. Dies wird also eine Augengrafik sein, aber wir werden uns nur eine Minute lang damit beschäftigen. Ich mache eine Pause und lasse es laden. Ich werde mich im Wesentlichen auf das stützen, was Gartner vorgeschlagen hat, und sie nennen es das Carter-Modell. Und das Carter-Modell ist ein Ansatz, der als Ansicht dokumentiert wurde. Und diese Sichtweise ist eine kontinuierliche, adaptive mit Risiko- und Vertrauensbewertungen. Es geht also darum, das, was wir in vielen Unternehmen als funktionales Silo-Modell aufgebaut haben, aufzugreifen. Und funktionale Silos bedeuten, dass wir ein Team haben, in dem vielleicht zwei Leute für das Scannen von Schwachstellen und zwei Leute für das Problemmanagement und zwei Leute für die Architektur zuständig sind, oder vielleicht gibt es in kleinen und mittelständischen Unternehmen mehrere Hüte. Sie haben vielleicht einen Architekten, der auch eine Rolle als Technologe spielt, der auch E-Mails schreibt. In jedem Fall muss die Definition der Rollen dieser Leute als Teil einer Risikoorganisation von einem adaptiven und risikozentrierten Ansatz aus erfolgen. Und das bedeutet, dass es für die Mitarbeiter schwierig sein wird zu verstehen, wie ihre Arbeit zur größeren Sache oder zum größeren Wohl des Unternehmens beiträgt, wenn wir nicht definieren, was die Geschäftsrisiken sind, auf die die Arbeit der Mitarbeiter tatsächlich ausgerichtet ist. Wenn wir also den Hut des Risikomanagers aufhaben, sind wir dafür verantwortlich, dass die Mitarbeiter nicht nur die Risiken des Unternehmens kennen, sondern auch einen Überblick über die Geschäftsrisiken und die wichtigsten Geschäftsfaktoren im Unternehmen haben. Im Sinne der Definition dieses risikozentrierten Ansatzes habe ich das Carter-Modell in einer Art Vier-Säulen-Ansatz adaptiert, und das ist die Art und Weise, wie ich ihn formuliere.

Brian Johnson: Wenn wir die Informationssicherheit und die Technologie in ihre Bestandteile zerlegen, haben wir ein Risikomanagement, ein Compliance-Management, eine Durchsetzung und eine strategische Funktion, die in Ihrem Unternehmen auf zwei oder drei Personen skaliert oder in großen Unternehmen auf zwei oder 300 Personen ausgeweitet werden kann. Tatsache ist, dass wir diese Funktionen immer noch als Teil des Risikomanagements wahrnehmen. Stellen Sie sich vor, Sie haben einen Risikomanager in Ihrem Unternehmen, der Risiken definiert und misst und sagt: "Hier sind unsere Geschäftsrisiken und eine Liste mit den 10 größten Risiken, die wir messen. Wenn ihre Funktion nicht direkt mit der Compliance verbunden ist. Dann geht das Compliance-Team oft los und entwickelt sein eigenes Compliance-Programm, und die Durchsetzungsfunktion oder die Governance- oder Aufsichtsfunktion oder vielleicht eine Technologie-Governance-Funktion entwickelt ihren eigenen Prozess und liefert ihre eigenen Ergebnisse. Und dann stellt das Strategieteam einen Dreijahresplan für eine coole Technologie auf, die sie gerne einsetzen würden. Und die Strategie ist oft eher das Ergebnis von Geschäftsfaktoren und langfristigem Nachdruck auf die technologische Entwicklung als auf das Risikomanagement. Was ich also vorschlage, und das ist etwas, das ich wiederum von einem Gartner-Modell übernommen habe, ist, dass wir einen anderen Ansatz für das integrierte Risikomanagement wählen, und diese integrierte, risikozentrische Sichtweise besagt, dass das Risikomanagementteam das Risiko messen und priorisieren soll, während es seine Ergebnisse an ein Sicherheitsbewertungsteam weitergibt. Das bedeutet, dass, wenn es die Risikobereitschaft eines Unternehmens misst und die Risikoschwellen misst, es sagen wird, dass das Risiko einer Datenverletzung wirklich hoch ist, dann sollte das Sicherheitsbewertungsteam seine Prioritäten aus der Bewertung des Risikoteams ableiten. Ein Sicherheitsbewertungsteam kann auch ein Pentest-Team sein. Es könnte ein externes Team sein, das Sie für Penetrationstests oder eine Art von Technologiebewertung hinzuziehen. Und sie sollten sich an einer Risikobewertung orientieren. Und diese Risikobewertung wird dann gemessen und nach Prioritäten geordnet, wobei wiederum ein Geschäftsziel zugrunde gelegt wird und eine Anpassung an den Geschäftsappetit und die Prognose erfolgt.

