Cyber Security Update
Cyber Security – Wenn die Komplexität steigt, verliert sich so mancher in den Details. Ein anderer sieht den Wald vor lauter Bäumen nicht mehr und ein dritter nimmts gelassen und akzeptiert, dass er es nicht mehr im Griff hat. Die Schwierigkeit liegt darin, die richtige Flughöhe zu erreichen, um die Zusammenhänge zu erkennen, ohne man die Einzelheiten aus den Augen zu verlieren. Nur wer die Gesamtlage überblickt, kann Effektivität (das Richtige zu tun) und Effizienz (es richtig zu tun) unter einen Hut bringen.
Im Confare Factsheet, erfahren Sie alles Rund ums Thema Cyber Security. Sie können hier das vollständige Factsheet herunterladen:
Die Confare IT-Community hat in Sachen Cyber Security drei Faktoren identifiziert, die dafür entscheidend sind:
1. Tools & Prozesse
Ein ganzheitlicher Blick zahlt sich aus. Man kann Synergien nutzen und verhindert gleichzeitig, dass Probleme an unterschiedlichen Stellen des Unternehmens mehrmals gelöst werden müssen. Glücklicherweise muss man dazu nicht immer alles neu erfinden. Es gibt einen reichhaltigen Fundus an Standards, auf die man zurückgreifen kann sowie bewährte Vorgehensmodelle und gut erprobte Tools.
Es ist zielführend, ein zentrales Tool zu implementieren, in dem alle GRC Informationen holistisch abgelegt und verwaltet werden können. Dafür ist ein ausreichendes Budget an Zeit und Ressourcen erforderlich. GRC kann je nach Zertifizierungswunsch recht aufwändig und intensiv werden. Wer das unterschätzt, droht auf halbem Weg zu scheitern. Daher braucht es die entsprechende Unterstützung der Geschäftsleitung. Für den Start eines GRC Projektes empfiehlt es sich zudem, professionelle Hilfe zu holen. Auf längere Sicht wird man so Zeit und Geld sparen.“
Ronny Fischer, Security Chief Technology Officer, T-Systems Switzerland
Das entscheidende Element ist eine zentrale Steuerungseinheit über alle Bereiche hinweg. Diese Einheit überwacht alle drei GRC-Teilbereiche, verknüpft und koordiniert Maßnahmen aus den Bereichen und stellt eine ganzheitliche Sichtweise sicher.“
Gottfried Tonweber, Leitung Cyber Security und Data Privacy, EY
Dazu gibt es anerkannte Frameworks, nach denen man sich richten sollte, auch wenn man nicht unbedingt eine Zertifizierung anstrebt.“
Helmut Waitzer, Leiter IT, Wolf Theiss
Ein ‚Information Security Management System‘ (ISMS) ist genau für diese Zwecke gedacht. Ein ISMS besteht aber nicht zwangsläufig aus einer Software, sondern kann sich aus mehreren Bestandteilen zusammensetzen. Wichtig ist jedoch, dass aus der Summe der eingesetzten Tools ein System
entsteht, in dem die Geschäftsprozesse einer Unternehmung abgebildet werden können. Diese werden dann im Assetmanagement in bewertbare Informationseinheiten geclustert, um danach im Risikomanagement bewertet zu werden. Je nachdem, ob man eine Zertifizierung anstrebt oder nicht, kann man anschließend Risiken, Kontrollen und Maßnahmen beruhend auf der ISO 27001, BSI oder anderen Standards als Bewertungskriterien zu Grunde legen. Das ganze System unterliegt einem
ständigen Verbesserungsprozess (KVP) und stellt somit die Compliance kontinuierlich sicher.“
Gregor Hartweger, CISO, ÖBB Rail Cargo Group
Dabei sollte man auf Prozesshygiene nicht vergessen und existierende Prozesse permanent hinterfragen, ablösen oder verbessern.“
Wolfgang Mayer, Head of Security, Hoerbiger
Cyber Security
2. Kennzahlen & Metriken
Ohne Messgrößen kann man nicht steuern. Allerdings ist entscheidend, dass man die Dinge misst, die wirklich etwas über die Zielerreichung aussagen. Allzu oft werden Kennzahlen erhoben, mit denen man nachher gar nichts anfängt. Es ist daher ratsam, die KPIs, sorgfältig auszuwählen und ihre Anzahl eher schlank zu halten.
