Verwendung von ISO 27001 zur Erstellung umsetzbarer TPRM KPIs & KRIs

Ash: Äh, lassen Sie uns allen eine Minute Zeit, damit sie sich mit ihren Getränken und Snacks einrichten können. Und in der Zwischenzeit werde ich unsere erste Umfrage starten. Wir sind einfach neugierig darauf, was Sie zum heutigen Webinar führt. Geht es um Bildung? Stehen Sie noch am Anfang Ihrer TPRM-Reise? Hören Sie gerne britische Akzente? Wie auch immer, ich will Sie nicht verurteilen. Ich liebe sie auch. Ähm, wenn das gesagt ist, lasst uns loslegen und uns vorstellen. Äh, mein Name ist Ash. Ich arbeite in der Geschäftsentwicklung hier bei Prevalent und wir haben ein paar ganz besondere, bereits erwähnte Gäste dabei. Als Erstes unser Projektmanager Thomas Humphre. Wie geht's, Thomas?

Thomas: Ja. Gut. Alles gut hier.

Ash: Äh, unsere Lösungsingenieurin Sophie Apothecary. Wie geht's, Sophie?

Sophie: Mir geht's gut, danke Ashby. Ich hoffe, dir geht es auch gut.

Ash: Danke. Und zu guter Letzt möchte ich Ihnen unseren Vizepräsidenten für Produktmarketing, Scott Lang, vorstellen. Wie geht's, Scott?

Scott: Großartig, Ashley. Ich hoffe, es geht allen heute gut.

Ash: Nur zur Erinnerung, dieses Webinar wird aufgezeichnet und wir werden eine Kopie zusammen mit den Präsentationsfolien kurz nach dem Webinar verschicken. Ich habe Sie alle stumm geschaltet, aber ich liebe Fragen. Sophie liebt Fragen. Thomas liebt Fragen. Also bitte, bitte, bitte werfen Sie sie in die Q&A Box und sie werden sie am Ende des Webinars durchgehen. Heute werden Thomas und Sophie darüber sprechen, wie man den ISO-Rahmen zur Messung der TPR und des Programmerfolgs nutzen kann. uns. Ich übergebe also das Wort an Sie.

Thomas: Fantastisch. Vielen Dank, Ashley. Und ja, guten Morgen, guten Nachmittag, guten Abend, äh, meine Damen und Herren. Mein Name ist Thomas Humphre und ich begrüße Sie zu diesem Webinar, in dem wir uns auf die ISO 27.01 konzentrieren. Es steht im Zusammenhang mit TPRM und befasst sich insbesondere mit der Frage, wie wir die Kontrollen und Anforderungen bei der Betrachtung von KPIs, KIS und anderen Messungen herausarbeiten können, um ein erfolgreiches Ergebnis zu gewährleisten. Bei mir ist jetzt Sophie. Ähm, Sophie, wenn du dich vorstellen möchtest.

Sophie: Ja, vielen Dank, Thomas. Ähm, ich freue mich, heute hier zu sein. Ähm, guten Morgen, guten Nachmittag und guten Abend. Ich bin einer der Lösungsingenieure hier bei Prevalent und arbeite eng mit Thomas und dem gesamten Team zusammen, um die TPRM-Programme und den Erfolg in Bezug auf ISO 27.0001 und andere weiterzuentwickeln. Danke, Thomas.

Thomas: Thank you very much. And myself to someies. I’ve been with PEN for 5 years. Um I was previously an ISO auditor for the best part of 10 years working across many standards not least around 27,01 um on a local and uh global level um both in in certification bodies in the UK and in Singapore. Um just a very brief bit of housekeeping. Um as Ashley’s mentioned uh as usual um with these webinars we like to save some time at at the end for for a Q&A, but obviously throughout um today where where appropriate, we’ll answer some questions as well. So, any questions that come to mind, please um uh post them into the there should be a Q&A uh chat box or or window. Um and then as as as we go through um we’ll try and answer as many as we can. So, let’s kick off looking at what we’re going to be covering today. I’ll give an overview of 27,01, paying particular attention to to some of the newer elements um since the standard was re-released for looking at how we can map standard TPRM practices um across to 27,000 and an information security management system. I’ll take a look at some of the key controls and how we can derive and identify key controls particularly if if you’re just starting out on that journey um of using 27 for the first time. I’ll then touch on um performance and risk indicators and what that can look like for your TPRM journey as well as um uh around the 27,000 standard itself. Uh before finishing with some next steps and where we can we can go from here and where how how you can take some of this and some of this information forward um when you’re either beginning your journey or if you’re already partly through um or or ongoing on a on a TPM process. So started an introduction to ISO 27. So for anyone who’s who’s unfamiliar um Um 27 is ISO’s principal standard on information security. It’s one of their older standards and also it’s most widely adopted standards. Um the the overall structure and approach of 27,0001 is to is to provide a a a framework a structured framework for an organization to identify and set some governance in place in terms of identifying risk in in terms of information security. risk and then managing that risk through a series of activities, controls, policies and processes as well. So, it’s built around a very strong core of of governance in terms of how you manage um the life cycle of information security management as well as risk and good uh risk practices and risk best practices as well. Um as say it’s internationally recognized, it’s one of the most widely adopted frameworks um and uh not too dissimilar to many of the other ISO standards. Uh one of the reasons it’s it’s so widely adopted is its universal approach. So regardless of size and complexity of organizations, regardless of industries, sectors and even geographies, um there there’s always a use case to be had for how you can build best practice around 27,000 whether it’s from a certification standpoint or purely using the standard to drive that best practice um and understanding of of a good security posture. Uh just briefly to note that there are um many other standards. We’ll be briefly touching on 27,0002 because there’s a close relationship between 27,0001 which is the certifiable standard and 27,0002 which provides those implementation guidelines on how we can apply and develop and build upon those security controls and what those controls look like um uh in practice. Um it’s always important to note that um although we’re focusing on 27,01 and2 Specifically um as is common with ISO they build what they call a family of wider standards which can sometimes be used to address sector or technology specific applications on how trend 70001 could be best used. So for example how it can be used for cloud environment and cloud provider or how secure how trend 70001 could be applied say in the healthcare sector or in the legal sector for example and so there’s quite a wider uh variety um of of of uh frameworks out there but nevertheless we’ll be dealing um very much with uh 2701 and two. So a very brief background so in 2022 uh the standard was re-released um roughly every 5 years ISO make the decision to formally review all their standards and the decision was made um that 20 uh 27,0001 was needed to be updated um and they seek to make uh updates based on new and emerging technologies where there are changes in um uh the way standards are used, the way standards are are are managed as well. And two of the biggest um outputs of this was a restructuring of the clauses. Um so for those who are perhaps less familiar, 27,000 split across two two main sections. One is the governance leadership management section of of what they call ISMS and then the second part is what they used to call annexa which is where all the technical controls organizational controls um are identified and the selection of which controls to meet the organization’s um use case and business cases. So there’s a restructuring of these clauses and they split them across what they’re called four control areas organizational people physical and technological based controls. So from an organizational con uh perspective areas in terms of uh access business continuity um uh and uh incident management and response, people in terms of background checks, uh personnel training um and on boarding. Obviously, physical controls in terms of physical protection of information systems um and then technological controls um particularly around from a data security perspective. So backup and encryption um addressing malware, addressing vulnerability and threat management. Secondly, and perhaps more interesting uh it developed these three areas it calls operational capability control types and cyber security con concepts and these are areas that I think are quite relevant particularly with regards to some of the areas we’re covering today around identifying key controls and identifying or how we can how we can use the standard from a a KPI ki perspective but broadly speaking these have been identified and are are useful in helping an organization plan for and implement the controls to address the security risks that they’ve identified through the riskmanagement process. Um, and these are attributes uh that have been developed throughout um the framework and are are are developed in more depth around 27,0002. But as we’ll see as we go along um later today um they can provide some useful indicators of trending and trend analysis and where critical controls can be identified and derived as well.

