Fünf notwendige Schritte für ein effektives ISRM

Wenn Sie für das Risikomanagement im Bereich IT-Security verantwortlich sind, wissen Sie, dass Ihre Aufgabe schwierig ist. Unternehmen generieren weiterhin große Datenmengen, IT-Systeme werden immer komplexer und Cyberbedrohungen entwickeln sich weiter. Was Sie zu bewältigen haben, kann sich manchmal wie eine Endlosschleife an Herausforderungen anfühlen. Zudem ist Ihr Budget und Ihre Ressourcen begrenzt, um Alles bewältigen zu können, wie:

• Die Definition der Risiken die die größte Auswirkung auf Ihre Organisation haben
• Den Schutz der wichtigsten Ressourcen
• Die proaktive Minderung von Risiken und Minimierung von Schäden durch Cyber-Angriffe und Datenverletzungen
• Die Prozesse die Sicherheitsvorfälle schneller und einfacher beheben können
• Die Budgetierung der Sicherheitsmaßnahmen

Eine umfassende ISRM-Strategie (Information Security Risk Management) wird Ihnen helfen, diese Herausforderungen zu meistern. Darüber hinaus können Sie dem Top-Management dabei helfen, ein besseres Verständnis für die aktuelle Sicherheitslage des Unternehmens zu bekommen und weitere Investitionen in den Datenschutz zu veranlassen Informationssicherheits-Risikomanagement (ISRM) ist der Prozess des Risikomanagements im Zusammenhang mit der Nutzung von Informationstechnologie. Mit anderen Worten, Organisationen identifizieren und bewerten Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationsressourcen. Dieser Prozess kann grob in zwei Komponenten unterteilt werden:

• Risikobewertung – Der Prozess der Kombination von Informationen, die Sie über Vermögenswerte und Kontrollen gesammelt haben, um ein Risiko zu definieren
• Risikobehandlung – Maßnahmen zur Behebung, Minderung, Vermeidung oder Übertragung in der Handhabung der Risiken Es gibt verschiedene Rahmenbedingungen, die Organisationen beim Aufbau einer ISRM-Strategie unterstützen können.

Eines der häufigsten ist das NIST Cybersecurity Framework ; Es beinhaltet folgende Aktivitäten:

• Identifizieren – Aktivitäten in dieser Gruppe zielen darauf ab, ein Verständnis der Cybersicherheitsrisiken für Systeme, Personen, Vermögenswerte, Daten und Fähigkeiten zu entwickeln. Wenn Sie den Geschäftskontext, die aktuellen Geschäftsanforderungen und die damit verbundenen Risiken verstehen, können Unternehmen Bedrohungen erkennen und ihre Sicherheitsmaßnahmen priorisieren. Zu den Aktivitäten in dieser Phase gehören Asset Management, Governance und Risikobewertung.
• Schützen – Unternehmen implementieren geeignete Sicherheitsmaßnahmen und Sicherheitskontrollen, um ihre wichtigsten Ressourcen vor Cyberbedrohungen zu schützen. Beispiele für Aktivitäten sind das Identitätsmanagement und die Zugangskontrolle, die Sensibilisierung und Schulung von Mitarbeitern.
• Erkennen – Organisationen müssen Ereignisse schnell erkennen und die Risiken für die Datensicherheit darstellen können. In der Regel verlassen sich Organisationen auf kontinuierliche Sicherheitsüberwachung und Vorfallerkennungstechniken.
• Antworten – Organisationen ergreifen Maßnahmen gegen einen eingetroffenen Cybersicherheitsvorfall. Organisationen können die folgenden Techniken verwenden, um die Auswirkungen eines Vorfalls einzugrenzen: Planung, Kommunikation, Analyse, Minderung und Verbesserung von Reaktionen.
• Wiederherstellen – Organisationen entwickeln und implementieren Aktivitäten zum Wiederherstellen von Funktionen oder Diensten, die von einem Sicherheitsvorfall betroffen waren. Diese Gruppe von Aktivitäten zielt darauf ab, die rechtzeitige Wiederherstellung des normalen Betriebs zu unterstützen, um die Auswirkungen von Vorfällen zu verringern. Dazu gehören Wiederherstellungsplanung, Verbesserungen (z. B. Einführung neuer Richtlinien oder Aktualisierung bestehender Richtlinien) und Kommunikation.

