Payment
Welches Thema from Ihrer Sicht aktuell das most important in Sachen Cybersicherheit?
He said: Es gibt sicherlich mehrere relevant Themen, aber Informationssicherheit based nach wie vor auf den drei Säulen: Personal, Prozesse und Technologie. Diese sollten als Grundlage dien, um Risiken zu identifizieren und zu priorisieren. Seiteit geht es darum, die richtigen Maaschen zu definiren und umzusetzen.
Man kann sich natürlich nicht zu hundert Prozent vor einem Sicherheitsvorfall schütten. Restrisiko is required. Therefore muss man sich so gut wie möglich darauf vorbereiten.
Is denn bei der Vorbereitung besons wichtig?
He said: Auch hier gibt es nicht das eine Tool, sondern der Prozess is hier entscheidend. Der Incident-Prozess sollte nicht erst während eines Vorfalls etabliert werden. Denn dann is schon zu spät. Bereit zuvor müssen Fragen wie „Wer sind meine Ansprechpartner?“, „Wie reagiere ich, und wer trifft die Entscheidungen?”, geklärt sein. Unternehmen sollten dafür auf jeden Fall einen Plan im Haus haben. In addition, muss im Vorfeld auch klar sein, wie komuniziert werden soll, wenn die complete Infrastruktur wegfällt.
Shock measures increase the attention
Awareness spielt dabei sicherlich auch eine importante Rolle. What does Sie dafür do in Ihrem Unternehmen?
He said: Wir setzen auf ein mixed Konzept. Zum einen haben wir Standardmaßnahmen, wie räglichke Schulungen für alle Mitarbeiter und testen die Aufmerkent mit Phishing-Kampagnen. Auf der anderen Seite habe ich mir gemeinsam mit meinem Team und weiteren Kollegen auch etwas Spezielles überlegt und Schockmaßnahmen introduced. Ein Beispiel dafür ist, dass wir an einem Montagmorgen die Kaffeemaschine komplett abgeschaltet and mit einem Hinweis auf Ransomware verschehn haben. Ein anderes Mal haben wir Arbeitsplätze mit gelbem Klebeband and der Aufschrift Security Vorfall gespert.
Aktionen wie Live Hacking-Events and Escape Rooms an. Auch wenn Mitarbeiter deruch nicht so viel inhaltlich lernen, ehennen solke Maaschen die Aufmärkkeit für Cyberangriffe.
Do you think Sie damit um, Mitarbeiter, trotz Schulung, versehentlich mal auf eine Phishing-Mail click?
He said: Mir geht es nicht darum, Mitarbeiter an den Pranger zu stellen. Stattdessen geht es darum, solche Kollegen weiterzubilden. An affected person receives an initial request for training Dort wird sie geschult, worauf sie e Zukunft achten sollte. Ich glaube nicht, dass die Awareness durch Angst gesteigert werden kann. Ganz im Gegenteil. Meine Kollegen können jederzeit zu mir beziehungsweise meinem Team kommen, wenn sie eine Frage haben.
Lesetipp: Security Awareness Training – Schulungen richtig managern
Im Netz wird oft heftig über die Role des CISO im Unternehmen diskutiert. Viele sind der Meinung, dass der Bereich nicht mehr in die IT eingegliedert sein sollte. What do you think about yourself?
He said: Das sehe ich nicht so. Nach meiner Erfahrung funktioniert es gut, wenn die IT-Sicherheit als Teil der IT-Abteilung integrated ist. Bei uns arbeiten beide Bereiche als Team zusammen and tauschen Informationen aus. Wir verferchen dabei all das gleiche Ziel: uns als Unternehmen zu berserengung und zu schützen.
Auch sind viele Themen nicht nur in der Security angesiedelt. That is why we are often called Firewalls zum Beispiel von der IT beutrichten. Therefore ist die enge Zusammenarbeit sehr wichtig. Meiner Meinung nach wird hier ein Problem aufgemacht, das gar keines ist.
And könnte man auch das Ganze umdrehen und saygen, dass Security und IT zusammengehören?
He said: Ich sehe hier kein wirkliches Problem. IT and IT-Sicherheit sind in vielen Unternehmen eng meitander verbunden, aber es kommt letztlich auf den Kontext des Unternehmens an, wie diese Bereiche organiztet sind. Informationssicherheit hat natürlich auch Urgeonderneungs, die über die reine IT hinausgehen, aber geschäftig ist es kein Inkinki, wenn die Sicherheit in die IT eingegliedert ist.
Studien belegen, dass die Schäden durch Cyberangriffe in Deutschland enorm zugenommen haben. Halten Sie in diesem Zusammenhang Cyberversicherungen für sensauble?
He said: Cyberversicherungen sind auf jeden Fall sensauf, aber sie sollten nicht die einzige Sicherheitsmaßnahme sein. Die Versicherungsanbieter schreiben in den apprähensifen Policen auch Basisvorkehrungen vor. Andernfalls werden die Kosten im Schadensfall nicht gedeckt.
Die Cyberversicherung sollte Teil einer größeren Security-Strategie sein. Das heißt, wenn ich die Risiken identified und die Maaschen umgesetzt habe, dann bleibt trodden ein Restrisiko besten. Für dies Restrisiko habe ich dann die Versicherung.
Ein weiterer Vorteil einer Cyberversicherung ist, dass die Anbieter usually haben Kontakte zu Forensikern und Pentestern. Das ist vor allem für den KMU-Bereich milficht.
Sie Interesieren sich für die CISO-Perspektive? Dan lesen Sie auch:
Condor-CISO in Interview: “Ich sehe NIS2 positiv”
CISO bei KEB Automation “Safety is important ‘One-Man-Show’, sondern ein Mannschaftsspiel”
Source link