GRC 101: Was ist Cyberrisiko?

BY admin
|

Cyber-Risiken sind heute die am schnellsten wachsende Unternehmensrisiko- und Organisationspriorität. Laut der Global Risk Perception Survey 2019 wurde Cyber-Risiko von 79% der globalen Organisationen als Top-5-Priorität eingestuft.

Das Wachstum des Cyberrisikos ist zu einem großen Teil mit dem zunehmenden Einsatz von Technologie als Werttreiber verbunden. Strategische Initiativen – wie Outsourcing, Einsatz von Drittanbietern, Cloud-Migration, mobile Technologien und Fernzugriff — werden eingesetzt, um das Wachstum voranzutreiben und die Effizienz zu verbessern, aber auch das Cyberrisiko zu erhöhen. Das Cyberrisiko hat sich von einem Technologieproblem zu einem organisatorischen Problem entwickelt. Kurz gesagt, Cyber-Risiken sind das Problem aller.

In den letzten zwei Jahrzehnten ist die Cyberkriminalität exponentiell gewachsen. Laut dem IC3, dem Meldemechanismus des FBI für Cyberkriminalität, beliefen sich die finanziellen Schäden durch gemeldete Cyberkriminalität auf insgesamt 3 US-Dollar.5 Milliarden im Jahr 2019, während Cybersecurity Ventures prognostizieren, dass sich die globalen Kosten der Cyberkriminalität von 3 Billionen im Jahr 2015 auf 6 Billionen US-Dollar im Jahr 2021 verdoppeln werden.

Definition des Cyberrisikos

Cyberrisiko oder Cybersicherheitsrisiko ist das potenzielle Risiko von Verlusten oder Schäden, die sich aus den Informations- oder Kommunikationssystemen eines Unternehmens ergeben. Cyberangriffe oder Datenschutzverletzungen sind zwei häufig gemeldete Beispiele für Cyberrisiken. Das Cybersicherheitsrisiko geht jedoch über die Beschädigung und Zerstörung von Daten oder Geldverlusten hinaus und umfasst Diebstahl von geistigem Eigentum, Produktivitätsverluste und Reputationsschäden.

Beispiele für Cyberrisiken

Cyberrisiken können von jeder Organisation ausgehen und können von innerhalb der Organisation (internes Risiko) oder von externen Parteien (externes Risiko) ausgehen. Sowohl interne als auch externe Risiken können böswillig oder unbeabsichtigt sein.

Interne Risiken ergeben sich aus den Handlungen der Mitarbeiter innerhalb der Organisation. Ein Beispiel für böswilliges, internes Cyberrisiko wäre Systemsabotage oder Datendiebstahl durch einen verärgerten Mitarbeiter. Ein Beispiel für ein unbeabsichtigtes internes Risiko wäre ein Mitarbeiter, der es versäumt hat, einen Sicherheitspatch für veraltete Software zu installieren.

Externe Risiken gehen von außerhalb der Organisation und ihrer Stakeholder aus. Ein externer, böswilliger Angriff kann eine Datenverletzung durch einen Dritten, ein Denial-of-Service-Angriff oder die Installation eines Virus sein. Ein unbeabsichtigter, externer Angriff stammt in der Regel von Partnern oder Dritten, die sich außerhalb des Unternehmens befinden, aber mit dem Unternehmen in Verbindung stehen – einem Anbieter, dessen Systemausfall zu einer Betriebsstörung Ihres eigenen Unternehmens führt.

Auswirkungen von Cyberrisiken

Laut Deloitte Advisory Cyber Risk Services ist „Cyberrisiko ein Problem, das an der Schnittstelle von Geschäftsrisiko, Regulierung und Technologie besteht.“ In ihrer 2019 Future of Cyber Survey stellte
Deloitte fest, dass die Auswirkungen von Sicherheitsvorfällen von realen monetären Kosten, einschließlich finanzieller Verluste aufgrund von Betriebsstörungen und behördlichen Bußgeldern, bis hin zu immateriellen Kosten, einschließlich des Verlusts des Kundenvertrauens, des Reputationsverlusts oder eines Führungswechsels, variierten.

Cybersicherheitsrisiken können sowohl zu quantitativen Verlusten als auch zu qualitativen Auswirkungen führen. Zu den realisierten Kosten können entgangene Einnahmen aufgrund von Produktivitäts- oder Betriebsstörungen, Kosten für die Minderung und Behebung von Vorfällen, Anwaltskosten oder sogar Geldbußen gehören. Weniger greifbare Auswirkungen von Cybersicherheitsvorfällen, die schwer zu quantifizieren sind und deren Behebung in der Regel länger dauert, sind der Verlust von Goodwill, eine verminderte Markenreputation oder eine geschwächte Marktposition.

Management von Cyberrisiken

Cyberrisiken haben das Potenzial, jeden Aspekt eines Unternehmens zu beeinflussen, einschließlich seiner Kunden, Mitarbeiter, Partner, Lieferanten, Vermögenswerte und Reputation.

Ein effektives Cyber-Risikomanagement-Programm umfasst daher die gesamte Organisation. Obwohl die IT oder Infosec letztendlich über das Cybersicherheitsrisikomanagement verfügen kann, ist das Cyberrisiko im gesamten Unternehmen verteilt, was einen integrierten Ansatz und eine bereichsübergreifende Zusammenarbeit erfordert, um das Risiko effektiv zu verwalten und zu mindern.

