Start Cloud 8 Dinge, die Unternehmen tun können, um das Risiko von Cyberangriffen zu...

8 Dinge, die Unternehmen tun können, um das Risiko von Cyberangriffen zu verringern

83
0


Cloud-Risiko

Es vergeht kaum ein Tag, an dem keine Medienberichterstattung zum Thema Cyber ​​stattfindet. Seien es sensationelle Schlagzeilen, die den jüngsten Cyber-Angriff ankündigen, der einige unglückliche Unternehmen mit einem roten Gesicht und Beraubung zurückgelassen hat, das Ergebnis einer weiteren Umfrage, die im Allgemeinen von einem Unternehmen durchgeführt wird, das Cyber-bezogene Waren oder Dienstleistungen verkauft, oder die Ankündigung neuer Vorschriften und Gesetze. Eine Schlagzeile auf der Titelseite von STADT AM Geschrei CYBERCRIME WIPES 42 MRD. £ RABATT AUF ANTEILE — es wird sicherlich kein Vorstandsmitglied mehr geben, das das Bewusstsein leugnen kann, dass Cyberkriminalität eine Bedrohung für sein Unternehmen darstellt.

Nachdem wir uns seit mehr als einem Jahrzehnt mit der Cyber-Debatte beschäftigt haben, scheinen wir uns endlich einig zu sein, dass der Grundstein jetzt gut gelegt ist und eine weit verbreitete, wenn nicht sogar universelle Akzeptanz besteht, dass Cyberkriminalität und Cyberrisiken real sind und jetzt ein ewiges Thema sind stellen Unternehmen vor eine Herausforderung.

Wir scheinen sogar über die allgemeine Akzeptanz von Cyber ​​als Geschäftsrisiko hinausgekommen zu sein. Das Trauma für TalkTalk im Oktober 2015 wurde im unheilvollen Licht der Medien dargestellt und der Schock eines Cyberangriffs führte zu einem geschätzten Verlust von TalkTalk von 60 Millionen Pfund und 101.000 Kunden. Seitdem hat sich die Einstellung der Vorstände verändert, wobei der Fokus auf Cyber-Resilienz und die Verabschiedung von Maßnahmen zum besseren Schutz vor Cyber-Angriffen deutlich zugenommen hat. Wir werden sehen müssen, wie es Wonga angesichts eines bedeutenderen Vorfalls als dem von Talk Talk ergeht.

Die Fortschritte bei der Ergreifung umsichtiger Maßnahmen zur Gewährleistung besserer Sicherheit und vor allem bei der Vorbereitung auf die Reaktion auf einen Vorfall bleiben jedoch schmerzlich langsam.

Die Hiscox-Cyber-Readiness-Bericht 2017 bestätigt, was wir alle über die Zunahme von Cyber-Angriffen wissen: 52 Prozent der 3000 befragten Unternehmen meldeten im Vorjahr mindestens einen Cyber-Angriff. Es stellt erhöhte Ausgaben für Cybersicherheit fest, wobei Budgeterhöhungen von mehr als fünf Prozent prognostiziert werden. Dennoch wurden mehr als die Hälfte der 3000 befragten Unternehmen bei der Beantwortung des Reifegrad-Fragebogens von Hiscox in Bezug auf ihren Umgang mit, ihr Verständnis und ihre Bereitschaft zum Umgang mit Cyber-Risiken als „Cyber-Neulinge“ eingestuft. Die Umfrage zu Cyber-Sicherheitsverletzungen der Regierung 2016 konzentrierte sich auf die FTSE 350-Unternehmen und verzeichnete 65 Prozent, die im Vorjahr einen Verstoß erlitten hatten, aber noch alarmierender war, dass nur 29 Prozent über irgendeine Form von Cyber-Richtlinien und nur 10 Prozent über formelle Verfahren für Cyber-Vorfälle verfügten.

Das Rätsel ist dann, was den Holzstau verursacht? Unternehmen geben eindeutig zu, Opfer von Cyber-Angriffen zu sein, und wir können davon ausgehen, dass die anerkannte Anzahl von Angriffen die Realität nicht ausreichend erfasst. Unternehmen stimmen gerne zu, dass Cyber ​​ein großes Risiko darstellt – die Umfrage zu Cyber-Sicherheitsverletzungen 69 Prozent bestätigten, dass Cyber-Sicherheit eine hohe Priorität für die Geschäftsleitung hat. Mehr als 70 Prozent unternehmen jedoch keine grundlegenden, kostengünstigen Schritte, die die Widerstandsfähigkeit erheblich verbessern.