Framework Core Structure Image (aus dem NIST Framework zur Verbesserung der kritischen Infrastruktur Cybersecurity, Version 1.1)

Was macht ein gutes Informationssicherheits-Risikomanagement?

Wie bereits erwähnt, ist ISRM ein fortlaufender Prozess zur Identifizierung, Bewertung und Reaktion auf Sicherheitsrisiken. Um Risiken effektiv zu steuern, sollten Unternehmen die Wahrscheinlichkeit von Ereignissen bewerten, die ein Risiko für die IT-Umgebung darstellen können, sowie die potenziellen Auswirkungen jedes einzelnen Risikos. Im Folgenden finden Sie drei Kriterien, anhand derer Sie feststellen können, ob die ISRM-Strategie Ihres Unternehmens effektiv zur Verbesserung Ihrer Sicherheitslage beiträgt:

• Es stellt sicher, dass inakzeptable Risiken erkannt und angemessen bekämpft werden.
• Es stellt sicher, dass Geld und Aufwand nicht für nicht signifikante Risiken verschwendet werden.
• Es bietet der Geschäftsleitung Einblick in das Risikoprofil der Organisation und die Prioritäten für die Risikobehandlung, um ihre Fähigkeit zu unterstützen, strategische Entscheidungen zu treffen.

Was sind die Schritte, um ein effektives Risikomanagement-Programm für Informationssicherheit zu entwickeln?

Die Praxis zeigt, dass ein mehrstufiger Ansatz zur Erstellung eines ISRM-Programms am effektivsten ist, da es zu einem umfassenderen Programm führt und den gesamten Informationssicherheits-Risikomanagement-Prozess vereinfacht, indem es in mehrere Stufen unterteilt wird. Dadurch wird der ISRM-Prozess besser handhabbar und Sie können Probleme leichter beheben. Folgend stellt Netwrix fünf Schritte zum Aufbau eines effektiven Risikomanagement-Programms für Informationssicherheit vor:

Schritt 1 Geschäftsbewusstsein

Zuerst müssen Sie die Geschäftsbedingungen der Organisation verstehen, z. B. Budgetüberlegungen, Mitarbeiter und die Komplexität von Geschäftsprozessen. Sie müssen auch das Risikoprofil der Organisation mit einer detaillierten Beschreibung jedes Risikos, mit dem es konfrontiert ist, und seiner Risikobereitschaft berücksichtigen, die es bereit ist zu akzeptieren, um seine Ziele zu erreichen.

Schritt 2 Programmdefinition

Als Nächstes muss Ihre Organisation das ISRM-Programm definieren:

• Definieren Sie einen vorschreibenden Jahresplan, gefolgt von einem hochrangigen Dreijahresplan. Bestimmen Sie die spezifischen Ziele, die jährlich erfüllt werden müssen. Dieser Plan sollte jährlich angepasst werden, um Änderungen der Geschäftsbedingungen und Aktivitäten zu berücksichtigen. Wenn alle Funktionen vorhanden sind und die Geschäftsbedingungen gleich bleiben, beträgt der typische Zeitrahmen für die Implementierung eines ISRM-Programms 30 bis 36 Monate.
• Definieren Sie klar den Zielpunkt für Funktionen, die auf Managementeingaben basieren. Der Zielpunkt ist im Grunde genommen eine Definition der Fähigkeiten, die die Organisation haben möchte, sobald das Programm ausgeführt wurde. Sie können den Zielpunkt identifizieren, indem Sie eng mit dem Führungsteam zusammenarbeiten, um ihre Ziele in Bezug auf ISRM zu verstehen.
• Stellen Sie die Verfügbarkeit und Fähigkeit des erforderlichen Personals für die Ausführung des Programms sicher. Ein Schlüsselelement ist die personelle Ausstattung. Allzu oft haben die Organisationen nicht genug qualifizierte Mitarbeiter, um die Ziele ihrer ISRM-Programme zu erreichen. Daher ist es wichtig, die Verfügbarkeit und Qualifikationen der Mitarbeiter zu bewerten, um sicherzustellen, dass Sie alle Ziele erreichen können.
• Verstehen Sie die Kultur der Organisation. Die Implementierung eines ISRM-Programms ist wesentlich schwieriger, wenn die Mitarbeiter die Implementierung nicht unterstützen. Abhängig von der Unternehmenskultur müssen Sie das ISRM-Programm offen mit allen interessierten Parteien diskutieren oder sich von der Geschäftsleitung beraten lassen, um die Annahme des Programms voranzutreiben.

