Es ist von entscheidender Bedeutung sicherzustellen, dass das Risikomanagement für die Cybersicherheit langfristig Bestand hat. Da sich das Unternehmen und die externe Bedrohungslandschaft weiterentwickeln, ist ein kontinuierliches Cybersicherheits-Risikomanagement erforderlich, nachdem eine anfängliche Schwachstellen-Risikobewertung alle digitalen Assets des Unternehmens identifiziert und bestehende Sicherheitsmaßnahmen untersucht hat. Dieser Artikel behandelt also alles, was Sie über das Management von Cybersicherheitsrisiken wissen müssen.
Was ist Cybersicherheits-Risikomanagement?
Cybersicherheits-Risikomanagement ist der ständige Prozess des Auffindens, Bewertens, Bewertens und Reagierens auf Cybersicherheitsbedrohungen in Ihrem Unternehmen.
Das Risikomanagement für die Cybersicherheit liegt in der Verantwortung aller im Unternehmen, nicht nur des Sicherheitspersonals. Risikomanagement wird von Mitarbeitern und Geschäftsbereichsleitern häufig als eigenständige Geschäftstätigkeit betrachtet. Leider fehlt ihnen der vollständige und konsequente Blickwinkel, der erforderlich ist, um Risiken zu begegnen.
Jede Funktion hat ihr eigenes Ziel, häufig begleitet von einem Mangel an Verständnis und Empathie für andere. Die IT leistet Pionierarbeit bei neuen Ideen und Technologien und nimmt Sicherheit und Compliance kontinuierlich als unbequeme Hürden für Wachstum wahr. Die Sicherheit ist sich der Sicherheit bewusst, hat aber oft keinen Kontakt zu Gesetzen und sich entwickelnden Technologien. Das Verkaufspersonal möchte seine Kunden zufriedenstellen und sucht nach einer praktikablen Lösung zur Durchführung von Sicherheitskontrollen. Compliance versucht, durch striktes Einhalten von Vorschriften allen Ärger zu ersparen, operiert aber häufig ohne fundiertes Sicherheitsverständnis.
Alle Funktionen müssen mit klar definierten Rollen und Verantwortlichkeiten arbeiten, um Cybersicherheitsrisiken effektiv zu managen. Die Zeiten, in denen isolierte Abteilungen in zusammenhangloser Verwirrung herumfummelten, sind lange vorbei. Die heutige Risikolandschaft erfordert einen kohärenten, koordinierten, disziplinierten und konsistenten Risikomanagementansatz. Im Folgenden sind einige kritische Maßnahmenkomponenten des Risikomanagements aufgeführt, an die sich alle Unternehmen erinnern müssen:
- Erstellen starker Richtlinien und Tools zur Bewertung des Anbieterrisikos
- Erkennung neu auftretender Risiken, wie z. B. neue Regeln mit Auswirkungen auf das Geschäft
- Interne Schwachstellen, wie beispielsweise eine fehlende Zwei-Faktor-Authentifizierung, werden identifiziert.
- Minderung von IT-Risiken, möglicherweise durch Schulungsprogramme, neue Vorschriften und interne Kontrollen
- Allgemeines Testen der Sicherheitslage
- Dokumentation des Risikomanagements und der Sicherheit von Anbietern zur Vorbereitung auf behördliche Audits oder zur Beruhigung neuer Kunden
Was sind die Vorteile des Managements von Cybersicherheitsrisiken?
Ein Unternehmen kann verhindern, dass sein Tagesgeschäft die Cybersicherheit als nachträglich betrachtet, indem es ein Cybersicherheits-Risikomanagement implementiert. Ein vorhandener Plan zur Verwaltung von Cybersicherheitsrisiken garantiert, dass Protokolle und Richtlinien regelmäßig befolgt und die Sicherheit auf dem neuesten Stand gehalten werden.
Die folgenden Gefahren werden durch das Cybersicherheits-Risikomanagement kontinuierlich überwacht, identifiziert und gemindert:
- Phishing-Erkennung,
- VIP- und Executive-Schutz,
- Markenschutz,
- Betrugsprävention,
- Überwachung sensibler Datenlecks,
- Aktivitäten im Dark Web,
- Automatisierte Bedrohungsabwehr,
- Überwachung von durchgesickerten Anmeldeinformationen,
- Identifizierung bösartiger mobiler Apps,
- und Lieferkettenrisiken sind nur einige Beispiele.