Was sollten Unternehmen also tun?

1. Hör auf, der Silberkugel nachzujagen.

Derzeit ist die pawlowsche Reaktion der Geschäftswelt auf Cyber-Risiken der Kauf einer Plugin-Lösung für alle IT-Lösungen. Leider gibt es solche Lösungen nicht. Unternehmen sollten die Suche nach einem technologischen Allheilmittel für alle Cyber-Erkrankungen aufgeben und ihren Ansatz für Cyber-Risiken erweitern.

2. Machen Sie Cyber-Risiken zu einem Vorstandsthema

Obwohl sich Vorstände des Cyber-Risikos offenbar bewusst sind, müssen sie dennoch die Verantwortung dafür übernehmen, dieses Risiko anzugehen und die Cyber-Resilienz als ein vom Vorstand gesponsertes Programm voranzutreiben.

3. Balance zwischen Zeit-, Energie- und Kostenaufwand

Während Hiscox-Bericht festgestellt, dass die Ausgaben für Cyber-Sicherheit gestiegen sind, werden Ausgaben für neue Technologien als der mit Abstand häufigste Schwerpunkt dieser Ausgaben genannt. Dies unterstreicht, dass die Wirtschaft immer noch auf der Suche nach dem technischen Allheilmittel ist. Um mehr aus ihrer Investition von Zeit, Energie und Geld herauszuholen, müssen Unternehmen nach einem Ansatz suchen, bei dem der Fokus auf den Schutz besser ausbalanciert ist und sich darauf vorbereitet, wie auf einen Vorfall reagiert und die Auswirkungen abgemildert werden können. Das muss nicht mit zusätzlichen Kosten verbunden sein. Ebenso muss die Investition auf Technologie, Humanressourcen, Intelligenz und effektive Mitarbeiterschulung verteilt werden, wobei der Schwerpunkt auf Verhaltensänderungen liegt, anstatt auf das Abschließen von Häkchenübungen.

4. Behandeln Sie Cyber-Resilienz als multidisziplinäre Herausforderung

Es ist allzu einfach und allzu häufig, dass Cyber-Resilienz als das einzige Anliegen des IT-Managers bezeichnet und gemacht wird. Jeder, der mit den Folgen eines Cyber-Angriffs zu kämpfen hatte, wird bezeugen, dass ein voll engagiertes Team für IT, PR, Recht und Compliance, Versicherungen und Personal benötigt wird. Richtlinien, Pläne und Schulungen sollten alle aus einer multidisziplinären Perspektive formuliert werden.

5. Bewerten Sie Ihre Vermögenswerte als Ziel für Cyber-Angriffe

„Wer alles verteidigt, verteidigt nichts“, lautet das etwas müde Zitat Friedrichs des Großen. Seine Relevanz für das Cyber-Risiko hängt mit dem obigen Punkt zur Erstellung einer ausgewogenen Verteidigungsstrategie zusammen, ist jedoch wichtiger, wenn es darum geht, zu bestimmen, was zu verteidigen ist. Die meisten Unternehmen besitzen eine Mischung aus Datenbeständen, die von völlig wertlosen bis hin zu Kronjuwelen reichen. Wertlose zu schützen ist in der Tat wertlos.

6. Erstellen oder überprüfen und überarbeiten Sie Ihre Pläne und Richtlinien für Cyber-Vorfälle

Wenn es um den Umgang mit einem Cyber-Angriff geht, lernen die Opfer allzu oft mit einer sprichwörtlichen Waffe gegen den Kopf von der Pike auf. Genauso wie die Planung von Business Continuity und Disaster Recovery von einem Plan profitiert, kann die Cyber-Resilienz durch die Einführung von Cyber-Vorfallplänen und Cyber-Playbooks erheblich verbessert werden.

Cyber-Richtlinien sind eine gute Möglichkeit, Schlüsselelemente des Ansatzes des Unternehmens zur Cyber-Resilienz zu präsentieren und den Mitarbeitern zu zeigen, dass der Vorstand sie befürwortet.

