Das ultimative Sicherheitsziel aller Unternehmen ist Cyber-Resilienz. Wirksame Präventions- und Erkennungsmaßnahmen sind und bleiben ein wichtiger Eckpfeiler von Sicherheitsstrategien, aber Unternehmen sollten sich nicht allein darauf verlassen. Es kommt darauf an, wie sich die Organisation auf einen Vorfall vorbereitet, ihm standhält, auf ihn reagiert und sich davon erholt. Und dies hängt sowohl von Menschen und Prozessen als auch von der Technologie ab.
Als das U.S. National Institute of Standards and Technologies (NIST) Anfang dieses Jahres sein Benchmark-Cybersicherheits-Framework aktualisierte, fügte es die Security Governance, d. h. wie Security durch Menschen und Prozesse implementiert und verwaltet wird, als strategische Priorität hinzu. Als CIO stimme ich dem voll und ganz zu.
Zu einer effektiven Security Governance gehören unter anderem einheitliche Sicherheitsrichtlinien und -programme, eine Unternehmensführung, die sich mit den Risiken auskennt und sie zu handhaben weiß, robuste Strategien zur Reaktion auf Vorfälle, Investitionen in Fähigkeiten und Schulungen und vieles mehr. Unsere internationale Cybernomics 101-Studie hat ergeben, dass es vielen Unternehmen schwer fällt, diese Ziele zu erreichen.
Nur 43 % der Befragten glauben, dass sie Cyberrisiken wirksam begegnen können. Dieses geringe Maß an Vertrauen in die eigene Sicherheitslage ist besorgniserregend. Wir haben die Daten gründlicher analysiert, um mehr über die größten Herausforderungen von Unternehmen hinsichtlich Risiken bis hin zur Cyber-Resilienz zu erfahren, und um auf der Grundlage unserer Erfahrungen praktische Tools zu entwickeln, die helfen könnten.
Das Ergebnis ist unser neuer CIO-Bericht: So steuern Sie Ihr Unternehmen durch Cyberrisiken, der heute veröffentlicht wurde.
Der Bericht untersucht, wie Herausforderungen in Bezug auf Sicherheitsrichtlinien, Managementunterstützung, Zugriff durch Dritte und Lieferketten die Fähigkeit eines Unternehmens, Cyberangriffen zu widerstehen und auf sie zu reagieren, untergraben können.
Häufige Governance-Herausforderungen
Die Ergebnisse zeigen unter anderem, dass es vielen Unternehmen schwer fällt, unternehmensweite Sicherheitsrichtlinien wie Authentifizierungsmaßnahmen und Zugangskontrollen umzusetzen. Die Hälfte (49 %) der befragten kleineren und mittelgroßen Unternehmen nannte dies als eine der beiden größten Governance-Herausforderungen. Dies könnte zum Teil ein kulturelles Problem sein, z. B. wenn sich Mitarbeiter gegen erzwungene Einschränkungen wehren. Es handelt sich um einen Risikobereich, in dem die Geschäftsführung eine wichtige Rolle spielt.
Etwas mehr als ein Drittel (35 %) der kleineren Unternehmen befürchtet, dass die Geschäftsleitung Cyberangriffe nicht als signifikantes Risiko ansieht, obwohl ein Viertel zugibt, dass die Geschäftsleitung nicht über die Bedrohungen für das Unternehmen auf dem Laufenden gehalten wird. Es ist schwer, sich für etwas zu interessieren oder sich um etwas zu kümmern, das man nicht vollständig versteht.
Bei den größeren befragten Unternehmen war die Unterstützung durch das Management weniger ein Thema. Sie hatten eher mit dem Mangel an Budget (38 %) und qualifizierten Fachkräften (35 %) zu kämpfen.
Unabhängig von ihrer Größe haben viele Unternehmen Bedenken hinsichtlich fehlender Sicherheit und Kontrolle über die Lieferkette und der Transparenz gegenüber Dritten, die Zugriff auf sensible oder vertrauliche Daten haben.
Etwa jedes 10. der befragten Unternehmen hat keinen Plan zur Incident Response für den Fall eines erfolgreichen Sicherheitsverstoßes. Bei den größten befragten Unternehmen ist die Wahrscheinlichkeit, dass sie ihren Plan zur Incident Response getestet haben, mit 23 % am geringsten. Dies könnte zum Teil auf die Komplexität und den Ressourcenbedarf bei der Durchführung eines realistischen Tests zurückzuführen sein.
Ein nicht vorhandener oder nicht erprobter Plan könnte bei einem ernsthaften Angriff massiven Schaden anrichten, wenn das Unternehmen nicht weiß, was es als nächstes tun soll oder wozu es verpflichtet ist.
Glücklicherweise müssen Unternehmen all dies nicht alleine bewältigen. Der CIO-Bericht verweist auf einige externe Hilfsquellen und bietet außerdem praktische Vorlagen, die Unternehmen heranziehen können, um Cyber-Risiken zu managen und ihren aktuellen Status in Bezug auf Cyber-Resilienz zu ermitteln. Hierzu gehören ein Risikomanagementmenü und eine Checkliste zur Cyber-Resilienz.
Die Checkliste zur Cyber-Resilienz stützt sich auf die neueste Version des Cybersecurity Framework des U.S. National Institute of Standards and Technologies (NIST) und kann kostenlos von der Barracuda-Website heruntergeladen und ausgedruckt werden.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