Framework für das Management von Cybersicherheitsrisiken
Für Sicherheitsverantwortliche aus Nationen und Unternehmen bietet ein Cybersicherheits-Framework eine gemeinsame Sprache und eine Reihe von Standards, die es ihnen ermöglichen, ihre eigene Sicherheitslage und die ihrer Anbieter zu verstehen. Ein Framework macht es viel einfacher, die Schritte Ihres Unternehmens zur Bewertung, Verwaltung und Reduzierung von Cybersicherheitsrisiken festzulegen.
Als wichtiger Maßstab kann ein Cybersecurity-Framework dienen.
Die Grundlage für die Integration von Cyber Security Risk Management in Ihr Security Performance Management und Ihre Strategien für das Risikomanagement von Drittanbietern bilden Cyber Security Frameworks, die häufig erforderlich sind. Sie erhalten entscheidende Einblicke in Ihr größtes Sicherheitsrisiko, indem Sie ein Framework als Kompass verwenden, und Sie werden sich wohlfühlen, wenn Sie dem Rest der Organisation mitteilen, dass Sie sich der herausragenden Sicherheit verschrieben haben.
NIST-Framework für Cybersicherheit
Die Exekutivverordnung des ehemaligen Präsidenten zur Verbesserung der Cybersicherheit kritischer Infrastrukturen forderte eine verstärkte Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor zur Identifizierung, Bewertung und Verwaltung von Cyberrisiken. Als Reaktion darauf wurde das NIST Cybersecurity Framework erstellt. NIST hat sich zum Goldstandard für die Bewertung der Cybersicherheitsreife, die Identifizierung von Sicherheitslücken und die Einhaltung von Cybersicherheitsvorschriften entwickelt, auch wenn die Einhaltung optional ist.
Normen ISO 27002 und 27001
Die von der International Organization for Standardization (ISO) geschaffenen Zertifizierungen ISO 27001 und ISO 27002 gelten als globaler Maßstab für die interne und externe Überprüfung eines Cybersicherheitsprogramms. Mit einer ISO-Zertifizierung können Unternehmen dem Vorstand, Kunden, Partnern und Aktionären zeigen, dass sie die richtigen Dinge tun, um Cyber-Risiken zu managen. Wenn ein Anbieter nach ISO 27001/2 zertifiziert ist, ist dies ebenfalls ein guter Indikator (wenn auch nicht der einzige), dass er über ausgereifte Cybersicherheitspraktiken und -kontrollen verfügt.
NERC-CIP
Die North American Electric Reliability Corporation – Critical Infrastructure Protection (NERC CIP) wurde eingeführt, um die Zunahme von Angriffen auf kritische Infrastrukturen in den USA und das wachsende Risiko von Drittanbietern abzuschwächen. Es handelt sich um eine Reihe von Cybersicherheitsstandards, die Unternehmen im Versorgungs- und Energiesektor dabei helfen sollen, Cyberangriffe zu reduzieren Risiko und Gewährleistung der Zuverlässigkeit von Massenstromanlagen.
Das Rahmenwerk verlangt von betroffenen Organisationen, Cyber-Risiken in ihren Lieferketten zu identifizieren und zu mindern. In NERC-SIP werden mehrere Kontrollen beschrieben, wie z. B. die Klassifizierung von Systemen und kritischen Assets, die Schulung von Personal, die Reaktion auf Vorfälle und die Planung, Wiederherstellungspläne für kritische Cyber-Assets, Schwachstellenbewertungen und mehr. Erfahren Sie mehr über funktionierende NERC-CIP-Compliance-Strategien.
Gehalt für Cybersicherheits-Risikomanagement
Das durchschnittliche Jahresgehalt für einen Cyber Risk Management in den Vereinigten Staaten beträgt 102,856 USD pro Jahr (Stand: 19. Dezember 2022).
Angenommen, Sie benötigen einen schnellen Gehaltsrechner, der etwa 49.45 $ pro Stunde kostet. Dies entspricht 1,978 USD pro Woche oder 8,571 USD pro Monat.