Brian Johnson: Und dieses Testprogramm wird dann die Ergebnisse quantifizieren. Sie geben ihre Kontrollzusicherung ab und sagen, wir haben vier Vorfälle der Priorität 1 gemessen, wir haben zwei Vorfälle der Priorität 2 aufgedeckt und wir stufen die Umgebung als anfällig ein. Das fließt dann natürlich in die Einhaltung der Vorschriften und die Governance ein. Und diese Funktion oder dieser Rahmen für den Aufbau eines adaptiven Risikoprozesses hilft wirklich dabei, jedes der Teams auf dem Weg zu informieren, so dass Sie einen risikozentrischen Ansatz durch die Sicherheitssicherung und die Governance-Funktionen beibehalten, Und die Funktion der Strategie muss dann sagen, wenn wir eine Richtlinie schreiben, und sagen wir, die Organisation ist klein, und Sie haben eine Richtlinie für Technologie, dann beginnt das oft mit dem Endbenutzermanagement, wenn wir sagen, die akzeptable Nutzungsrichtlinie ist, dass die Leute E-Mail und Internet für geschäftliche Zwecke nutzen, und Sie definieren einige Kriterien dafür, dass die strategische Richtung oder der Treiber der Richtlinie selten durch das Risiko informiert wird, das durch Testergebnisse gemessen wurde. Normalerweise ist es ein angestrebtes Ziel, dass wir eine AUP oder eine IT-Richtlinie aus einer Verpflichtung heraus schreiben. Wir neigen also dazu, die Linie zu ziehen, wenn Sie direkt auf die horizontale Ebene blicken, und wir neigen dazu, die Linie der Konformität und der Strategie als Hauptindikator dafür zu ziehen, was in der Richtlinie stehen sollte. Wie sollte unsere strategische Ausrichtung aussehen? Nun, schauen wir uns an, was die Verpflichtungen zur Einhaltung der Vorschriften sind. Mein Argument ist, dass es um mehr als das gehen sollte. Sie sollte sich auch auf das stützen, was wir in eine Governance-Funktion eingebaut haben: Issue Management, Feedback und Output. Und dann auf der Grundlage von Risikobewertungen nach Prioritäten geordnet und geprüft werden. Und für die Risikobewertungen können Sie, wie gesagt, zumindest für den Anfang eine Tabellenkalkulation oder einen Back-and-Serviette-Ansatz verwenden. Aber solange Sie sagen können, dass wir ein Geschäftsrisiko gemessen haben, können wir die Ergebnisse quantifizieren, dann wird das jeden der Testtreiberpläne informieren, die Durchsetzung des Problemmanagements, und dann wird das Strategieteam ihre Richtlinien und ihre Beurteilungen darüber erstellen, wie man Richtlinien schreibt oder wie man eine Roadmap gegen diese Ziele und aus dem Wert, der aus den Testergebnissen in den Regierungsfunktionen entsteht, vorantreibt.

Brian Johnson: Also, ähm, ich werde mich kurz damit befassen und dann auch diesen Punkt behandeln. Wenn wir uns also mit dem Aufbau einer Funktion der Informationssicherheit und von Risikomanagementprogrammen in der Organisation befassen, noch einmal, wenn Sie darüber nachdenken, wie Sie anfangen sollen, sieht das nach einer Menge zum Kauen aus, aber wenn Sie darüber nachdenken, wie Sie anfangen sollen, würde ich damit beginnen, Ziele und Schlüsselergebnisse zu definieren. Ich würde sagen: Was sind die Ziele der Organisation, die wir erreichen wollen? Wenn es darum geht, in einen neuen Markt zu expandieren oder sich aus dem Markt zurückzuziehen, dann wollen wir die Schlüsselergebnisse in Form von Risiken und Schlüsselrisikoindikatoren messen. In vielen Unternehmen wird derzeit darüber nachgedacht, ob eine Funktion im Unternehmen, die ein Produkt bereitstellt, verkleinert oder reduziert werden soll, was ebenfalls einer Risikobewertung unterzogen werden muss. Ich behaupte, dass Risikomanagement ein Teil des Lebenszyklus eines jeden Unternehmens ist, egal ob es sich um eine Expansion oder einen Abschwung handelt, und wenn wir über Abschwungoptionen nachdenken, ist es genauso wichtig, wenn nicht sogar noch wichtiger, Risikomanagemententscheidungen in diese Überlegungen der Geschäftsleitung einzubeziehen, als wenn wir unsere bestehenden Aktivitäten beenden oder aufrechterhalten. Diese Schlüsselindikatoren für das Risiko könnten so aussehen, dass wir bei einem Geschäftsrückgang sicherstellen, dass wir eine Validierung der Datenverschiebung, der Datenzerstörung, des Zugriffs auf alle Schlüsselfunktionen durchgeführt haben, die Sie in die potenziellen Auswirkungen auf die Marke oder den Datendiebstahl und die Auswirkungen auf ein Unternehmen durch den Verlust von Aufzeichnungen einbeziehen würden, die Sie möglicherweise quantifizieren. Und dieser Ansatz gibt uns wiederum eine ganzheitlichere Sicht auf das Geschäftsrisiko, so dass wir sicherstellen können, dass die Führungskräfte ihre Entscheidungen unter Berücksichtigung des Geschäftsrisikos und der von uns durchgeführten Messungen treffen. Ein weiterer Aspekt, den ich ansprechen möchte, ist, dass wir bei der Bewertung der Einhaltung von Richtlinien oft feststellen, dass eine Richtlinie erstellt und für ein Jahr oder so beibehalten wird.