Schritt 3 Programm Entwicklung

In dieser Phase müssen Sie die funktionalen Fähigkeiten und Kontrollen in Bezug auf IT-Sicherheit und Risikomanagement (z. B. Schwachstellenbewertung, Reaktion auf Vorfälle, Schulung und Kommunikation) und das Governance-Modell definieren, die bestimmen, wer für die einzelnen Bereiche des ISRM verantwortlich ist. Wenn Sie sich dafür entscheiden, die Implementierung von ISRM-Funktionen an Dritte auszulagern, achten Sie darauf, die Risiken zu berücksichtigen und eine angemessene Aufsicht durch interne Mitarbeiter sicherzustellen.

Schritt 4 Metriken und Benchmarking

In dieser Phase muss Ihre Organisation die Metriken definieren, die zur Bewertung der Effektivität der ISRM-Strategie verwendet werden. Hier sind zwei Best Practices für diesen Schritt:

• Stellen Sie die Übereinstimmung mit Industriestandards und Richtlinien sicher . Es gibt mehrere Standards, die Ihnen dabei helfen, sicherzustellen, dass Ihr ISRM-Programm den Branchenvorschriften entspricht, einschließlich COBIT, der ISO 27000-Serie und der NIST-800-Serie von National Institute of Standards and Technology (NIST). Empfehlung: ISO / IEC 27005: 2011 und der NIST Special Publication 800-37 (Revision 1), die detaillierte Richtlinien für den Aufbau eines Risikomanagementprogramms enthalten . Es ist wichtig, mehrere Compliance-Standards und Frameworks zu verwenden, um festzustellen, ob Ihr ISRM-Programm über alle erforderlichen Funktionen und Funktionen verfügt.
• Verwenden Sie KPIs, um die Effektivität der Funktionen und Fähigkeiten zu messen, die durch das ISRM-Programm entwickelt wurden . Bei der Entwicklung von KPIs müssen Sie den Geschäftswert ermitteln, den Sie mit ISRM-Funktionen erzielen möchten, und dann objektive Kriterien definieren, die zur Bewertung dieses Werts verwendet werden können. Versuchen Sie, den KPI auf die potenziellen Auswirkungen des Geschäftsbetriebs und auf die Richtlinien für die Zielorte zu stützen, und weisen Sie, soweit möglich, Dollarwerte zu. Dies wird Ihnen helfen, Ihre Sicherheitslage mit dem Geschäftskontext für die Führung des Unternehmens zu verbinden. Außerdem müssen die Schwellenwerte für das, was akzeptabel ist und was nicht akzeptabel ist, für jeden KPI identifiziert werden.

Schritt 5 Implementierung und Betrieb

Schließlich sollten Sie alle ISRM-Stufen durchlaufen (identifizieren, schützen, erkennen, reagieren und wiederherstellen) und sie regelmäßig wiederholen. Organisationen müssen über eine Politik verfügen, die alle Phasen des ISRM, die Verantwortlichkeiten der Mitarbeiter und den Zeitplan oder die Bedingungen für die Überprüfung des Programms beschreibt. Größere Veränderungen in Ihrer IT-Umgebung, Datenschutzverletzungen in Ihrer Branche oder neue Cyber-Angriffe sind gute Gründe, Ihr ISRM-Programm kritisch zu betrachten und gegebenenfalls zu überarbeiten.

Fazit

Sicherheitsrisiken sind unvermeidbar, daher ist die Fähigkeit, Risiken für Systeme und Daten zu verstehen und zu verwalten, für den Erfolg einer Organisation von entscheidender Bedeutung. Durch die Entwicklung eines ISRM-Programms wird der Risikomanagementprozess besser handhabbar und Sie können Ihre wichtigsten Assets vor neuen Cyberbedrohungen schützen. Wenn Sie in der Lage sind Risiken zu begegnen und effektiv auf Sicherheitsvorfälle zu reagieren, können Sie herausfinden, wie Sie Cyberbedrohungen besser widerstehen und potenzielle Risiken in Zukunft reduzieren können.

IT Risk Assessment Checklist