Während ZipRecruiter Jahreseinnahmen von nur 167,000 $ und nur 29,500 $ erzielt, reicht der Großteil der Gehälter für Cyber Risk Management in den Vereinigten Staaten jetzt von 74,500 $ (25. Perzentil) bis 126,500 $ (75. Perzentil), wobei Spitzenverdiener (90. Perzentil) 156,000 $ verdienen . Die durchschnittliche Gehaltsspanne für Cyber Risk Management variiert erheblich (bis zu 52,000 US-Dollar), was bedeutet, dass es je nach Qualifikationsniveau, Standort und jahrelanger Erfahrung zahlreiche Aussichten auf Beförderung und höheres Einkommen geben kann.
Laut den jüngsten Stellenausschreibungen von ZipRecruiter ist der Arbeitsmarkt für Cyber-Risikomanagement in Atlanta, GA, und Umgebung aktiv. Ein Cyber Risk Management in Ihrer Nähe verdient ein durchschnittliches Jahresgehalt von 101,973 $, was 883 $ (1 %) weniger ist als das nationale durchschnittliche Jahresgehalt von 102,856 $. Georgia rangiert auf Platz 49 von 50 Staaten in Bezug auf das Gehalt im Bereich Cyber Risk Management.
ZipRecruiter überprüft regelmäßig seine Datenbank mit Millionen von aktiven Stellen, die lokal in ganz Amerika ausgeschrieben sind, um die genaueste jährliche Gehaltsspanne für Positionen im Bereich Cyber Risk Management zu ermitteln.
Diese Position ist entscheidend, um Sicherheitskatastrophen zu verhindern, indem potenzielle Schwachstellen in Ihren Informationssystemen erkannt werden. Diese Experten bewerten die vorhandenen Sicherheitsmaßnahmen und verhindern potenzielle Angriffe auf die Computer, Netzwerke und Daten Ihres Unternehmens.
Gehalt eines Cyber Security Engineers
Mit durchschnittlichen Cybersicherheitsgehältern zwischen 120,000 und 210,000 US-Dollar bringt die Position des Cybersicherheitsingenieurs auch eines der höchsten Gehälter im Sicherheitssektor ein.
Unternehmen stellen diese Experten aufgrund ihrer Fähigkeiten und Erfahrungen ein, da sie in erster Linie für verschiedene Aufgaben von Sicherheitsingenieuren verantwortlich sind, z.
Gehalt eines Anwendungssicherheitsingenieurs
Application Security Engineers sind die drittbestbezahlten Cybersecurity-Experten mit Jahresgehältern zwischen 130,000 und 200,000 US-Dollar.
Die Beschäftigung eines Anwendungssicherheitsingenieurs ist unerlässlich, wenn Ihr Unternehmen Softwarelösungen verwendet, die von Drittanbietern wie AWS oder Azure von Microsoft angeboten oder gehostet werden, oder wenn Sie Ihre Lösungen von Grund auf neu entwickeln.
Diese Experten schützen alle Geschäftsanwendungen und Software, die von Ihren Mitarbeitern verwendet werden, und stellen sicher, dass alle Datenschutz- und Compliance-Anforderungen in die Software integriert und eingehalten werden.
Gehalt eines Cybersicherheitsanalysten
Das Durchschnittsgehalt für diese Position in der Cybersicherheit liegt zwischen 95,000 und 160,000 US-Dollar, und es lohnt sich.
Diese Sicherheitsexperten helfen bei der Entwicklung, Organisation und Umsetzung von Sicherheitsmaßnahmen zum Schutz Ihrer Infrastruktur.
Sie sind speziell ausgerüstet, um Schwachstellen zu identifizieren, bevor Hacker eine Chance haben. Sie verfügen über das Wissen und die Erfahrung, um mit Penetrationstestern und Informationssicherheitsmanagern zusammenzuarbeiten, um Cyberangriffe abzuschwächen und zu vermeiden, die Ihrem Unternehmen schweren Schaden zufügen könnten.
Wann sollten Informationssicherheitsmanager eingestellt werden?