Brian Johnson: Ein Teil des adaptiven Modells ist die Verwendung von Richtlinien, und diese müssen nicht so ausführlich sein, dass man 20 Richtlinien schreibt, aber selbst zwei oder drei Richtlinien, die in angemessener Weise verfasst wurden, sollten in einem vierteljährlichen Aktualisierungszyklus oder sogar auf der Grundlage von Beiträgen aller Teams aktualisiert und informiert werden. Bei der Überarbeitung einer Richtlinie, die zum ersten Mal verfasst wird, sollte natürlich ein wichtiger Interessenvertreter aus jeder Funktion einbezogen werden. Gibt es einen Leiter des Risikoteams oder einen repräsentativen Analysten? Gibt es jemanden aus dem Prüfteam, der die Lücken aufzeigen kann, die er bei Kontrollversagen sieht? Gibt es jemanden aus dem Bereich Compliance, der die rechtlichen und erforderlichen Komponenten Ihrer Politik vertritt? Und wie fügt sich dann die Funktion des Problemmanagements und der Strategie in die Richtlinienerstellung ein - als eine Art umfassende Sichtweise auf die Frage, wie wir sicherstellen, dass Sie die Richtlinien durchsetzen. Sie ist also so verfasst, dass wir sie messen können und das Strategieteam einen zukünftigen Nutzen aus einer Richtung zieht, die Ihnen ein projiziertes Ziel gibt, und dass die Richtlinie so verfasst ist, dass sie Ihren Kontrollstatus tatsächlich vorantreibt und nicht nur die Einhaltung dessen anstrebt, was wir als Basisniveau für Richtlinien erwarten. Das sind also einige Komponenten, die ich Ihnen bei der Einführung eines Risikomanagementprogramms ans Herz legen möchte. Lassen Sie mich auch auf diese Themen eingehen. Ich glaube, ich habe eine Frage gesehen, auf die ich gerne eingehen möchte, um sie gleich zu beantworten. Bob Shaw fragte nach der Abdeckung von Punkten, die für viele Unternehmen eher erstrebenswert sind, und nach deren Quantifizierung. Die Risikoquantifizierung ist wiederum etwas, das nicht nur in die DNA eines Unternehmens eingebaut ist, wie wir sagen, sondern auch etwas, das durch einen wiederholbaren Prozess gemessen werden kann, der besagt, dass wir ein Quantifizierungsmodell erstellen werden. Und dieses Modell kann besagen, dass wir das Risiko von Schwachstellen messen werden, und die Schwachstellen können tatsächlich einen entsprechenden Wert haben.

Brian Johnson: Und wenn wir einen Score für das Schwachstellenmanagement erstellen und gewichten, dann könnte das Schwachstellenmanagement, nehmen wir den Equifax-Bruch als Beispiel, einen gewichteten Score von 40 % des Risikos der Integrität der Umgebung oder der Auswirkungen auf die Systemverfügbarkeit haben. Wenn man das auf eine Art und Weise misst, die das Risiko quantifiziert, kann man dieses Risiko in einem Punktesystem ausdrücken. Wenn man also mit einer Punktzahl von 1 bis 10 für das Risiko beginnt, dann kann man das Risiko durch Addition oder Akkumulation einer Gesamtsumme dieser Punktzahlen ermitteln, egal ob es sich um Schwachstellen oder Zugriff handelt, wenn man etwas wie das NIST CSF-Framework oder ein Modell von ISO verwendet. Es gibt jedoch einige großartige Tools, mit denen man die Art und Weise der Messung von Sicherheitsbereichen modellieren und gewichten kann, und ich würde diese mit einem objektiven Risiko verbinden, und diese Punktzahl oder dieses objektive Risikoformat wird von der Kontrolle, die man misst, abgeleitet oder addiert. Wenn Sie also eine Schwachstellenbewertung nehmen und ein Modell erstellen, das besagt, dass ich alle offenen Schwachstellen nehme, sie mit einem SLA vergleiche und sage, wie lange wir brauchen, um sie zu patchen, dann quantifizieren Sie eine Bewertung und sagen, auf einer Skala von 1 bis 10 oder 1 bis 100, wie granular auch immer Sie diese Bewertung liefern möchten. Dann werde ich diesen Wert des Schwachstellenmanagements messen und ihn mit dem Risiko in Verbindung bringen. Und in Ihrem Unternehmen kann es das Risiko eines Verfügbarkeitsverlustes sein. Es kann das Risiko der Ausfallsicherheit sein, wenn Sie vertraglich verpflichtet sind, die Servicezeiten einzuhalten, oder es kann das Risiko einer Datenpanne und der geschäftlichen Auswirkungen auf die Marke sein. Sie assoziieren diese Kontrollen wie Schwachstellenkontrollen zum Scannen, zum Patchen, zur Behebung und zur Konfiguration. Und Sie verbinden diese Kontrollen mit dem Risiko und fassen sie zu einer Gesamtsumme zusammen. Und die Tools, die Sie auf dem Markt sehen werden, die sich darauf beziehen, werden sich in dem Maße weiterentwickeln, wie wir mehr und mehr Fortschritte sehen, wie z. B. bei der Prävalenzherstellung.

Brian Johnson: Sie werden sehen, dass sich die Annahme dieser Kontrollen und die Quantifizierung des Risikos in ein Modell verwandeln, das Sie an Ihr Unternehmen anpassen und so aufbauen können, dass es Ihnen bei der Verwaltung von Kontrollen und der Zuordnung von Risiken zu einem Schwellenwert für das Geschäftsrisiko hilft. Und die Messung des Fortschritts ist viel einfacher zu vermitteln, wenn Sie eine Reihe von Zielen definiert haben und eine Möglichkeit, das Risiko anhand dieser Ziele zu messen und zu überwachen. Ich werde also eine Pause einlegen. Ich denke, das ist wahrscheinlich ein guter Punkt, auch wenn ich hier schon eine Menge Material behandelt habe. Lassen Sie uns mal sehen, ob wir irgendwelche Fragen haben. Peter, bist du noch in der Leitung?

Peter Schumacher: Das bin ich. Ich bin immer noch hier. Und wir haben ein paar Fragen, die reingekommen sind. Ich möchte jeden ermutigen, seine Fragen in den Abschnitt "Fragen und Antworten" am Ende der Seite einzutragen. Aber in der Zwischenzeit, äh die, die reingekommen sind, lassen Sie mich Ihnen ein paar vorlesen. Oh, in der Zwischenzeit möchte ich eine Umfrage starten. Lassen Sie mich das einfach auf Ihrem Bildschirm anzeigen. Also gut. Wenn es Ihnen also nichts ausmacht, die Umfrage zu beantworten, während wir ein paar Fragen durchgehen, wäre ich Ihnen dankbar. Die erste Frage lautet also: Wie kann das Risikomanagement für Dritte weiterhin einen geschäftlichen Nutzen bringen? Und der zweite Teil der Frage lautet: Wie können Sie das nutzen, um eine Finanzierung durch Ihren Vorstand zu erhalten?

Brian Johnson: Eine ausgezeichnete Frage. Also, wissen Sie, das Risikomanagement von Drittanbietern ist eine Funktion unserer Risikomanagementprogramme geworden, nicht nur, weil wir zu mehr SAS-Anbietern oder mehr Cloud-Anbietern migrieren. Ähm, aber es ist dieser interessante Bereich, in dem Unwissenheit manchmal ein Segen ist. Wir neigen dazu, Drittanbieter und ihre Kontrollen als selbstverständlich anzusehen, und doch haben wir wiederholt gesehen, dass wir die Risiken von Drittanbietern nicht oft genug messen. Und da der Aspekt des Anbietermanagements im Lebenszyklus und die Messung des Risikos dieser Anbieter für unser Unternehmen mehr mit den Geschäftsfunktionen in Verbindung gebracht wird, werden wir sehen, dass die Messung des Risikos für die Integration von Drittanbietern in Ihr Unternehmen in den Kontext der Auswirkungen auf Ihr Geschäft gestellt werden muss, ganz gleich, ob es sich um einen Cloud-Anbieter, einen Anbieter von Gehaltsabrechnungen oder einen anderen Anbieter handelt. Richtig? Mit anderen Worten: Ein Anbieter von Lohn- und Gehaltsabrechnungen kann für ein Unternehmen ein geringes Risiko darstellen, für ein anderes hingegen ein größeres Risiko. Das muss also so quantifiziert werden, dass Sie mit dem Scoring warten können. Wir geben Ihnen dann eine Ansicht, die Sie als Dashboard, als Heatmap oder als Diagramm verwenden können und die Sie in eine Präsentation auf Wortebene einbinden können, die besagt, dass das Risiko von Dritten Teil eines Investitionsplans sein muss. Und egal, ob es sich um Personal, Kontrollen oder Tools handelt, die Kosten für Investitionen in Dritte müssen davon ausgehen, dass die Risiken, die wir abwägen, die Validierung dessen, was diese Dritten als Risiko für unser Unternehmen darstellen. Und Risikoabbau bedeutet, dass wir entweder das Restrisiko akzeptieren, dass diese Drittpartei ein hohes Risiko für das Unternehmen darstellt, oder wir können in Kontrollen investieren und dieses Risiko abbauen und das so formulieren, dass wir das Risiko von einem hohen Schweregrad auf einen mittleren reduzieren, indem wir zusätzliche Kontrollen einrichten oder zusätzliche Bewertungen für Drittparteien durchführen. Nicht zu messen ist natürlich keine Option, weil wir nicht nur ein Risiko auferlegen, das dann nicht verstanden oder nicht gemessen wird. Aber dann muss der Vorstand Rechenschaft darüber ablegen, wer für welche Sichtbarkeit verantwortlich ist, und wir lassen viele Lücken in unserer Führungsaufsicht. Aber wir haben in der Branche oft gesehen, dass die Bewertung von Drittanbietern und Risiken im Lieferantenmanagement und die Zusammenfassung dieser Risiken in einem Bericht mit quantifizierbaren Werten die Aufmerksamkeit und den Appetit eines CFO oder COO auf die Frage, wie kann ich das Risiko reduzieren, deutlich erhöht. Wenn Sie das Risiko in diesem Bereich artikuliert haben, lautet die zweite Frage, auf die wir eine Antwort finden müssen: Wie kann ich es verringern? Was ist die Alternative und die Lösung für dieses Problem? Und eine Lösung könnte sein, dass wir uns andere Anbieter ansehen. Wir könnten uns tatsächlich nach anderen Drittanbietern umsehen, die ein geringeres inhärentes Risiko aufweisen, und wir könnten dies als Option in unserem Programm in Betracht ziehen, oder wir könnten einfach sagen, dass wir entweder dieses Risiko akzeptieren, aber es zumindest verstehen und messen, oder wir könnten zusätzliche Kontrollen einführen. Es kann zu einer Diskussion mit dem Anbieter kommen. Wir werden Sie bei der nächsten Erneuerung bitten, Ihren Audit-Zugang zu verbessern. Ihren Bewertungsplan für uns. Sie werden uns eine zusätzliche Kontrolle oder ein zusätzliches Tool zur Verfügung stellen oder etwas vorschlagen, das uns zusätzliche Sicherheiten in Bezug auf Datenschutz, Zugangsbeschränkungen oder was auch immer das Modell ist, mit dem wir versuchen, Dritten Sicherheit zu geben. Aber ich würde das dem Vorstand in einer Weise vorlegen, die wiederum so quantitativ wie möglich ist und auch Lösungen und Vorschläge für Alternativen enthält.