Unser pragmatischer Ansatz ist: Klare Verantwortlichkeiten in den jeweiligen Disziplinen/Prozessen und die entsprechenden KPIs zur Qualitätskontrolle. Um den Reifegrad zu erhöhen, ist die Unterstützung der Prozesse durch ein geeignetes Tool sinnvoll.“
Ricardo Nebot, Head of IT, Emmi Schweiz AG
Nur mit den richtigen KPIs erreicht man die richtige Flughöhe. Diese Kennzahlen können dann sowohl einzeln betrachtet als auch zu einem großen ‚Lagebild‘ zusammengeführt werden. Wichtig dabei ist, dass man nicht der Versuchung erliegt, hier Mikromanagement zu betreiben sondern
immer das ganzheitliche Bild als primäres Ziel im Fokus hat. Ein Drilldown in einen der Bereiche ist dann, ausgehend von der ganzheitlichen Betrachtung, immer noch möglich.“
Walter Hölblinger, Security Evangelist
Aussagekräftige Metriken und Prozesse zu schaffen, stellen viele Unternehmen vor eine Herausforderung. Diese Metriken und Metainformationen sind aber absolut notwendig. Sie werden korreliert und zu Lagebildern in Dashboards mit verschiedenen Sichten verdichtet.“
Wolfgang Mayer, Head of Security, Hoerbiger
Cyber Security
3. Kommunikation & Mehrwert
GRC ist kein Selbstzweck. Dienstanweisungen, die im Befehlston erteilt werden und deren Sinn weder ersichtlich ist, noch ausreichend erklärt wird, verfehlen ihre Wirkung. Nur wer das „Warum“ versteht, entscheidet im Zweifelsfall richtig. Daher ist Kommunikation für GRC Experten längst zum entscheidenden Erfolgsfaktor geworden. Auf der einen Seite gilt es, den wahren Zweck von Maßnahmen zu vermitteln. Wichtig ist aber auch der Nutzen, der für den Einzelnen dadurch generiert wird. Dazu gehört, dass rechtliche Stolperfallen rechtzeitig erkannt, Risiken vermieden werden und ein positives Unternehmensimage entsteht.
GRC darf nicht nur verwaltet, sondern muss aktiv und branchen- wie unternehmensspezifisch gestaltet werden.“
Jürgen Renfer, CISO, Kommunale Unfallversicherung Bayern
Ziel Ihrer GRC Maßnahmen sollte immer sein, Mehrwert für das Business zu schaffen. Das erhöht die Motivation der eigenen MitarbeiterInnen und sie werden bereit sein, dabei entsprechend zu unterstützen.“
Christopher Ehmsen, Head of Portfoliomanagement & Solution Sales Cyber Security, T-Systems Austria
„Es braucht gut vernetzte Mitarbeiter, die mit Verstand und Ziel die Datenlage analysieren, interpretieren und dokumentieren. Grundvoraussetzung dazu sind: klar geregelte Verantwortlichkeiten und Kompetenzen.“
Wolfgang Mayer, Head of Security, Hoerbiger
Es geht darum, zielgruppengerecht zu kommunizieren. Kommunikation ist das A und O bei GRC Themen. Wir versuchen, anhand von praktischen Beispielen in unserer Kommunikation etwas wortreicher zu sein und jeden anzusprechen, so dass GRC nicht als eine Stabsfunktion in ihrem Elfenbeinturm wahrgenommen wird. Wir müssen auch erklären, warum GRC überhaupt benötigt wird und was die realen Probleme sind, die wir mit GRC zu lösen versuchen. Es ist sehr wichtig, dass wir uns darauf konzentrieren, die Vorteile zu realisieren, die durch eine ganzheitliche Betrachtung von GRC ermöglicht werden.“
Markus Müller, Corporate IS – Global Governance, Risk & Compliance Experience Lead, ABB