Wollten Sie Kundendaten schützen und sich von den Kosten und Strafen fernhalten, die mit der Kompromittierung oder dem Diebstahl Ihrer privaten Informationen verbunden sind? Tun Sie sich selbst einen Gefallen und besetzen Sie diese Stelle, bevor Ihr Geschäft darunter leidet. Sie sind gezwungen, teure Bußgelder einzuplanen, wenn sie Kundendaten nicht schützen, wie Uber, das mit 148 Millionen US-Dollar bestraft wurde, weil es gegen staatliche Gesetze verstoßen hatte, die eine Meldung von Datenschutzverletzungen vorschreiben.
Risikomanagementplan für Cybersicherheit
Wählen Sie je nach Ihren organisatorischen Anforderungen und Zielen den besten Ansatz, der quantitativ, qualitativ oder eine Kombination aus beidem sein kann.
Ein quantitativer Ansatz gibt Ihnen einen Einblick in die finanziellen Auswirkungen eines bestimmten Risikos, während ein quantitativer Ansatz Ihnen einen Einblick in die organisatorischen Auswirkungen in Bezug auf die Produktivität gibt.
Gemäß der NIST-Sonderveröffentlichung 800-30 kann eine Risikobewertung auf taktischer oder strategischer Ebene durchgeführt werden.
Eine Bestandsaufnahme aller Assets und deren Organisation nach Priorität, Wichtigkeit und Art der zu bewertenden Informationen ist der erste und wichtigste Schritt im Prozess der Sicherheitsrisikobewertung.
Holen Sie Unterstützung von allen interessierten Parteien ein und entscheiden Sie, wie Sie die Informationsressourcen kategorisieren.
#1. Sortieren Sie Cybersicherheitsrisiken nach Priorität
Bestimmen Sie, welche Daten für wen zugänglich sind und wie sie verletzt werden können.
Mit der Ausweitung der IT-Landschaft und der Einführung neuerer Technologien und anderer Arten der Geschäftsabwicklung, wie z. B. gemeinsam genutzte Infrastruktur oder Dienste von Drittanbietern, die auf einem vorhandenen Software-Stack ausgeführt werden, können Datenlücken in den unerwartetsten Gebieten existieren.
Neben der sich wandelnden Landschaft unterstreichen viele Compliance-Richtlinien und Regulierungspraktiken die Bedeutung der Identifizierung aller möglichen Sicherheitsvorfälle oder Datenschutzverletzungen, die im Infrastrukturnetz auftauchen können.
Nachdem Sie die Informationsressourcen identifiziert und klassifiziert haben, identifizieren Sie die potenziellen Bedrohungskanäle.
Während wir uns durch die dynamische Bedrohungslandschaft manövrieren, ist es wichtig, dass wir uns über die Auslöser und Kontrollen auf dem Laufenden halten und uns weiterentwickeln, um verschiedene Strategien zu entwickeln, um diesen Bedrohungen mit den sich ändernden Anforderungen entgegenzuwirken.
Datensicherheitsvorfälle reichen von externen Angriffen, böswilligen Benutzern und Software, durch Fahrlässigkeit eingeführte Schwachstellen, Naturkatastrophen und Insider-Bedrohungen.
Sicherheitslücken führen zu Umsatzeinbußen, Reputationsschäden, rechtlichen Konsequenzen, Unterbrechung der Geschäftskontinuität und einer langen Liste anderer negativer Auswirkungen.
Finden Sie Schwachstellen im Netzwerk durch Scannen, Penetrationstests und Auditing-Kontrollen.
Schwachstellen leben im Netzwerk oder in der Anwendung und sind Schwachstellen, die aufgrund von Versehen und mangelnder Flexibilität, Systemfehler zu bemerken, unbemerkt bleiben.
Da immer mehr Unternehmen ihre Anwendungen in der Cloud hosten und betreiben, sind die Chancen, solche Schwachstellen einzuführen, hoch.
Die Bedrohungen, die auf solche Schwachstellen abzielen, sind extern, intern, strukturiert und unstrukturiert.