Peter Schumacher: Interessant. Ja, ich finde, dass der Kauf von Risiken ein faszinierendes Thema ist, und ich weiß, dass Sie ein ganzes Webinar darüber machen könnten. Ähm, wir haben noch ein paar andere Fragen, die seitdem eingegangen sind. Lassen Sie uns also zum gleichen Thema übergehen. Welche spezifischen Bereiche von Risikoereignissen schlagen Sie vor, in Ihre quantitative Analyse einzubeziehen, um Risiken zu messen und den Wert des Risikomanagementprogramms für das Unternehmen nachzuweisen? Ich denke, Sie können diese Frage wahrscheinlich schon sehen.

Brian Johnson: Ja, gute Frage, Rob. Also, ich denke, bei der Messung dieser spezifischen Risikoereignisbereiche suchen Sie nach Dingen wie finanziellem Verlust, also finanziellem Verlust. Es gibt eine Liste davon, wenn man sich die verschiedenen Branchen ansieht und es hängt von der Branche ab, aber branchenspezifisch gibt es eine für das Gesundheitswesen, eine für den Energiesektor, eine für den Technologiesektor, und viele dieser Rahmen für Risikoereignisse werden branchenspezifisch formuliert, aber im allgemeinen Sinne sind die Risikoereignisse im Allgemeinen finanzielle Auswirkungen, Wenn Sie nach einer branchenspezifischen Auswirkung suchen, dann können Sie quantifizieren, wie hoch diese Sanktionen oder die Kosten pro Datensatz sein könnten, und was ich dann in Betracht ziehen würde, und ich bin nicht zu sehr darauf eingegangen, weil ich etwas Zeit für Q&A sparen wollte, aber das Bedrohungsmanagement und die Das wäre etwas, das man sich anschauen kann, wenn man nach NIST sucht, wenn man einfach Google NIST CSF Cyber Security Framework, das von NIST definiert wurde, eingibt, erhält man eine Liste von Ansichten und kann die Kontrollen mit den Risiken in Beziehung setzen und dann eine Risikoansicht formulieren. Gartner hat einen großartigen Artikel über die Definition von Risikomanagement und Risiko-Scorecards für Ihr Unternehmen. Forester hat auch einen. Ich bin jedoch sehr ermutigt durch die Tatsache, dass die Risikodiskussionen und die Terminologie rund um das Risiko allmählich ausgereift sind. Es gibt in der Tat, ähm, für diejenigen, die mit D&D oder Energie oder entschuldigen Sie, oder Regierungsverträgen zu tun haben, werden Sie das CMMC sehen. Sie können CMMC googeln und es ist auf dem Portal der Regierung zu finden. Es gibt eine Ansicht für ähm Fed Ramp und für äh für Anforderungen für Mindestanforderungen an Reifegradbewertungen und sie artikulieren tatsächlich ein Rahmenwerk, das sie von NIST und von ISO und von einigen anderen Standards ableiten, das einen wirklich großartigen Überblick über Cybersicherheit und Risikomanagement äh Reifegrade gibt und sie werden bestimmte Dinge benennen, wenn Sie in der staatlichen Einrichtung oder im Verteidigungssektor sind, werden Sie sehen, dass viele dieser Erwartungen der Verteidigungsunternehmer die Anforderungen für Reifegradbewertungen erhöhen und diese Reifegradbewertungen werden durch Risikobewertung gemacht. Daher würde ich diese Ressourcen und Werkzeuge auch dringend empfehlen.

Peter Schumacher: Danke Brian. Ähm, mal sehen, wie es weitergeht. Diese Frage ist also interessant. Ich weiß nicht, ob Sie eine gute Antwort haben werden. Es geht um die Frage, wie Sie die zukunftsgerichteten Risiken aufgrund der CO9-Pandemie angehen, wenn die meisten risikobasierten Bewertungen auf historischen Daten beruhen. Holen Sie also Ihre kleine Wahrsagerkugel heraus und lassen Sie es uns wissen. Brian,

Brian Johnson: Ich meine, ich werde alle wirtschaftlichen oder politischen Prognosen vermeiden, aber ich würde sagen, dass die Messungen des Geschäftsrisikos niemals - und ich weiß, dass dies eine utopische Welt ist - eine Überraschung für Ihr Unternehmen sein sollten. Mit anderen Worten, mit einer angemessenen Notfallplanung, mit einer angemessenen Bewertung des Geschäftsrisikos sollte Ihr Plan so aufgebaut sein, dass er die Möglichkeit bietet, das Geschäft nach oben oder unten zu flexen, die Kontinuität zu planen und die Belegschaft zu wechseln. Für ein großes Unternehmen ist das natürlich schwierig. Die großen Unternehmen, die wir haben, haben auf jeden Fall die Fähigkeit und den Umfang, um diese Mitarbeiter-Kontinuitätspläne zu verwalten. Aber ich habe auch mit einigen Kleinunternehmern und mittelständischen Unternehmenspartnern und Kollegen von mir und einigen Freunden, die kleine Unternehmen leiten, zusammengearbeitet, die das Gleiche getan haben. Wenn Sie also eine vierteljährliche Bewertung durchführen, wie stellen wir sicher, dass unsere Mitarbeiter aus der Ferne eine Verbindung herstellen können, wenn das Gebäude in die Luft fliegt, richtig? Oder wenn die Standorte nicht mehr verfügbar sind. Wenn Sie diese einfachen Kontinuitätspläne in Ihren Geschäftsplan einbauen, erhalten Sie eine vorausschauende Risikobewertung. Die vorausschauenden Risiken nach der Pandemie sehen also sehr interessant aus, weil ich meine, dass in einigen Fällen Unternehmen ich habe neulich versucht, bei Walmart einzukaufen, und ich meine, das ist kein Schlag gegen Walmart. Ich bin ein großer Fan, aber ich habe gerade versucht, auf walmart.com einzukaufen, und meine Frau hat mir gestern gesagt, dass ihre Website nicht verfügbar ist. Ich sagte, das ist interessant, denn man kann ja versuchen, in den Laden zu gehen, und dann ist man auf die Anzahl der Leute beschränkt. Ähm, aber die Planung der Website ist etwas, das, wenn man an die Kapazitätszuweisung denkt, Unternehmen, die jetzt mehrheitlich online gehen, wo es früher eher zweitrangig war, nicht für diese Art von Wachstum eingeplant haben. Einige dieser vorausschauenden Anpassungen basieren also auf dem Modell "Was passiert?" und den "Was wäre, wenn"-Szenarien. Was wäre, wenn unsere Drei-Jahres-Einschätzung, dass wir das Einkaufen zu 25 % auf Online-Kassen verlagern, morgen eintreten würde, und wenn wir diese interessanten Fragen stellen, erhalten wir zumindest eine Szenarienplanung. Was also, wenn wir in drei Jahren um 50 % wachsen? Was ist, wenn wir in drei Jahren um 50 % schrumpfen? Und dann modellieren wir das in sechsmonatigen Abständen. Wenn wir also zurückblicken und sagen, was hat die Branche in den nächsten drei Jahren geplant? In einigen Fällen, in den meisten Fällen, haben die Unternehmen das Gegenteil von dem gesehen, was sie geplant hatten. Wie oft planen wir also für Abschwünge und bewerten das Risiko im Zusammenhang mit der Notfallplanung? Okay, wenn wir das nicht aktiv tun, würde ich sagen, dass wir bei der vorausschauenden Betrachtung, wie wir nach Risiken Ausschau halten, diese Modelle prüfen, wie wir den Personalabbau planen, wie wir nach Expansionsmöglichkeiten Ausschau halten, ob es in diesem Markt, in dem einige Unternehmen wirklich niedrig bewertet sind, Übernahmemöglichkeiten gibt, die unser Unternehmen verfolgen könnte, und welche Art von Risiko würde das für uns bedeuten? Oder wollen wir schrumpfen und unsere Präsenz verringern und das Risiko auf der Grundlage dieser Entscheidungen messen, die das Unternehmen treffen wird? Und all diese Szenarien sollten zumindest in Form eines Tischspiels dokumentiert werden. Spielen Sie eine Tabletop-Übung durch, werfen Sie die Drei-Jahres-Roadmap heraus, überlegen Sie, was wäre, wenn es in drei Monaten passieren würde, und kehren Sie es dann in die andere Richtung um. Was würde passieren, wenn wir zum Geschäft von vor einem Jahr zurückkehren und was wäre, wenn das in den nächsten drei Monaten passieren würde? Für mich ist es einfach, mit Dreiergruppen zu arbeiten. Drei Jahre im Voraus mit einer dreimonatigen Beschleunigungsoption, drei Jahre im Rückstand mit einer dreimonatigen Beschleunigungsoption. Das könnte Ihnen vielleicht einige Einschränkungen bei der Szenarienplanung geben.

Peter Schumacher: Ein guter Rat. Ähm, ich habe noch ein paar Fragen. Wir haben... Mal sehen, wie spät es ist. Ja, wir haben noch ein bisschen Zeit. Also, ähm, lassen Sie mich zu dieser Frage übergehen. Es geht um dasselbe Thema, aber worauf werden sich die Aufsichtsbehörden Ihrer Meinung nach im Laufe dieses und des nächsten Jahres beim Risikomanagement für Dritte konzentrieren? Glauben Sie, dass sich die Vorschriften überhaupt ändern werden, oder wie sehen Sie das?