Sophie: Und Thomas, das ist wirklich interessant, was diese neue Struktur angeht. Würden Sie sagen, dass diese Art der Aufteilung auf die vier Kontrollbereiche im Gegensatz zu den zwei Kontrollbereichen die Anwendbarkeit für einige dieser Organisationen verbessert? Sie sagten, es ist weit verbreitet. Macht es das einer Organisation leichter, sich an diese Standards zu halten, da die Aufteilung nun über alle Kontrollbereiche erfolgt?

Thomas: Ähm, das kann man auf viele Arten machen. Ja. Ich meine, wie gesagt, ähm ja ähm wissen Sie, egal ob Sie ein großes, sagen wir mal Softwarehaus sind oder eine kleine Werbeagentur oder Sie sind in der Fertigungsindustrie oder für eine ganz andere Branche. Ähm, die Tatsache, dass es jetzt eine neue Strukturierung gibt, ist wichtig zu erwähnen, dass ungefähr 90 bis 95 % der Kontrollen aus dem älteren 27.000er Rahmenwerk geblieben sind. Aber ja, die Tatsache, dass sie jetzt umstrukturiert wurden, und insbesondere der Einsatz von Dingen wie diesen operativen Fähigkeiten, kann es für Unternehmen einfacher machen, zu sagen: Nun, was ist für uns wichtig? Und wenn wir über die Risiken nachdenken, die Sie identifiziert haben, wie können wir die am besten geeignete Reihe von Kontrollen betrachten, sei es aus der Perspektive der Organisationsführung oder aus der technischen Perspektive, zum Beispiel.

Sophie: Ja, absolut. Ich danke Ihnen.

Thomas: Ich möchte nur auf diesen Abschnitt eingehen. Ähm, das ist jetzt das, was leicht zugenommen hat, besonders aus der Perspektive von 27.0002. Es gab also schon immer einen Fall in den früheren Versionen von 27.01 und es geht auch in den ursprünglichen Standards um das Management von Drittparteien, das Management von Lieferanten und der Lieferkette, und es ist erwähnenswert, dass auch jetzt noch dieselben Anforderungen an das Management der Informationssicherheit in der gesamten Lieferkette gestellt werden, ob es nun darum geht, wie wir Informationssicherheitsrisiken in unserer Drittparteienbasis identifizieren. Wie wir diese Sicherheitsrisiken durch die Anwendung von Kontrollen angehen, insbesondere in Bezug auf Lieferantenvereinbarungen und Lieferantenverträge, und was wir in Bezug auf die Lieferungen unserer Drittparteien an uns erfassen wollen. Wir denken über die gesamte Lieferkette nach. Wenn es also, sagen wir, vierte, fünfte oder sogar noch weiter unten in der Lieferkette eine Reihe von Organisationen gibt, dann ist es wichtig, dass wir überlegen, wie wir zum Beispiel durch unsere Vereinbarungen mit Dritten die entsprechenden Sicherheitskontrollen durchsetzen oder zumindest erfragen können. Und dann natürlich die Überwachung, die Überprüfung und das Änderungsmanagement, wenn sich die Aktivitäten und Dienstleistungen der Lieferanten ändern, sowie die Überwachung der Leistung durch Leistungsüberprüfungen, Audits, Vor-Ort- und Fernaudits und so weiter. Was hier recht interessant ist, und eine der Änderungen, wenn man sich insbesondere die Nummern eins und zwei ansieht, ist die Erweiterung der Beschreibung durch 27.0002, die anderen Standards wie NIST 800161 nicht allzu unähnlich ist, für alle, die diesen Rahmen kennen. Das Rahmenwerk für das Risikomanagement in der Lieferkette für Cybersicherheit berührt das gesamte Spektrum des Managements Ihrer Lieferkette und Ihrer Drittparteien. Also von der Identifizierung von Dritten bis hin zu Ausstiegsvereinbarungen und der Erstellung von Lieferantenvereinbarungen und Verträgen. Und das ist ziemlich, ähm, das kann ziemlich wichtig sein, insbesondere wenn man sich einige dieser operativen Fähigkeiten, Kontrolltypen und Cybersicherheitskonzepte ansieht, denn wenn wir darüber nachdenken, wie wir 27.0001 anwenden können, wenn wir diese Drittpartei, ähm, diese Drittparteibeziehungen und dieses Lebenszyklusmodell für Drittparteien aufbauen. Ähm, das ist ein zentraler Antrieb bei der Überlegung, wie kommen wir von den Risiken, die wir identifiziert haben, zu dem, was wir aus der Perspektive einer Vereinbarung berücksichtigen müssen, ob es sich nun um die Benachrichtigung bei Datenschutzverletzungen und um sofortige Reaktion und Kontinuität handelt oder um eher technische Anwendungen im Zusammenhang mit der Zugangskontrolle, zum Beispiel auf der Grundlage der Art und Weise, wie Dritte mit Daten oder Informationen oder damit verbundenen Systemen umgehen und darauf zugreifen können. Dies ist im Vergleich zur vorherigen Version weitgehend unverändert geblieben. Es wird jedoch viel mehr Wert auf die Anwendung der Lieferkette gelegt, und dies hat sich auf neue Kontrollen in Bezug auf die Berücksichtigung von Cloud-Diensten ausgeweitet, da Cloud-Dienste bei vielen Organisationen und Einrichtungen immer häufiger vorkommen. Thomas, nur eine kurze Frage, während wir mit dieser Folie fortfahren, die eine Frage aus den Fragen und Antworten berührt, die meiner Meinung nach für das, worüber Sie gerade gesprochen haben, ziemlich relevant ist.

Sophie: In der Cloud ist das stärker ausgeprägt, und wir haben mehr Remote-Mitarbeiter. Wir haben viel mehr Kontrolle in Bezug auf das Zugriffsmanagement oder Kontrollanforderungen. Eine der Fragen, die aufgeworfen wurde, ist, wie anwendbar die physischen Kontrollen in dieser Ära der Fernarbeit sind. Wie viel Kontrolle hat ein Unternehmen wirklich, wenn ein Mitarbeiter aus der Ferne arbeitet? Es ist

Thomas: Eine sehr gute, sehr aktuelle Frage, und ja, Sie haben absolut Recht. Man muss sich nur die letzten zwei bis drei Jahre ansehen, in denen es zu einer explosionsartigen Zunahme der Fernarbeit gekommen ist, bis hin zu Unternehmen, die immer noch über die Bedeutung eines physischen Büros diskutieren. Das Interessante an der neuen Norm ist, dass sie sogar auf der Ebene der Terminologie einige Begriffe und Anwendungsfälle von Endbenutzergeräten und der Verwaltung von Endbenutzergeräten erweitert hat. Es geht um eine stärkere Berücksichtigung von Kontrollen zum Schutz von Unternehmensressourcen, aber auch um BYOD-basierte Geräte sowie das Konzept der Fernarbeit und der Arbeit von zu Hause aus. Es ist immer wichtig zu beachten, dass insbesondere bei ISO-Normen nie ein Stadium erreicht wird, in dem Technologien oder Anwendungen spezifisch erwähnt werden, weil sie unabhängig von Geografie, Land und Industrie universell sind. Ähm, aber es gibt eine breitere Akzeptanz im Rahmen der Frage, wie man aus der Perspektive des Personals, wie man aus der Perspektive der mobilen Geräte verwaltet, insbesondere, wie Sie sagen, angesichts der Tatsache, dass es so viel mehr Fernarbeit gibt und wir auch unsere eigenen Systeme und Vermögenswerte haben. Es gibt immer noch physische Sicherheit innerhalb der Bewertung, die sich auf einige der gemeinsamen Bereiche bezieht. Wie schützen Sie sensible Güter? Wie schützt man, wenn man sensible Arbeitsbereiche hat? Ich denke, was hier noch wichtiger ist, ist die Frage, wie man einige dieser bestehenden Kontrollen in eine häusliche Umgebung einbauen kann. Obwohl es also traditionell vielleicht um Serverräume in einem Büro geht, ist es nicht so anwendbar, wenn man von zu Hause aus arbeitet. Es geht also um die Frage, wie wir die gleichen Konzepte wie bei der Arbeit von zu Hause aus anwenden können. Gibt es also Kontrollen, ähm, die Unternehmen von ihren Mitarbeitern verlangen können, um ihre Anlagen zu sichern. Arbeiten sie von Bereichen aus, in denen die Öffentlichkeit gefährdet sein könnte? Arbeiten sie in Bereichen, die verschlossene Türen oder verriegelte Bereiche haben? Ähm, ähm, und auch die technischen Aspekte der Laptops und und und Telefone und Tablets, mit denen sie arbeiten.

Sophie: Ja.

Thomas: Okay.

Sophie: Ich danke Ihnen.

Thomas: Ähm, lassen Sie uns dazu übergehen, diese TPR-Praktiken auf ein ISMS abzubilden. Ich denke, dass wir im weitesten Sinne ein paar verschiedene Bereiche zu berücksichtigen haben. Wir müssen also von Anfang an darüber nachdenken, wie wir unsere Dritten identifizieren können. Wie identifizieren wir sie durch Profiling und Tiering? Wie sortieren wir sie in relevante Kategorien von hoch, mittel, niedrig oder kritisch oder in Stufe eins, Stufe zwei, Stufe drei und verstehen, was die Risiken sind, wenn wir mit unseren Dritten zu tun haben, und hier kommen die verschiedenen Aspekte von 27.000 ganz gut ins Spiel. Wir sehen also die Abschnitte 5.1, 6.1, 6.2 und 6.3, und das ist es, was die ISO als die übergeordnete Struktur ihres ISMS betrachtet, und das sind Bereiche, die sich auf die oberste Führungsebene einer Organisation konzentrieren, auf die Planung und Identifizierung von Ressourcen und die Zuweisung von Rollen und Verantwortlichkeiten sowie auf einen sehr gut definierten Risikoansatz in Bezug auf die Identifizierung und das Management von Risiken in Bezug auf Überprüfungen, Bewertungen, Dokumentationen, Eigentum bis hin zur Behandlung von Risiken. Darüber hinaus ist Klausel 5.19 eine der Sicherheitskontrollen, die wir vorhin kurz angeschnitten haben. Informationssicherheit und Lieferbeziehungen, die diese Bereiche miteinander verbinden, können bei der Frage helfen, wie wir erkennen, was unsere Dritten tun. Haben wir die notwendigen Ressourcen in der Organisation, um mit Dritten in Kontakt zu treten und das Niveau der Dienstleistungen, die sie für uns erbringen, zu ermitteln? Aber dann geht es an die Anwendung der IS-27.0001 Interpretation des Risikomanagements, um darüber nachzudenken, ob wir bereits wissen, was Dritte für uns in Bezug auf das Produkt- und Serviceniveau von sensiblen Daten auf Informationssystemen bereitstellen, können wir damit beginnen, anhand der Klausel 61 612 und 613 den Grad der Auswirkungen eines Verlusts der Vertraulichkeit, Integrität und Verfügbarkeit zu ermitteln, so dass ein Verlust dieser Informationsbereiche uns betreffen oder uns zum Nähen veranlassen könnte. Es gibt also eine Mischung aus hochrangigen Strukturanforderungen und - nennen wir sie Anhang - Kontrollen, die bereits dabei helfen können, diese Aktivitäten zur Identifizierung von Dritten und zum Verständnis unseres Risikos abzubilden.

Thomas: Dann denken wir darüber nach, wie wir die Sicherheit in diesen Vereinbarungen mit Dritten ansprechen, wobei wir wiederum auf die Lieferkette achten, und wie wir auf der vorherigen Folie gesehen haben, konzentrieren sich 519 20 und 21 auf diese Überlegungen in Lieferantenvereinbarungen, und was 27,02 sehr gut macht, ist, dass es bereits Vorschläge für Bereiche enthält, die man berücksichtigen sollte. Müssen wir also über Datenmanagement, Benachrichtigung bei Datenschutzverletzungen nachdenken? Müssen wir über Sofortmaßnahmen und die Kontrolle der Geschäftskontinuität nachdenken? Müssen wir über Bereiche nachdenken, die zum Beispiel den Zugang und die akzeptable Nutzung von Vermögenswerten sowie gegebenenfalls die physische Sicherheit betreffen? Anhand dieser drei technischen Kontrollen können wir uns bereits ein Bild davon machen, worauf wir bei der Ausarbeitung einer Vereinbarung oder eines Vertrags mit Dritten achten sollten. Dann sind wir so weit, dass wir die Drittparteien in mehrere Stufen einteilen. Wir kennen die Art von Risiken, auf die wir uns konzentrieren müssen oder die dem Unternehmen oder der Branche Sorgen bereiten. Ich denke an die umfassendere Sichtweise der Branche auf die Risiken von Dritten. Sie müssen darüber nachdenken, wie wir diese Dritten jetzt bewerten können. Und hier können diese Annexa-Kontrollen, von organisatorischen bis hin zu technischen, ins Spiel kommen. Ob sie nun allumfassend sind oder nur eine Teilmenge von Kontrollen, die auf den Risiken basieren, die sich aus den Vereinbarungen mit Dritten ergeben, und was wir anstreben. Sie können also die 27.0001 unabhängig davon, ob Sie sich zertifizieren lassen oder sie nur als Best-Practice-Rahmen verwenden, um eine Bewertung zu erstellen, anhand derer Sie Ihre Lieferanten beurteilen oder auditieren oder überprüfen können. Und das Ziel ist natürlich, durch diesen Risikomanagement-Ansatz zu ermitteln, welche Kontrollen für uns am wichtigsten sind. Und auch das ist ein Bereich, auf den wir noch zu sprechen kommen werden, wenn es darum geht, wie wir Schlüsselkontrollen identifizieren können. Welche Schlüsselkontrollen sollten wir im Allgemeinen in Betracht ziehen, oder, wenn Sie sich spezieller mit dem befassen, was Dritte uns zur Verfügung stellen, welche vielleicht die wichtigsten sind.

Thomas: Und schließlich haben wir die Phase erreicht, in der wir unsere Drittparteien identifiziert haben. Wir haben formelle Vereinbarungen getroffen. Wir haben sie bewertet. Wir führen halbjährliche, vierteljährliche und jährliche Bewertungen durch. In der letzten Phase geht es dann um die kontinuierliche Überwachung, die kontinuierliche Überprüfung dieser Drittparteien. Ähm, und dann wiederum geht Abschnitt 522 oder Kontrolle 522 auf die Einzelheiten ein, wie wir unsere Dritten und unsere breitere Lieferkette überwachen können und sollten. Wir sehen also eine Mischung aus strukturellen Kontrollen auf hoher Ebene in 27.01 und technischen Kontrollen im Zusammenhang mit Drittparteien und dem Management der Lieferkette bzw. dem Risikomanagement der Lieferkette. Wenn wir uns also den Führungsaspekt der hochrangigen Struktur ansehen, müssen Organisationen im Allgemeinen Sicherheitsrichtlinien definieren, Ziele festlegen und insbesondere sicherstellen, dass Ressourcen verwaltet werden, geplant werden und Rollen klar festgelegt sind, sowohl in Bezug auf die Verwaltung von Sicherheitsaktivitäten als auch in Bezug auf die Berichterstattung an die oberste Führungsebene und alle anderen kritischen interessierten Parteien. Um diesen Governance-Ansatz zu verwenden, in diesem Fall Kurs 5.1 des Standards. Ähm, und wiederum mit Blick auf die 519-Kontrolle, können diese beiden zusammen dabei helfen, den Lieferkettenprozess und die Fallstudie in Bezug darauf aufzubauen, wie wir unsere Lieferanten überwachen und managen, und obwohl wir uns auf die Sicherheitspolitik konzentrieren, können die umfassendere Risikopolitik für die Lieferkette und die Verwendung von Kern 61 zum Aufbau des Risikomanagements einen Lebenszyklus aufbauen. Wie bereits erwähnt, ist eine der Stärken von 2701 die Tatsache, dass sie sehr ins Detail geht, wenn es um die Festlegung von Risikokriterien und die Prozesse zur Identifizierung, Analyse, Bewertung und Behandlung von Sicherheitsrisiken geht.

Thomas: Ähm, insbesondere unter Verwendung von sehr gut bekannten Ansätzen wie Wahrscheinlichkeit und Auswirkung, um ein gewisses Maß an Risikobewertung und -einstufung vorzunehmen. Ähm, aber wir müssen uns auch Gedanken darüber machen, wie wir diese Risiken behandeln und auf der Grundlage dieser Gesamtrisikobewertungen und der kritischsten Risiken, was wir abschwächen wollen, anstatt zu vermeiden, ähm oder oder einen anderen Weg der Risikobehandlung und -beseitigung einzuschlagen. die Sicherheit in Vereinbarungen mit Dritten. Wie wir bereits erwähnt haben, geht 27.000 ziemlich in die Tiefe, was Überlegungen angeht, worüber wir in Bezug auf Vereinbarungen mit Dritten nachdenken müssen. Sobald also die Risiken identifiziert wurden und die Drittparteien und Dienste bekannt sind, können wir uns Gedanken darüber machen, was uns am meisten Anlass zur Sorge gibt. Es könnte darauf beruhen, was die Dritten tun, auf welche Art von Daten zugegriffen wird, wie hoch die Klassifizierung oder die Sensibilität der Daten ist, die sie verwenden, ob sie unsere eigenen haben oder ob wir eine Art von IKT-Informationssystemen und Informationsinfrastrukturen beschaffen, die diese Art von sensiblen Daten enthalten könnten, und wenn ja, ob dies ein kritisches Risiko für uns darstellt, welche personellen Anforderungen in Bezug auf die Anzahl der Mitarbeiter bestehen und insbesondere, ob es sowohl Auftragnehmer als auch Vollzeitbeschäftigte gibt. Gibt es irgendwelche Anforderungen, die wir berücksichtigen und in die Verträge aufnehmen müssen in Bezug auf Screening und Hintergrundüberprüfungen des Personals, das Ausbildungsniveau und die Art der Ausbildung, die durchgeführt wird? Geht es um die häufigeren Bedrohungen, die wir in den letzten zwei bis drei Jahren im Zusammenhang mit Fishing- und Ransomware-Angriffen gesehen haben, und darum, wie Mitarbeiter darauf reagieren können, sowie um die akzeptable Nutzung von Datenbeständen und Informationsbeständen. Indem wir also diese größeren Probleme identifizieren, können wir auf der Grundlage dieser vier Kontrollbereiche - organisatorische, personelle, physische und technologische- herausfinden, was für uns wichtiger ist und wie wir aus den 90 93 94 Kontrollen, die in diesen vier Kontrollbereichen erfasst sind, etwas herausdestillieren können.

Thomas: Wollen wir alles abdecken, was in einigen Fällen vielleicht relevant ist, insbesondere angesichts der komplexeren Organisationen und komplexeren Dritten, vielleicht auf der Grundlage der Tarierung und der Art dessen, was sie anbieten. Es kann ein echter Bedarf bestehen, eine allumfassende Sicht der Informationssicherheit zu betrachten, die diese vier Kontrollbereiche umfasst. Je nach dem Grad der Tarierung, der auf den Dritten angewandt wurde, oder je nach der Art des Produkts oder der Dienstleistung, die er anbietet, kann es sich um Bereiche handeln, die weniger kritisch sind. Wenn eine Organisation keinen Zugang zu sensiblen Informationen und Daten hat, sind wir dann so besorgt über einige der physischen Kontrollen, die diese Organisation haben könnte? Wie wichtig sind diese physischen Kontrollen für das Verständnis einer guten Sicherheitslage für diese Organisation, insbesondere wenn sie noch über Büroräume verfügt oder Büroräume mietet? Es kann sein, dass es einige Kontrollen gibt, die immer obligatorisch sein werden, wenn man bedenkt, was der Dritte uns zur Verfügung stellt. Wir fangen also an, die Teile dieser Risiken zusammenzufügen. Der Grad der Sichtbarkeit dessen, was Dritte für uns bereitstellen, und die Art der Dienstleistungen, die sie erbringen, und dann das Zusammensetzen der Teile. Wie viele dieser Kontrollen sind uns wirklich wichtig, und wollen wir unsere Drittparteien danach beurteilen?

Sophie: Thomas, was die Bewertung der Drittpartei angeht, über die Sie gerade gesprochen haben, und natürlich können wir je nach Kritikalität und Art der Dienstleistungen usw. den Grad der Bewertung oder die Art der Bewertung bestimmen. Eine Frage, die hier gestellt wurde und die sehr interessant ist, ist , wie die ISO-Umstrukturierung in Bezug auf Business Continuity und Disaster Recovery aussieht und welche Schlüsselkontrollen auf TPRM abgebildet werden.

Thomas: Ja, das ist interessant, ja, also, ähm, es gibt immer noch Kontinuität im Rahmen und um die organisatorischen Kontrollen herum, ähm, ich glaube, ich habe eine davon später in den Rating-Bewertungen gestreift. Wir werden uns das noch einmal genauer ansehen. Ähm, aber ja, ähm, wenn wir uns insbesondere 27,02 ansehen, ähm, dann gibt es einen größeren Druck zu sagen, äh, insbesondere in Bezug auf äh, Rückgewinnungsaktivitäten, es muss eine Verbindung zwischen äh, äh, offensichtlich basierend auf den Aktivitäten der Lieferanten, ähm, und und offensichtlich den Dienstleistungen, die sie anbieten, bestehen. Aber es muss überlegt werden, welches Maß an Kontinuitätsbemühungen und Beziehungen Sie mit Ihrem Lieferanten haben, insbesondere in Bezug auf diese Vereinbarungen und eine Art von Mandatierung einiger dieser Kontrollbereiche. Es geht also um Überlegungen zur Informationssicherheit und zur Geschäftskontinuität, um die Entwicklung von Kontinuitäts- und Disaster-Recovery-Programmen sowie um das Testen dieser Programme. Und wieder geht es um das Testen, wobei auch hier wieder etwas mehr Wert darauf gelegt wird, dass man nicht nur isoliert testet, sondern auch mit den Zulieferern, wenn nötig, wenn es angemessen und notwendig ist. Man bezieht also kritische Lieferanten mit ein, um sicherzustellen, dass bei einem Systemausfall oder einem Problem ein gewisser Zusammenhang zwischen dem besteht, was die Lieferanten auch für einen selbst tun müssen. Es gibt also zwei Bereiche. Zum einen aus dem organisatorischen Aspekt des Kontinuitätsmanagements, zum anderen aber auch aus der Frage, was die Zulieferer für die Wiederherstellung tun.