Im Folgenden finden Sie 4 wichtige Schritte, die Ihr Unternehmen unternehmen kann, um eine robuste Cyber-Risikomanagement-Strategie zu implementieren.

  1. Verstehen Sie Ihr Risikoprofil: Um Ihr Risikoprofil und Ihre potenzielle Gefährdung zu verstehen, ist eine unternehmensweite Bedrohungsbewertung erforderlich.
    • Identifizieren Sie kritische Unternehmensrisiken, um die Anwendungen, Systeme, Datenbanken und Prozesse zu bestimmen, die Cyberrisiken unterliegen. Berücksichtigen Sie die Vielzahl externer und interner Bedrohungen, von unbeabsichtigten Benutzerfehlern über den Zugriff Dritter bis hin zu böswilligen Angriffen.
    • Risikobewertungen mit allen Stakeholdern durchführen, um die Wahrscheinlichkeit und die potenziellen Auswirkungen von Cyberrisiken zu bewerten, einschließlich bereichsübergreifender und sekundärer Effekte und Technologieabhängigkeiten. Berücksichtigen Sie die Exposition von Drittanbietern, da diese zunehmend zu Vektoren für Cyber-Vorfälle geworden sind, und das Risiko, das durch den wachsenden Technologieumkreis aufgrund der Anforderungen an die Arbeit von zu Hause aus entsteht.
    • Quantifizieren Sie Risiken, einschließlich der potenziellen finanziellen, betrieblichen, Reputations- und Compliance-Auswirkungen eines Cyber-Risikovorfalls. Ein Framework zur Risikobewertung kann dabei helfen, ein ganzheitlicheres Ranking von Bedrohungen bereitzustellen.
  2. Legen Sie eine unternehmensweite Strategie fest: Etablieren Sie einen unternehmensweiten strategischen Rahmen für das Cyber-Risikomanagement
    • Priorisieren Sie Risiken durch den Einsatz eines gemeinsamen Risikomessrahmens und von Berichtssystemen, um Risiken im gesamten Unternehmen effektiv zu priorisieren und eine fundierte Ressourcenallokation zu ermöglichen.
    • Berücksichtigen Sie branchenspezifische Risikostandards und integrieren Sie spezifische Compliance-Anforderungen in Ihre Cyber-Risikomanagement-Praxis.
    • Festlegen und Kommunizieren einer unternehmensweiten IT- und Cyber-Risikomanagementstrategie. Die Nutzung der Technologieinfrastruktur und der Anwendungen ist in jedem Unternehmen von entscheidender Bedeutung. Daher kann Cyber-Risiko in jeder Abteilung auftreten, was es zu einer organisatorischen Priorität macht, anstatt zu einer IT-Priorität.
  3. Investieren Sie in die Infrastruktur für das Cyber-Risikomanagement
    • Bewerten Sie die Systemanforderungen, um zu verstehen, woher organisatorische Cyberbedrohungen stammen, und geben Sie einen Leitfaden für die erforderlichen Systemtypen an. Eine verteilte, Cloud-basierte Organisation hat andere Anforderungen als eine physische Asset-intensive Organisation. Überlegen Sie, wie Ihr Unternehmen derzeit arbeitet, um sicherzustellen, dass eine GRC-Plattform den sich ändernden Anforderungen gerecht wird.
    • Potenzielle Investitionen in GRC-Software oder andere Cyber-Risikomanagement-Tools sollten auch die Anforderungen an die Risikoberichterstattung und das Incident-Management, Workflows, Benutzerfreundlichkeit, Flexibilität und zukünftige Erweiterungsmöglichkeiten berücksichtigen.
  4. Etablieren Sie einen dynamischen Cyber-Risikomanagement-Prozess
    • Etablieren Sie eine robuste Aufsicht, indem Sie ein aktualisiertes Inventar potenzieller Bedrohungen führen und die potenziellen Auswirkungen und Minderungskosten von Cyber-Vorfällen dynamisch quantifizieren.
    • Kommunizieren Sie mit Dritten, um sicherzustellen, dass ihre Sicherheitsprotokolle mit den organisatorischen Standards und Praktiken übereinstimmen.
    • Investieren Sie in Schulungen – Angesichts der rasanten Entwicklung der Technologie und der damit verbundenen Cybersicherheitsrisiken ist das Cyber-Risikomanagement keine statische Lösung. Unternehmen können große Summen für hochmoderne Sicherheitsinfrastrukturen ausgeben, aber ein wirklich effektives Cyber-Risikomanagement-Programm erfordert eine effektive Schulung der Stakeholder.

Logicgates IT-Risikomanagementlösung

Wie kann Ihr Unternehmen Cybersicherheitsrisiken genau bewerten, quantifizieren, verwalten und mindern, wenn Ausmaß und Umfang des Cyberrisikos explodieren? Das Cybersicherheitsrisikomanagement erfordert eine robuste Plattform, um ein unternehmensweites Engagement und ein effektives Risikomanagement zu ermöglichen.

Die Etablierung einer Kultur des Cyber-Risikobewusstseins ist mit einer maßgeschneiderten und flexiblen Schnittstelle einfacher. Die IT-Sicherheitsrisikomanagement-Software von LogicGate bietet die gemeinsamen Tools, die Sie benötigen, um den Risikorahmen Ihres Unternehmens zu kommunizieren, Ihre Informationsressourcen zu schützen und Industriestandards einzuhalten, damit Sie den Ruf Ihres Unternehmens wahren und Ihr Unternehmen, Ihre Mitarbeiter, Kunden und Kunden schützen können.