Brian Johnson: Ja, in einigen Gesprächen, die ich mit Leuten von den Aufsichtsbehörden geführt habe, haben wir bereits eine dramatische Verschiebung der Aufmerksamkeit der Aufsichtsbehörden gegenüber Dritten festgestellt. Wir fangen bereits an, Fragen nach Ihren Notfallplänen zu stellen, und das ist ein Teil jeder Diskussion, die wir auf Vorstands- und Geschäftsführungsebene führen. Ihre Pläne für die Abhängigkeit von Dritten, die Widerstandsfähigkeit des Unternehmens und die Abhängigkeit des Unternehmens von Dritten sind wichtige Bestandteile Ihres Geschäftsplans. Wir sehen also, dass die Regulierungsbehörden natürlich darauf achten und zur Kenntnis nehmen, dass unsere Abhängigkeit als Unternehmen stark von Dritten abhängt. Die Kapazitätsmodelle, die Abhängigkeit von der Verfügbarkeit von Ressourcen und Mitarbeitern sowie die Lieferkette sind wichtige Bereiche, auf die wir uns konzentrieren. Die Messung des Risikos in Bezug auf Dritte ist meines Erachtens also nicht nur ein echter Verkauf. Es könnte nicht wichtiger und kritischer für einen Geschäftsplanungsprozess sein, da wir solche Knockoff-Effekte bei nachgelagerten Lieferanten, vorgelagerten Lieferpartnern, Vertriebs- und Logistiknetzwerken sehen. Es ist ein krasser Gegensatz zu den Problemen, die wir früher hatten. Wenn man nicht gerade ein Amazon oder Netflix ist, betrachtet man das Geschäft von einem völlig anderen Modell aus und mit einem anderen Blick auf die Art und Weise, wie wir unsere Dienstleistungen mit unseren Providern erbringen, und ob unsere Provider die Anforderungen durch die Brille eines Dritten erfüllen können, der sagt: "Hey, Dritter, sag mir, was passiert, wenn das Geschäft um 50 % steigt. Wie hoch sind Ihre Kapazitätsschwellen, wenn sich Ihr Personalabbau auf uns auswirkt? Und was sind die SLAs, die ich in den Vertrag aufnehmen muss, und die vertraglichen Verpflichtungen im Zusammenhang mit diesen SLAs geben Ihnen dann hoffentlich einen Einblick in die Art der risikobasierten Entscheidungen, die Sie treffen. Sie haben einen Eventualvertrag mit einem anderen Anbieter. Vielleicht haben Sie eine Backup-Option, über die Sie Dienste oder Fähigkeiten bereitstellen können, und Sie bauen einen Teststandort auf. Und eine Sache, die wir in verschiedenen Unternehmen, in denen ich tätig war, manchmal gemacht haben, ist, dass wir zumindest eine Partei haben, die eine Art Eventual- und Drittpartei ist, mit der wir zumindest eine Beziehung haben, dass wir sie in Bereitschaft haben oder dass wir eine Funktion an diesem Standort hosten, so dass wir in der Lage sind, Dienste dort bereitzustellen. Aber ja, es ist sicherlich eine bedeutende Veränderung sowohl in der regulatorischen Landschaft als auch in dem, was wir von der Compliance und den Lappen sehen, die im nächsten Jahr zunehmen werden.

Peter Schumacher: Interessant. Es ist Zeit für zwei weitere Fragen, denke ich. Äh, und diese Frage können Sie gerne stellen, aber ähm, was tut PayPal derzeit, um das Risiko Dritter zu managen? Und ich verstehe, wenn Sie nicht darüber sprechen können oder wollen.

Brian Johnson: Ja. Ich entschuldige mich, Tony. Ich bin nicht in der Lage, das in diesem Thema oder in diesem Forum zu diskutieren. Ich würde das gerne in einem anderen Forum tun, wo ich das Thema sozusagen in die Warteschlange gestellt habe, aber ich würde einfach sagen, dass man auf Unternehmensebene davon ausgehen sollte, dass die Dinge, die ich heute erwähnt habe, eine ganzheitliche Sichtweise mit vielen Ebenen des Risikomanagements und der Definition der Risikobereitschaft in den Programmen beinhalten.

Peter Schumacher: Na gut. Äh, nächste Frage. Wie kann man Risiken vermeiden, wenn wir heutzutage Daten online austauschen? Ähm, die meisten Tage die meisten äh durch die meisten durch jeden Modus speziell wenn es keine andere Option gibt. Wie kann man Risiken vermeiden, wenn wir heutzutage Daten online teilen?

Brian Johnson: Eine Sache, die ich einfach beantworten würde, und und und und Ponita, ich werde einfach ähm direkt sagen, dass wir das Risiko nicht vermeiden können, es gibt einfach keine Risikovermeidung, der einzige Weg, das Risiko wirklich zu vermeiden, ist der, dass der sicherste Computer der ist, der ausgeschaltet ist, ähm, und selbst dann gibt es ein Risiko, also würde ich sagen, dass es bei der Vermeidung von Risiken, wenn man Daten online austauscht, eher darum geht, das Risiko zu mindern und zu managen, und das ist die Messung verschiedener Methoden von Datenaustauschvereinbarungen, sei es durch Verschlüsselung oder durch Tunnel des Austauschs, äh, durch sichere Kanäle. Ich habe jedoch gesehen, und besonders in den letzten sechs Monaten, dass es bei vielen Anbietern, sei es über Office 365 oder Gmail, oder sogar bei Datenanbietern, mit denen wir einen Vertrag abgeschlossen haben, immer mehr Optionen und flexible Möglichkeiten für die gemeinsame Nutzung von Daten gibt, die eine sichere Datenübertragung ermöglichen. Socket oder für eine verschlüsselte E-Mail-Methode oder für einen Datenstrom und die gemeinsame Nutzung von Daten mit Dritten über diese Methode gibt es jetzt eine beträchtliche Menge an neuen Funktionen und neuen Möglichkeiten auf dem Markt, um Daten durch schlüsselbasierte Verschlüsselungs- und Verwaltungsoptionen zu verschlüsseln und zu verwalten. Auf technologischer Ebene haben sich die Möglichkeiten also erheblich erweitert, auf organisatorischer Ebene habe ich sogar bei Salesforce und Workday und vielen anderen gesehen, dass sie alle ihr Spiel bei der gemeinsamen Nutzung und Verschlüsselung von Daten und den Möglichkeiten der Datenverwaltung verbessern. Wenn Sie also sagen, dass Sie Daten an ADP oder an meinen Lieferanten senden und sicherstellen wollen, dass diese sicher sind, dann gibt es eine Fülle von Möglichkeiten. Sichere Datenübermittlungsoptionen kommen immer schneller auf den Markt, sind industriell stabil und einfach zu implementieren. Ich würde also sagen, dass Ihre Vereinbarungen über die gemeinsame Nutzung von Daten, Ihre Vereinbarungen mit Dritten Klassifizierungen von Daten enthalten müssen, Sie wissen schon, verwenden Sie eine Datenklassifizierungsmatrix und definieren Sie, ob ich Klasse eins, Klasse zwei, Klasse drei, Klasse vier habe. Verwenden Sie einen Datenklassifikator und beschreiben Sie, welche Arten von Daten für jeden dieser Typen auf der Grundlage Ihres Unternehmens in Frage kommen. Es könnte sein, dass Informationen zum öffentlichen Gesundheitswesen eine Klasse in Ihrer Klassifizierungsmetrik sind. Aus dieser Matrix ergeben sich dann die Anforderungen und Kontrollen, die Sie gegenüber dem Dritten durchsetzen werden. Sie legen diese in Ihrem Vertrag fest und sorgen dafür, dass der Datenaustausch überwacht und getestet wird, um sicherzustellen, dass sie mit Ihren Richtlinien übereinstimmen, aber definieren Sie diese in den Richtlinien mit Ihren Dritten. Messen Sie sie als Teil Ihrer Fragebögen. Holen Sie Daten und Feedback über das Produkt ein, um die Bewertungen Dritter zu verwalten und sicherzustellen, dass die Datensicherheitsstandards innerhalb Ihrer Klassifizierung und Definition des Datenaustauschs eingehalten werden. Und dann führen Sie routinemäßige Audits dazu durch. Sie können sie sogar bitten, dies zu bescheinigen, wenn Sie das in Ihren Vertrag einbauen können, und dann Ihr Team oder Sie selbst um Stichproben bitten, um dies zu validieren und Änderungen zu messen, die Sie an den Tools und Lösungen vornehmen, die Sie zwischen ihnen implementieren. Aber ich wäre wirklich überrascht, wenn ein Drittanbieter nicht die Option für einen sicheren Datenaustausch mit vertraulichen Daten oder sensiblen Informationen anbietet, und wenn nicht, würde ich mich natürlich nach einem anderen Anbieter umsehen.