Sophie: Ja.

Thomas: Und wie können Sie uns das auch zeigen? Also durch Testprogramme, durch wichtige Kommunikationspunkte, z.B. wichtige Schlüsselrollen und Verantwortlichkeiten. Ich meine, einer der interessanten Bereiche, der immer häufiger vorkommt, ist, wie ich vielleicht schon erwähnt habe, wenn es um die Verträge geht, ist die Benachrichtigung bei Verstößen und Verletzungen nicht vorhanden. Der 27.02. listet das ziemlich prominent auf, und das ist ein gutes Beispiel dafür, dass wir, wenn wir das unglückliche Szenario haben, dass ein Anbieter einen Datenschutzverstoß erleidet, in der Vereinbarung und durch die Art und Weise, wie wir unseren Anbieter bewerten, erfasst haben, wie er auf die Art des Verstoßes reagiert und was er getan hat, um sich zu erholen und zur BAU zurückzukehren. Denn wenn das nicht festgehalten wird und mir diese Verbindung fehlt, kann das Risiko bekanntlich stark ansteigen, vor allem dann, wenn Aufsichtsbehörden und Strafverfolgungsbehörden involviert sind und und und...

Sophie: Ja, natürlich.

Thomas: Finally, monitoring, review, and reevaluate. So, sending out the third party assessment of course is only the beginning. What should we be doing? Um obviously, when the results come back and this is worth touching on these three c these three aspects of operational capabilities, control types and cyber security concepts um for anyone who’s um familiar with NIST particularly um the the cyber security concepts or yeah the concepts will be um uh very familiar because these follow on um uh based on NIST and NIST CSF cyber security framework. So these five areas around identifi identify protect detect respond and recover based controls basically controls that can help organize your cyber security activities. We’re thinking out OC operational capabilities. These are attributes and this is where we find a greater volume um of of of attributes is around operational capability and one of the key purposes here is to help assessors practitioners of the framework when planning and delivering a management system and then control types. So how controls can help modify risks particularly where information security incidents occur uh and these split across preventative, detective and corrective based controls. So that is to say controls that should be in place to help prevent the occurrence of a security incident. Controls that are used to help detect vulnerabilities and weaknesses and when a security incident may occur. And then there’s corrective controls, what what is being put in place and what controls do we need to put in place post incident to to get back to usual. So again, and thinking about some of the um uh uh uh uh controls from a from a continuity perspective. Um and so we can see on the screen three examples. So from an operational capability perspective, let’s look at information protection. And so looking at the 9394 controls set out across the standard, uh there are several that are labeled with this concept of information protection. And we can see a few examples here from protection against malware, classifying information labeling information, protecting records, privacy and protection of of personal information and endpoint devices. And so because this is is is meant to be an aid to help assessor and practitioners where it can be most useful is certainly at that um at that end of the process where we’re receiving risks back from our third parties. Um and let’s say we’re receiving 30 40 50 60 risks back and we’re now at the stage of saying well how do we What do we do with these? What do we man? How do we manage these? We may have our risk scores of critical high, medium, and low or or another similar process. But if we’re already identifying capabilities that are relevant to us, for example, data security, information protection, we can then obviously group risks as well to say, well, how many risks are associated with information protection and protection based controls? Can we start to see some trending here based on the type of controls that third parties um that that we’re receiving from third parties based on their 27,000 to1 assessment or or the way they’ve carried out the assessment. Um in a similar vein um by by categorizing controls based on say preventive, detective or corrective controls and as you can see here corrective controls, instant management planning, instant response, readiness for continuity, disciplinary process where there’s been a breach of of of corporate policy and security policy um and information back up. And again, if we can start to see there’s a larger volume of risks around um um these particular controls, that may help to shape our view of how do we approach these um not necessarily in isolation, but together particularly if you’re seeing there’s there’s there’s a trend between um multiple organizations or third parties um and risks in similar similar areas. And then in terms of cyber security concepts, so controls uh used in identifying um um good practice identifying security requirements for the supplier based uh aspects threat intelligence and engaging with um um um threat intelligence based organizations and how we invent inventory our information and other assets. So it can be used at the tail end in terms of how do we manage and and and bucket our risks if you will. It’s also worth thinking about when we’re looking at identifying key controls as well. If we know that there are capabil that we’re quite concerned about. They’re important to us based on our risks based whether it may be um uh sort of threat and vulnerability management or data security or the protection of information um or other areas. This can then help make it easier to say which controls are important to us and thinking about those 94 um which ones uh can we already do we already know uh are applicable to these type of third parties. And this can then make it so much easier when we’re starting to plan Do we need to give all 94 controls to this third party, this tier one or tier 2 organization, or can we give a subset based on capabilities important to us as a business and based on some of the security concepts um that maybe over time we’re seeing are more of a concern. Um if we feel for example that there are third parties we’re concerned more about the recovery and recovery efforts, let’s look at those controls under the banner of recovery and recover in terms of cyber concepts and perhaps we can use them as focused assessments and focused audits when engaging with our third parties. So it gives a lot more capability and really opens up the framework um um to give a lot more thought around which are the controls that are right for us at this time and then when risks occur and when risks are apparent to us through the assessment and assessment results. Uh how can we categorize these um and I say are there any trends um that are coming up that perhaps for a lot of have not been aware of um that are new to us that we can pay attention to particularly when engaging with the third parties or at least explaining from an executive and top management perspective as well. So impactful key controls. So as indicated with 94 controls there are many controls that will see multiple risk scenarios and considerations for risk treatment. Um and so thinking about those um uh uh uh uh cyber security concepts, if we can start to align the risks to controls that will help protect those assets, detect threats and vulnerabilities or provide a level of response and recovery. All this can help determine what for us is key particular when we’re looking at um how we monitor and analyze um the effectiveness of control requirements. Now generally speaking um as as as stated from the beginning. You know, this is a standard that’s open to any organization in the world regardless of industry and sector. So, it can be sometimes can be quite difficult to work out are there always controls that any organization regardless of size and complexity will will will need to adhere to or are recommended. Um, in general, yes, there always can be some controls that we find um almost all organizations or 99% of organizations should have in their back pocket. So, whether it’s areas concerning good access management and access controls. Um anything to do with managing a critical information system or critical data. Naturally, you want to be concerned about are they good practices in how they manage privileged access rights and access reviews and assigning and revoking access. Data backup and data recovery. Again, anything to do with proprietary information, intellectual property, personal information, uh having clear processes to to back up and recover. Um should the un unfortunate happen. Um again, these are also controls um that we’d find most companies um will be dealing with. And of course, we’ve briefly touched on it today around continuity as well. Um regardless of whether you are um a oneperson band, a mom and pop shop um um or whether you’re a a 10,000 employee multinational organization, there will always be a need to having a level of continuity um of covery and incident response as well. Obviously, will look very different depending on the type of organization but gives you a idea that there will always be some controls um in in standards like 27,01 that we can apply across the board.

Thomas: Dennoch ist es wichtig zu erkennen, dass vieles davon davon davon abhängt, wie wir unser Risiko und das Risiko unserer Dritten und unserer Lieferanten entwickeln und verstehen, und wie wir insbesondere durch diese operativen Fähigkeiten verstehen, was für uns am wichtigsten ist. Und je genauer wir das herausfinden können und je tiefer wir in das Risikomanagement einsteigen können, um herauszufinden, was uns beunruhigt, was uns nachts wach hält, desto besser können wir die Kontrollen eingrenzen, auf die wir uns konzentrieren müssen, sei es kurzfristig in den nächsten 12 Monaten oder langfristig, weil wir wissen, dass es sich um langfristige Risiken handelt und um Risiken, die vielleicht nie verschwinden werden, und nicht um solche, die vielleicht eher reaktiv sind. Okay, was sind also die einflussreichsten Schlüsselkontrollen, Schlüsselkontrollen, über die man nachdenken sollte, wenn es darum geht, ob unsere Drittparteien Best Practice liefern, ein zweischneidiges Schwert. Ähm, aber wie ich schon sagte, allgemeine Bereiche rund um ähm ähm Zugriffsmanagement, Zugriffskontrolle, Datensicherung, Datensicherheit, Kontinuität und Reaktion auf Zwischenfälle und Wiederherstellung ähm und natürlich auch die Lieferkette. Also diese vier Kontrollen, die Sie von 519 bis 5 äh 20 bis 22 um ähm das Management der Lieferkette und die Sicherheit der Lieferkette abdecken. Ich würde immer empfehlen, mit diesen Kontrollen zu beginnen, insbesondere, wie gesagt, mit der Kontrolle der Lieferkette. Es hilft dabei, sich mit der Frage auseinanderzusetzen, was wir von Dritten für uns verlangen. Was müssen sie erfüllen und uns zeigen, dass sie über gute Praktiken verfügen, die auf dem Produkt und der Dienstleistung basieren, die sie liefern.

Scott: Ähm, nur zu.

Thomas: Ich denke, sie sind relevant in Bezug auf und ich weiß, dass Sie diese Art von Schlüsselkontrollen betrachten und ich schätze, wie das in Bezug auf das, was als kritisch angesehen wird, je nach Service gilt, aber u und ich denke, dass viele unserer Zuhörer in den heutigen Anrufen wahrscheinlich damit übereinstimmen werden, wenn es um einige dieser größeren Organisationen geht. die Googles, Microsofts, AWSs der Welt, ähm, typischerweise eine Art Bereitschaftsnachweis haben könnten, um diese Schlüsselkontrollzuordnungen und die Überwachung zu unterstützen, gibt es eine Erwartung, dass diese großen Anbieter einen Bereitschaftsnachweis liefern, ähm, so dass jeder ihrer Kunden nicht ständig testen muss. Oder ist das ein Fall, in dem der Standard nicht notwendigerweise an einige dieser spezifischen Organisationen gerichtet ist und es ein Standard ist, den jede Organisation übernehmen kann.

Thomas: Also erstens ist es ein Standard, den jeder übernehmen kann. Interessanterweise, wenn man sich Bereiche wie, ich meine, nehmen wir zum Beispiel Amazon und Microsoft, vor allem in Bezug auf ihre Rechenzentren und ihren Cloud-Betrieb. Insbesondere Microsoft ist ein gutes Beispiel. Sie sind seit Jahren für mehrere ISO-Zertifizierungen zertifiziert, und ich glaube, Microsoft ist sogar Teil einiger der Komitees, die die Frameworks entwickeln. Es gibt also eine große Anerkennung der Wichtigkeit dieser Standards durch diese sehr großen Organisationen, und Sie haben Recht, wenn wir sehen, dass diese Unternehmen oft vier, fünf, sechs ISO-Frameworks haben, sie haben Sock-2-Assessments, sie haben PCIDSS, sie können auch andere verschiedene Frameworks haben, je nachdem, was die Organisation tut, und so ist es sehr üblich, dass sie Einer der Gründe dafür ist, glaube ich, dass sie weltweit so viele Audits haben, durch Regulierungsbehörden, durch Kunden, durch andere Behörden, dass es für sie unmöglich wäre, auf jedes einzelne Unternehmen einzugehen, wenn sie sagen würden: "Nein, das können wir nicht tun. Das ist also gängige Praxis. Es gibt bestimmte Dinge, die man immer tun kann, um sicherzustellen, dass man weiß, ob sie überhaupt gute Praktiken anwenden. Sicherlich ist die Einsicht in die aktuellsten Zertifizierungen eine Stufe der Sicherheit. Ich glaube, die Schwierigkeit bei Zertifizierungen ist manchmal und und und und Standards. Ja, Sie können zum Beispiel eine Kopie eines ISO-Zertifikats und anderer Zertifikate erhalten, die Ihnen Auskunft darüber geben, wo und in welchem Umfang sie angewendet werden. So können Sie sicher sein, dass, wenn das Unternehmen von einer unabhängigen Organisation zertifiziert wurde, immer einige Kontrollen vorhanden sind, die ich vorhin schon erwähnt habe, z. B. in Bezug auf Zugang, Datensicherheit und Kontinuität, denn diese Kontrollen werden in keinem von zehn Fällen jemals von einem Unternehmen ausgeschlossen. Und wenn ein größerer Vorfall zum Beispiel in einem Amazon-Rechenzentrum als Teil seiner Cloud-Einrichtung eintreten würde, würden Sie erwarten, dass sie eine sehr gut ausgeführte Kontinuitäts- und Wiederherstellungsaktivität oder einen Transfer zwischen Systemen haben. Also ja, in großen Organisationen kann es manchmal eine Herausforderung sein, insbesondere wenn es darum geht, Informationen zu erhalten, insbesondere wenn man versucht, eine Bewertung vorzunehmen. Aber es ist üblich, dass viele von ihnen Standarderklärungen zu Sicherheitskonzepten und auch zu Datenschutzkonzepten haben. Ähm, sowohl öffentlich verfügbar als auch auf Anfrage, aber ja, ähm, auch hier zeigt sich, wie universell insbesondere ISO-Normen sind, was die Komplexität der Organisationen angeht, die sie verwenden.

Scott: Ja, absolut. Eine kurze Frage: Erleichtert ISO 27k in irgendeiner Weise die Integration des Risikomanagements mit anderen Risikofamilien? Sie wissen also, finanzielle Reputationsrisiken usw.

Thomas: Ähm, also außerhalb von 27 gibt es noch andere, ähm, Rahmenwerke. Das bekannteste ist vielleicht der Standard ISO 31000, der ein Risikomanagement-Standard ist, der dem NIST-Risikomanagement-Rahmenwerk nicht allzu unähnlich ist. Er ist universell in dem Sinne, dass er sich nicht auf Datenschutz oder Sicherheit oder andere spezielle geschäftliche und strategische Risiken konzentriert. Es gibt also Standards, die übergreifend eingesetzt werden können, insbesondere wenn man versucht, sie zu integrieren, was sehr wichtig ist. Und wenn man sich einige der Formulierungen in 27.0001 und ISO 31.000 anschaut, gibt es viele Ähnlichkeiten. Ähm, und tatsächlich nimmt 27 in dieser Hinsicht Bezug auf 31K, ähm, ähm. Es gibt also einige universelle Rahmenwerke für das Risikomanagement, die man z. B. aus einer unternehmensstrategischen Perspektive oder aus finanzieller oder umweltbezogener Sicht oder oder oder oder oder anwenden kann.

Scott: Perfekt. Ich danke Ihnen.

Thomas: Bei der Menge an Kontrollen, die in der 27.000er-Norm zur Verfügung stehen, welche sind da besonders wichtig? Wie ich schon sagte, kann es schwierig sein, sie zu benennen. Wir haben hier ein paar Beispiele. Wenn wir also über sensible oder kritische Daten nachdenken , auf die zugegriffen wird und die gehandhabt werden. Hier können wir darüber nachdenken, welche Schutzmaßnahmen und schutzbasierten Kontrollen wir aus dem Rahmenwerk nutzen können. Also Kontrollen rund um den Zugriff und die Authentifizierung, Datenschutz, Verschlüsselung und DLP, Methoden für das Arbeiten an entfernten Standorten und die Sicherung von entfernten Arbeitsumgebungen und Endgeräten sowie Schutz vor Malware. Wenn wir wissen, dass wir uns Sorgen um sensible und kritische Daten machen, auf die Dritte zugreifen, können wir bereits damit beginnen, ein Programm zu erstellen, das darauf basiert, wie die schutzbasierten Kontrollen im Rahmenwerk gruppiert sind. Und das kann es einfacher machen, zu bestimmen, wo wir Sichtbarkeit und Validierung benötigen, dass diese Art von Kontrollen vorhanden sind. Ähnlich verhält es sich mit der Sicherheit von kritischen Informationssystemen und der Art dessen, was sich auf diesen Systemen befindet: Wir wollen schutzbasierte Kontrollen. Sie wollen auch das Niveau der Wiederherstellungskontrollen. Also, wie wird diese Ausrüstung zitiert und geschützt? Wie wir bereits besprochen haben, ist das Konzept der Heimarbeit, der Fernarbeit und des Arbeitsstils jetzt noch wichtiger. Wie werden diese Systeme, die möglicherweise auf hochsensible Informationen zugreifen, vor physischem Raum geschützt? Wie wird die Kapazität dieser Systeme verwaltet und wie werden Prognosen und Planungen für das Kapazitätsmanagement sowie Schwellenwerte für die Sicherung von Informationen und Redundanz festgelegt, wenn diese Systeme ausfallen? Betrachten wir vielleicht traditionellere Bereiche, in denen es immer noch Serverräume und Rechenzentren und Backup-Rechenzentren gibt, oder geht es hier um etwas anderes, was den Grad der Redundanz betrifft?

Thomas: Natürlich wird es immer Überschneidungen zwischen den verschiedenen Kontrollen geben, und wenn wir über kritische Informationssysteme nachdenken, können wir auch die Bedenken bezüglich sensibler oder kritischer Daten und des Datenmanagements berücksichtigen. Aber es gibt Ihnen einen Hinweis darauf, wo wir anfangen könnten, diese Konzepte, diese Themen zu nutzen. Identifizieren Sie also auf Schutz basierende Kontrollen, auf Informationsschutz basierende Kontrollen, die als Schlüsselkontrollen, als obligatorische Kontrollen, deren Umsetzung wir von Dritten erwarten, dienen können. Wir haben ein Programm mit etablierten Kriterien für Bewertungen. Wir leiten Bewertungen für unsere Drittparteien ein. Worüber müssen wir also noch nachdenken? Wenn wir über KISS, K-Risikoindikatoren, nachdenken , müssen wir natürlich auch an unsere breitere Risikolandschaft denken. In diesem Fall könnte es sich um das Management von Dritten und das damit verbundene Risiko handeln. Es ist wichtig, sicherzustellen, dass wir Indikatoren entwickeln, die auf der Art von Risiken und Risikobereichen basieren, die das Unternehmen für wichtig und zwingend zu überwachen hält, egal ob es sich dabei um Bereiche wie die Erkennung von Malware, Datenverletzungen, Datenverletzungen und die Reaktion auf Verletzungen der Lieferkette, Bedrohungen durch Ransomware oder andere kritische Bereiche handelt. Diese kritischen Bereiche in Bezug auf, sagen wir, Datenverluste, eine breitere Lieferkette, Anfälligkeit für Ransomware und andere gezielte Ziele, ähm, natürlich kann die Entwicklung einer Bewertung unter Verwendung eines Standards wie 27.000 dabei helfen, diese Best-Practice-Kontrollen zu erstellen, um die Gewissheit zu erlangen, dass Dritte die gute Sicherheitslage aufrechterhalten, ähm, die zum Beispiel die Handhabung sensibler kritischer Daten und Informationssysteme erfordert. Wenn man also darüber nachdenkt, welche Risiken für uns kritisch sind und welche wir als die höchsten oder am stärksten gefährdenden Risiken erachten, dann ist die Überlegung, wie wir verschiedene ISO-Kontrollen anwenden, um die Validität und die Sichtbarkeit von Dritten zu erlangen, dass sie die Best Practice anwenden, natürlich ein Schritt, um in der Lage zu sein, diese Erklärung abzugeben und diese Entscheidungspunkte zu treffen.

Thomas: Ich denke da an Ereignisprotokollierung, Schutz vor Malware, Sicherheitsbewusstsein und -schulung, Sicherheit bei Unterbrechungen und Informationsvorfällen, Kryptografieniveaus, Kontrollpunkte für die Informationssicherheit in der Lieferkette und viele andere Kontrollen, die dazu beitragen können, diese Risiken zu behandeln und auf sie zu reagieren und diese potenziellen Risiken anzugehen. Offensichtlich ist das Management von Lieferantenrisiken über 6, 12, 18 Monate oder längere Zeiträume. Die Hauptrisiken, die wir identifiziert haben, können sich natürlich ändern, sei es, dass es sich um neue Risiken handelt, um neue und aufkommende Risiken oder um Trends bei den Anbietern, insbesondere im Hinblick auf das Versagen bei der Einführung guter Sicherheitspraktiken oder guter Sicherheitshygiene. Wenn man sich also die laufenden Verbesserungen ansieht, wie sich die Risiken bei Drittanbietern von Jahr zu Jahr verringern oder in manchen Fällen nicht verschwinden, kann das dazu beitragen, dass insbesondere die Geschäftsleitung die nötige Sicherheit oder Transparenz erhält, um sicherzustellen, dass diese Risiken rechtzeitig gehandhabt werden. Wir sollten uns also überlegen, wie wir Indikatoren auf der Grundlage unserer größten Risiken und unserer größten Risikobereiche anwenden und wie diese Risiken entweder im Laufe der Zeit zunehmen oder durch die Anwendung von Bewertungen der Zuverlässigkeit von Audit- und Sicherheitskontrollen. Zeigen wir, dass diese Risikobereiche allmählich abnehmen, oder haben wir mehr Vertrauen, dass im Falle eines Risikos ausreichende Kontrollen vorhanden sind, um z. B. zu schützen, zu entdecken, zu reagieren und wiederherzustellen. Zweitens, wenn wir über wichtige Leistungsindikatoren und die Anwendung der Norm 27.0001 zur Verringerung des Lieferantenrisikos nachdenken, sollten wir damit beginnen, die Schlüsselkontrollen zu identifizieren, die am besten geeignet sind, die Risiken von Dritten zu bekämpfen. Und damit vielleicht auf einer höheren Ebene die Gesamtsicherheitsbewertung von Anbietern. Wir haben also die Anbieter identifiziert und sie in verschiedene Stufen und Bereiche eingeteilt, und wir wissen, wo unsere kritischsten Risiken liegen. Wir wissen, wo unsere kritischsten Risiken liegen. Welche Anbieter können wir also so weit bringen, dass wir die Anbieter mit dem höchsten Risiko identifizieren können, um diese Gesamtbewertung des Anbieterrisikos im Laufe der Zeit zu überwachen und zu sehen, wie lange es dauert, auf Risiken zu reagieren und sie zu lösen.

Thomas: Wenn wir also sehen, dass die Sicherheitsbewertungen zu sinken beginnen, dass die Sicherheit in der Organisation zu reifen beginnt, dann kann das ein guter Hinweis für die Geschäftsleitung und die Führungskräfte sein, dass diese Anbieter mit höherem Risiko korrekt verwaltet werden, dass sie effizient verwaltet werden und dass die Risiken in geeigneter Weise gelöst werden. Aber man sollte auch an andere Bereiche denken. Wenn Sie also die Anbieter mit hohem Risiko identifiziert haben, wie hoch ist dann der Grad der Sicherheitsvorbereitung? Können wir uns also ansehen, wie hoch der Prozentsatz der abgeschlossenen Sensibilisierungs- und Schulungsmaßnahmen ist, oder können wir uns ein Bild davon machen? Wie hoch ist der Grad der Erkennung von Bedrohungen und der Reaktion auf Schwachstellen, und wie hoch ist der Grad der Erfassung durch Dritte, je nachdem, welches Produkt oder welche Dienstleistung sie uns anbieten. Qualität der Tests für Kontinuität und sofortige Reaktion. Wir fragen über die Verträge und Vereinbarungen nach. Wie teilen uns die Drittparteien mit, wenn es zu einer Datenverletzung und einer Benachrichtigung über eine Datenverletzung kommt? Haben wir Einblick, dass sie über Kontinuitätspläne verfügen, die alle 6 Monate, alle 12 Monate verwaltet und überprüft werden, und dass sie regelmäßig getestet werden, so dass sie im schlimmsten Fall, z. B. bei einem Ransomware-Angriff oder einem ähnlichen gezielten Angriff, bereits über Prozesse verfügen und die am besten geeigneten Kontrollen vorbereitet und identifiziert haben, um diese Dienste und Produkte und Systeme und Abläufe zu sichern. Wenn wir also darüber nachdenken und einige der wichtigsten Ziele in Betracht ziehen, müssen wir überlegen, wie wir Schlüsselkontrollen identifizieren und anwenden, die mit dem Risikomanagement der Informationssicherheit verbunden sind. Was können wir also jetzt tun? Auf der einen Seite müssen wir natürlich darüber nachdenken, wie wir 27.0001 nutzen können, insbesondere die Governance, die übergeordnete Struktur und den Risikorahmen, um diesen Prozess für Dritte zu verbessern oder zu entwickeln.

Thomas: Wir verwenden diesen Strukturprozess, um herauszufinden, welches die kritischsten Risiken sind, die wir bei der Zusammenarbeit mit unseren Dritten berücksichtigen müssen, um diese Risiko- und Kontrollanforderungen zu identifizieren, und natürlich verwenden wir diese operativen Fähigkeiten, diese Cybersicherheitskonzepte, um den Inhalt der Bewertungen zu bestimmen, mit denen wir unsere Dritten beauftragen müssen, und sie werden uns helfen, das Niveau und die Komplexität dieser Bewertungen zu bestimmen, wiederum unter Verwendung des ISO 27,0001 Kontrollanhangs als treibende Kraft. Und natürlich werden wir nach Abschluss dieses Abschnitts diese Sicherheitsbewertungen veröffentlichen und dann diesen kontinuierlichen Prozess der Überwachung durchlaufen, um zu überprüfen, ob sich die von uns identifizierten Ziele verbessern und ob wir ein Stadium erreichen, in dem sich die Sicherheitsbereitschaft unserer Drittparteien oder Anbieter verbessert. Werden diese Risikoeinstufungen gesenkt? Diese Anbieter, die vielleicht traditionell ein sehr hohes Risiko darstellen oder Anlass zu großer Besorgnis geben, verbessern ihre Sicherheitsvorkehrungen, und das gibt uns ein großes Maß an Sicherheit in Bezug auf bewährte Verfahren aus der Sicherheitsperspektive. Okay. Bevor wir enden, übergebe ich kurz an Scott.

Scott: Hey, vielen Dank, Thomas. Ich weiß das zu schätzen. Wenn Sie aufhören könnten, Ihren Bildschirm zu teilen, damit ich meinen teilen kann, wäre das gut. Ich habe nur eine Folie, die ich mit allen teilen möchte, bevor wir die Fragerunde eröffnen. Ich möchte heute niemanden zu lange aufhalten. Also gut. Also, großartig. Sehr gut. Also, ganz schnell, wissen Sie, ich werde nicht, Sie wissen schon, in den Überblick über die Prävalenz heute gehen, weil wir einfach nicht die Zeit dafür haben, nach diesem wirklich reichen Webinar. sind. Aber ich möchte Sie daran erinnern, dass wir Ihnen Ressourcen zur Verfügung stellen, die Ihnen dabei helfen, den Einsatz des ISO-Rahmens in Ihren Organisationen zu maximieren, wenn es um das Risiko von Dritten geht. Wir haben einen sehr umfassenden Leitfaden entwickelt, der gängige ISO-Kontrollen bestimmten KPIs, KIS und Metriken in der Organisation zuordnet, die Sie anwenden möchten, und der dazu beiträgt, die Komplexität der ISO zu entmystifizieren und einige dieser Risikozuordnungen zu klären. Wenn Sie also eine Kurzanleitung suchen, und ja, 30 Seiten als Kurzanleitung.

Scott: Wenn Sie nach einem schnellen Leitfaden für die Anwendung der ISO-Norm auf Ihr TPRM-Programm suchen, haben wir eine Checkliste für Sie entwickelt, die Ihnen dies ermöglicht. Also, keine Mütze. Das ist alles, was ich heute mit euch teilen wollte. Ich übergebe jetzt an Ashley, die dann für Fragen zur Verfügung stehen wird.

Ash: Ja. Danke, Scott. Äh, und bitte sehen Sie sich die ISO-Checkliste an. Wir haben eine Menge phänomenaler Ressourcen auf unserer Website. Wir haben gerade eine im Chat, und die ist eigentlich für dich, Scott. Sie lautet: "Wie unterstützt die vorherrschende Plattform die Einführung dieser TPRM-Praktiken und/oder NIST Sorry Linkage to ISO or NIST Frameworks."

Scott: Ja, gute Frage. Also, wir haben eine Reihe von Fragebögen, die Thomas und sein Team erstellt und in die gängige Plattform hochgeladen haben. Wir haben mehr als 600 Fragebogenvorlagen auf der Plattform. Einige davon sind den einzelnen Bereichen der ISO gewidmet. Wir haben also spezifische Risiken auf der Grundlage von Antworten und Schwellenwerten, die angewandt werden, und dann Nachweise, die hochgeladen werden, um, Sie wissen schon, diese speziellen Kontrollen und Fragen anzugehen. Mit den Risikozuordnungen erhalten Sie dann eine Risikobewertung, die Ihnen die Bereiche aufzeigt, auf die Sie sich bei diesem Anbieter oder Lieferanten in Bezug auf diese Kontrollen konzentrieren müssen. Es handelt sich also um eine Art Rahmenwerk im System, und die Berichterstattung hilft dabei, das weitere Vorgehen zu definieren.

Ash: Ausgezeichnet. Nun, vielen Dank Thomas, Sophie und Scott und allen anderen für ihre Fragen. Sie alle haben uns fantastische Informationen gegeben, die wir heute mitnehmen können. Wir hoffen, Sie alle entweder in Ihrem Posteingang oder bei einem zukünftigen Webinar zu sehen. Vielen Dank an alle und einen schönen Rest der Woche.

Scott: Tschüss zusammen.