7. Ausbilden

Cyber-Vorfälle beginnen hauptsächlich mit einem Element menschlichen Versagens: Ein Phishing-Betrug, auf den ein Mitarbeiter hereinfällt, kann die Quelle für das Eindringen von SQL in Ihr System sein; der Besuch unsicherer Websites, die unwissentlich Malware in Ihr System einschleusen; oder das Hinterlassen von Post-It-Notizen auf Computerbildschirmen mit zur Aufbewahrung notierten Passwörtern. Die Mehrheit der Cyberangriffe sind nicht die Gehirnkinder von Erzfeinden oder den Cyberdivisionen der Roten Armee oder der PLA. Die meisten Angriffe werden von relativ unerfahrenen Spielern mit relativ unerfahrener Technologie durchgeführt. Die oben erwähnte Regierungsumfrage vertrat die Meinung, dass etwa 80 Prozent der in ihrer Umfrage identifizierten Verstöße durch die Einführung der „Grundlagen der Cyberhygiene“ hätten vermieden werden können. Die Grundlagen beginnen mit der Ausbildung der Mitarbeiter.

8. Üben

So wie die Chance, ein Kreuzfahrtschiff effizient zu evakuieren, beeinträchtigt wird, wenn keine Rettungsbootübungen durchgeführt werden, wird der Wert von Plänen und Richtlinien erheblich gemindert, wenn sie nicht durchgeführt werden. Das Üben durch einen simulierten Angriff ist auch der effizienteste Weg, um Schwachstellen in Ihrer Cyber-Resilienz zu identifizieren, sei es durch einen Mangel an technischen Schutzmitteln oder einen Ausfall von Plänen und/oder der Reaktion menschlicher Ressourcen.

Das Aufkommen der cyberspezifischen und cyberrelevanten Regulierung

Im Jahr 2018 wird Großbritannien trotz des Brexit-Votums Gesetze zur Verabschiedung der Netzwerk- und Informationssicherheitsrichtlinie (NIS) erlassen und auch die Datenschutz-Grundverordnung (DSGVO) wird in Kraft treten.

NIS wird für wesentliche Betreiber eine Compliance-Verpflichtung auferlegen – die vom Parlament festzulegen ist, aber im Allgemeinen diejenigen, die für die Aufrechterhaltung der sozialen und wirtschaftlichen Ordnung unerlässliche Dienstleistungen erbringen (Banken, Kreditinstitute und Finanzmarktinfrastrukturen, Gesundheitsdienstleister, Energieunternehmen, Transportunternehmen .). , Wasserunternehmen und Anbieter digitaler Dienste) – geeignete und verhältnismäßige technische und organisatorische Risikomanagementmaßnahmen zu ergreifen, einschließlich Maßnahmen zur Verhinderung und Minimierung der Auswirkungen von Vorfällen, die die Sicherheit ihrer Netze und Informationssysteme beeinträchtigen. Es sei darauf hingewiesen, dass sich das NIS-gesteuerte Cybergesetz zwar auf wesentliche Betreiber konzentriert, aber durchaus vorhersehbar ist, dass auch Lieferanten wesentlicher Betreiber vertraglich dazu verpflichtet werden, das Gesetz einzuhalten.

Übertretungen werden Sanktionen nach sich ziehen, und obwohl diese noch vom Parlament festgelegt werden müssen, müssen die NIS „wirksam, verhältnismäßig und abschreckend“ sein.

Ganz leicht in die Fußstapfen von NIS tritt die DSGVO mit ihrer schlagzeilenträchtigen Androhung von Geldstrafen von bis zu vier Prozent des aggregierten Jahresumsatzes weltweit. Die DSGVO ist weit mehr als nur ein Herumbasteln an bestehenden Datenschutzbestimmungen und erfordert von den meisten Unternehmen besondere Aufmerksamkeit und gezielte Strukturänderungsprogramme, um die Einhaltung zu erreichen. Die DSGVO tritt im Mai 2018 in Kraft. Für Unternehmen wird es eine große Herausforderung sein, die Änderungsanforderungen zu bewerten und rechtzeitig umzusetzen.

Die DSGVO ohne Berücksichtigung von NIS zu adressieren und umgekehrt ist ein kostspieliger Fehler und sollte unbedingt vermieden werden. Während sich NIS auf Netzwerke und Informationssysteme und die DSGVO auf Daten konzentriert, ist die Wahrscheinlichkeit groß, dass ein Cyberangriff beide Elemente ins Spiel bringt.

Simon Shooter, Partner Vogel & Vogel LLP.

Veröffentlicht unter Lizenz von ITProPortal.com, einer Future plc-Publikation. Alle Rechte vorbehalten.

Bildnachweis: Creativa-Bilder / Shutterstock



Vorheriger ArtikelUbuntu 17.10 Artful Aardvark Beta 1 ist da – laden Sie jetzt die Linux-Distribution herunter
Nächster ArtikelApple tötet iPod nano und shuffle, macht Touch aber erschwinglicher

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein