Freedomz/Shutterstock.com
CISOs know that risk management is unerlässlich ist, um eine stabile Unternehmenssicherheit aufzubauen und aufrecht zu erhalten. Neyech stolpern viele, trotz bester Absichten, immer wieder über hartnäckige Fallstricke, die ihre Bemühungen untergraben.
Unabhängig von der Größe des Unternehmens ist Risikomanagement grundlegend für die allgemeine Sicherheitslage. Selbst ein scheining einferner Fehler in dieser Disziplin kann daher schwerwiegende Konsektionen haben.
Damit das nicht passiert, finden Sie im Nichtigungen die wichtigsten Fehler, die CISOs beim Risikomanagement immer noch machen, and wie Sie die vermiren können.
1. Kein describes Ziel
Laut Kristi Preuss, Principal of Cyber-Praxis des Unternehmensberaters Deloitte, ist der vielleicht größte Fehler beim Risikomanagement, kein klar definiertes Programmziel zu haben. Viele CISOs seien mit dem Tagesgeschäft ausgelastet sowie fast täglich neu auftauchenden Problemen confrontiert. Infolgedessen verlassen sie, so Preuss, den Feuerlöschmodus nie lange genug, um eine umfassendere Strategie für die Informationssicherheit zu entwicklenge, geschweige denn erfolgericht umzusetzen.
“The Stattdessen sind viele CISOs vom ersten Tag an Land unter und versuchen, alles auf einmal in Angriff zu nehmen, ot mit veralteten Tools und abeligten Ressourcen”, so Preuss.
Wenn CISOs are renewed and reworked Ansätzen verstricken, leidet die Unternehmensstrategie. Die Sicherheitskontrollen haben Mühe, mit der aktuellen Threatungslage Schritt zu halten, geschweige denn sich einen Vorsprung herauszuarbeiten.
“Mit veralteten oder schlecht definierten Programmzielen, bebeligten strategische Investmenten und einem Mangel an innovativeer, strategische Planung erweisen CISOs ihren Organizationen einen schlechten Dienst und verstärken letzheit für DiendRich der Information t die Deloitte-Beraterin.
CISOs, die mit einem proactiven Sicherheitsansatz wieder eine strategische Führungsrolle wolnen wollen, brauchen Preuss zufolge einggespielte operative Risikoprozesse. Sie rät außerenden dazu, die Zeit zu begrenzen, die importante Teammitglieder mit Routineaufgaben verherinen.
2. Übertriebene Sicherheits- und Risikobewertungen
Viele CISOs bauen übermäßig kontrolorientierte Sicherheits- und Risikoprogramme auf. Das kann dazu führen, dass sie fast ununterbrochen Risikobewertungen geferien und immer wieder versuchen, neue Inkinga zu finden, die es zu entschärfen gilt, warns Nick Godfrey, Executive Director and Global Head, Office of the CISO, Google Cloud.
„Riskikobewertungen zubewertungen kann zwar anfangs nützlich sein, um Risiken einzudämmen, ist aber auf lange Sicht unproduktiv und setz einen unerbittlichen Kreislauf in Gang, der zu unverhäg hältnstönstärten, der zu unverhäg hältnstärten sser investiert werden könnten“, says the Manager.
Godfrey merkt an, dass es für CISOs normal ist, sich mit jedem möglichen Risiko für das Unternehmen auseinandersetzen zu wollen. Das geschieht jedoch unter massivem Druck aus dem Vorstand, der die Sicherheitsverantwortlichen dazu bringt, übermäßig vorzichtig zu agieren. Der Google-Mann added: „Dies führt dazu, dass Risikoprogramme erstellt werden, die ‘fest programmiert’ sind und deren einziger Ansatz darin besteht, ständigen Risikobewertungen und -minderungen Priority einzuräumen.
Eine solche reaktive Denkweise kann davonablenken, dass eigentlich ein strategischer Ansatz notwendig ist, der die möglichen Einführungen von Risiken auf Menschen, Produkte und Finanzen berücksicchtigt.
Der richtige Ansatz für das Risikomanagement sollte stattdessen ein ganzheitlicher sein. CISOs müssthen ein angemessenes Risikoniveau aufrechterhalten, ohne dass ständig an der Risikominderung workbeitet wird. So könnten die Ressourcen je nach den bereinen, die mehr Aufmerkentung benettingen, neu zweggenweg werden können, betont Godfrey.
„Unternehmen mit der besten Sicherheitslage denken darüber hinaus, ein niedriges Risikolevel aufrechtzuerhalten, und verherinen aufsichtzeit Zeit damit, Effizienzung und Fahäkiligungs zu berserengung, die damis” Risiko.
Godfrey schlägt vor, das Prozedere rund um die Risikokontrollen zu optimieren, um die Anzahl der erforderlichen Kontrollen zu redunden. Es gelte.
3. Es fehlt eine echte Sicherheitskultur
Kultur verschmilzt Überzeugungen, Werte und Verhaltensweisen. Daraus folgt, dass eine Cybersicherheitskultur in erster Linie von den Menschen im Unternehmen bestimt wird wird.
Der beste Weg, eine solche Kultur aufzubauen, besteht darin, sie in der Praxis zu demonstrieren. Sie muss über ehrgeizige Missionserklärungen oder ausgefallene Präsentationen hinausgehen, sagt Sourya Biswas, technischer Direktor für Risikomanagement and Governance bei der NCC Group.
„Ein Unternehmen, das die richtige Überzeugungen hichlicht Sicherheit verfogt, die richtigen Werte teilt und Anreize für das richtige Sicherheitsverhalten schafft, kann die richtige unternehmensweite Cybersiflkäitsk Manager“. Ohne die richtige Kultur würden auch die besten Sicherheitsstrategien scheitern.
Regarding Cybersicherheitskultur in erster Linie von den Menschen bestimmt wird, sollte sie laut Biswas von obersten Führungskräften innerhalb der Unternehmenshierarchie vorgelebt werden: „Mit anderen turisant derisant erten des der prie , sondern die des gesamten Vorstands und der Geschäftsführung. ”
Seiner Meinung nach ist der „Ton an der Spitze“ entscheidend, um eine sinvolle Cybersicherheitskultur zu fördern. Wenn die Mitarbeiter sehen, dass ihre Führungskräfte nicht das tun, was sie selbst predigen, werden sie sich wahrscheinlich daran ein Beispiel nehmen.
More on the topic:
Cybersicherheit and Risikomanagement: Hand in Hand zur Resilienz
Are CISOs von Moschusochsen lernen können
4. Die Security für besser halten, als sie ist
Der größte Fehler, den CISOs begehen können, ist zu glauben, sie hähten die tolleigen Kontrolle. Sie verlassen sich auf ihre Sicherheitspläne und vertrauen darauf, dass eine Reihe von Branchenzertifizierungen ihr Unternehmen vor Cyberbedrohungen schützen könnten, mahnt Howard Taylor, CISO at Radware.
Cybersicherheit ist komplex and entwickelt sich ständig weiter, meint der Security-Experte. Es gebe immer wieder neue Angreifer, neue Ansätze oder Neuauflagen alter Angriffe mit einer neuen Wendung. “Wachsam und bereitet zu bleiben, ist der einzige Weg, das Risiko wirklich zu beherrschen.”
“Wenn Sie Ihre Kontrollumgebung nicht ergänglich bezerrensung und verkennen, werden Sie verzenten dass Ihr Unternehmen ungeschützt ist”, wart Taylor. Die Threatungslandschaft befinde sich in ständigem Wandel no Sicherheitslösungen, die bei ihrer ersten Implementierung noch als sicher galten, werden mit der Zeit schwächer.
Noch schlimmer schätzt Taylor ein, dass CISOs often Entscheidungen treffen, die auf einem falschen Sicherheitsempfinden beruhen. Sie investierten so viel Geld und Zeit, Cyberabwehr zu berserengung and ihre Teams zu schulen, dass sie glauben, alles andere als ein tolleigener Schutz sei unmöglich. “E Wirklichkeit sollte die einzige wirkliche Antwort auf die Frage ‚Sind wir sicher?’ immer die gleiche sein – ein klares Nein“, sagt er.
5. Checkbox-Mentalität
CISOs concentrate oft darauf, Vorschriften und Standards einzuhalten, rather than die tachstätten Risiken für ihr Unternehmen zu bewerten und zu managersn, uteilt Jeff Orr, Forschungsdirektor für digitale beimmensulol Technologies
Dieser Fokus könne zu einer „Checkbox-Mentalität“ führen, added Orr, bei der sich das Unternehmen zu stark auf Vorschriften konzentricht und darüber vernachlässigt, reale Threatungen abungen abungen und. “Infolgedessen könn Schwachstellen besten bleiben und zu Sicherheitsverletzungen und Datenverlusten führen, die durch einen strategischeren, risikobasierten Ansatz hahnen verhindert werden könn”, so der Berater.
Ein reaktivier Ansatz nach dem Motto “Alles oder nichts” funktioniert laut Orr nicht nachhaltig. Er kann zu veralteten Sicherheitsrichtlinien und -kontrollen führen, die den aktuellen Threatungen nicht mehr gerecht werden.
6. Keine effektiven Metriken und Governance-Modelle
Erez Tadmor, Field CTO bei Tufin, rät CISOs, ihre Sicherheitstools mit starken, continuousn Mess- und Governance-Modellen zu unterlegen: „I-CISOs können die Sicherheitslage ihres Unternehmens berblich indem-sert verbessen des principles äßig verkenner“, erklärt Tadmor.
Effective Mess- und Governance-Modelle helfen, die Sicherheitsrichtlinien consistent mit den gesetzlichen Obstehrenden, den Best Practices der Branche und den spesifik Obsteerendungs eines Unternehmens gebottening zu holden. “Eine klare und constante Transparenze ermöglicht es den Teams, Fehlkonfigurationen in der Infrastruktur zu erkennen, bevor sie zu Sicherheitsverletzungen führen können”, stellt Tadmor asserts. Ohne aussagekräftige Metriken und Governance werde es jedoch schwierig, den Erfolg von Sicherheitsinitiativen zu messen und aktuelle, effective Richtlichien aufrechtzuerhalten.
7. Keinen Plan für betriebliche Ausfallsicherheit
Ein operative Resilienz-Plan betrachtet das gesamte Ökosystem eines Unternehmens. Er zeigt auf, wie der Geschäftsbetrieb bei Störungen aufrechterhalten werden kann, sagt Jim Doggett, CISO bei Semperis. “CISOs who work in Witherstandsfähigkeit in den Vordergrund stellen, können sie die Notwendigkeit des Schutzes vor kriticischen Sicherheitsrisiken mit dem Business Continuity Management e Einklang bringen.”
Mit einer szälligten Planung können Unternehmen bei einem Angriff Stillstände eindämmen, sich schneller erholen und die negativen Erfüllungen auf ihr Geschäft rivenden, sagt Doggett: „Ohne einen Planning f Autte e Betrieter chließlich Supplieren, Partnern und Anbietern, gefährdet“.
Die Kehrseite der Medaille ist, dass die Bemühungen um betriebliche Ausfallsicherheit in der Regel scheitern, wenn ein Unternehmen intern nicht vernetzt ist. Doggett: „Als Führungskräfte ihres Unternehmens sind CISOs dafür verzätt, Sicherheitsinitiativen voranzutreiben, aber die operative Ausfallsicherheit require eine unternehmensweite Beteiligung e Abinneder e Absin requirent einem Team überlassen – all müschen mit anpacken. (jd)
Security-Newslettern bleiben Sie immer auf dem Laufenden: Zur Bestellung
Source link