#2. Bestimmen Sie Strategien zur Risikoprävention und -minderung für die Cybersicherheit
Es ist an der Zeit, Mechanismen zu entwickeln, um die Bedrohungen zu vermeiden, denen Sie wahrscheinlich ausgesetzt sind, nachdem Sie die Informationsressourcen bewertet und potenzielle Sicherheitsbedrohungen identifiziert haben, die mit diesen Ressourcen verbunden sind.
Stellen Sie Sicherheitsüberwachungstools bereit
Stellen Sie alle erforderlichen Infrastruktur- und Sicherheitslösungen bereit, die die Überwachung für Sie automatisieren können. Dies ist ein wesentlicher Schritt bei der Verwaltung der Sicherheit Ihres Netzwerks.
Cybersecurity Services
Diese Dienstleistungen werden einzeln oder gemeinsam angeboten.
- Cyber Risk Management Operations Service
Identifizieren und managen Sie relevante Cyber-Risiken, um eine effektive, risikobasierte Entscheidungsfindung zu ermöglichen.
- Bewertung des Cyber-Sicherheitsprogramms
Bewerten Sie Ihr Sicherheitsprogramm, um Investitionen zu priorisieren, die Ausfallsicherheit zu erhöhen und Risiken zu reduzieren.
- Sicherheitsbewertung von Kronjuwelen
Identifizieren, schützen und schützen Sie Ihre wichtigsten Unternehmensressourcen vor schädlichen Angriffen.
- Due-Diligence-Service für Cyber-Sicherheit
Erkennen und mindern Sie vererbte Cyber-Risiken im Zusammenhang mit Geschäftstransaktionen, Beziehungen und Systemen, die sich Ihrer direkten Kontrolle entziehen.
- Bedrohungsmodellierungs-Sicherheitsdienst
Entdecken Sie nicht identifizierte Geschäfts- und Sicherheitsrisiken durch effektive, dynamische Systemanalysen.
- Bedrohungs- und Sicherheitslückenmanagement
Verbessern und stabilisieren Sie Ihre Vulnerability-Management-Prozesse mit bewährten risikobasierten Sicherheitsstrategien.
Zusammenfassung
Das Risikomanagement im gesamten Unternehmen ist heute schwieriger denn je. Moderne Sicherheitslandschaften ändern sich häufig, und Unternehmen werden durch eine Explosion von Drittanbietern, neue Technologien und ein sich ständig erweiterndes Minenfeld von Regeln herausgefordert. Der Ausbruch und die Rezession von COVID-19 haben Sicherheits- und Compliance-Teams dazu gedrängt, zusätzliche Aufgaben zu übernehmen und gleichzeitig Ressourcen zu reduzieren.
Vor diesem Hintergrund muss Ihr Unternehmen einen Risikomanagementprozess implementieren. Bestimmen Sie Ihr Risiko, indem Sie es identifizieren und bewerten, erstellen Sie dann eine Minderungsstrategie und überprüfen Sie kontinuierlich Ihre internen Kontrollen, um sicherzustellen, dass sie auf das Risiko abgestimmt sind. Denken Sie daran, dass jedes Risikomanagementprojekt immer der Neubewertung, neuen Tests und der kontinuierlichen Minderung Priorität einräumen sollte.
Letztendlich gibt es im modernen Streben nach Risikomanagement keine Pause. Es scheint kaum fair in einer Zeit beispielloser Veränderungen, in denen Risiken und Schwachstellen von Minute zu Minute zunehmen. Kluge und erfolgreiche Unternehmen hingegen werden sich weiterhin im Kampf um das Management von IT-Risiken und die Wahrung der Unternehmenssicherheit mit der Unterstützung von Analyse-, Kollaborations-/Kommunikations-/Problemmanagement-Tools und Risikomanagement-Frameworks von Drittanbietern behaupten.
Ähnliche Artikel
- SICHERHEITSANWALT: Alles, was Sie wissen sollten (aktualisiert)
- Vier Gründe, warum alle Unternehmen im Jahr 2023 auf Cybersicherheit achten müssen
- Vertriebsingenieur: Stellenbeschreibung, Fähigkeiten und Gehalt aktualisiert! (UNS)
- UMWELTMANAGEMENTSYSTEME: Typen und Grundelemente eines UMS
- Exzentrische Sicherheitsprobleme der Blockchain im Jahr 2023
Bibliographie