Peter Schumacher: ein guter Ratschlag, danke, nicht der, sich nach einem anderen Anbieter umzusehen, sondern die allgemeine Antwort, ein guter Ratschlag, ähm, ich denke, die letzte Frage hier, äh, ist eine gute Frage, denke ich. Wenn Sie Teil eines Unternehmens sind, das in hohem Maße von Dritten abhängig ist, würden Sie dann das Konzentrationsrisiko bei Dritten als Teil Ihrer wichtigsten strategischen Risiken betrachten? Wenn nicht, wie würden Sie ein solches Risiko angehen und würden Sie es in eine andere Risikokategorie einordnen oder als eigenständige Risikokategorie betrachten?

Brian Johnson: Ja. Das ist eine großartige Frage. Ähm, und ich würde sagen, dass die Kategorie des Drittparteirisikos in den meisten Unternehmen eine Kategorie auf höchster Ebene ist. Das Drittparteirisiko ist natürlich mit vielen anderen Bereichen im Unternehmen verbunden, aber als Risikomanagementfunktion für Dritte. Es wird sehr oft als ein Risikoposten auf der obersten Ebene, Sie wissen schon, sogar auf Vorstandsebene, behandelt, und so wird das Management von Drittparteirisiken nicht kleiner. Ich glaube nicht, dass irgendjemandes Geschäft heute weniger von Dritten abhängig ist als vor 10 oder vor fünf Jahren. In dem Maße, wie die Abhängigkeit von Dritten zunimmt, müssen auch die Sorgfalts- und Kontrollanforderungen sowie die Validierung dieser Risiken steigen. Als das Thema Cloud in aller Munde war, sagten die Leute: "Hey, die Cloud ist doch nur das Rechenzentrum von jemand anderem, und alles funktioniert genauso." Nein, das ist sie nicht. Wissen Sie, kein Dritter, kein Dienstanbieter macht seine Geschäfte so, wie Sie sie machen würden, wenn sie intern wären. Die Kontrollen müssen also an die Risiken angepasst werden, und die Quantifizierung der Risiken für Ihr Unternehmen muss an diese Risiken angepasst werden. Ein Ausfall eines Dritten oder die Nichtverfügbarkeit von Ressourcen eines Dritten oder ein Streik oder ein Beschäftigungsproblem oder ein Rechtsstreit mit diesem Dritten hat nicht unbedingt dieselben Auswirkungen auf Ihr eigenes Kerngeschäft. Daher müssen Sie diese Risiken auf einzigartige Weise managen, um zu gewährleisten, dass das Risiko Dritter, das zu einem immer bedeutenderen Teil Ihres Geschäfts wird, anders und einzigartig gemessen und quantifiziert wird als das Risikobewertungsteam für Dritte.

Brian Johnson: Danke für diese Frage.

Peter Schumacher: Gutes Argument. Eine gute Frage zum Schluss. Ich werde die Umfrage hier beenden und danke Ihnen, dass Sie heute bei uns waren. Vielen Dank, Brian, für die vielen Einblicke. Ich möchte Sie daran erinnern, dass wir diese Sitzung aufzeichnen und sie morgen gegen Ende des Tages verschicken werden. Also, vielen Dank an alle für die Teilnahme. Genießen Sie den Rest des Tages und wir sehen uns beim nächsten Webinar.

Brian Johnson: Danke Peter. Ich danke dir sehr.