Exclusive im #ConfareBlog mit Elmar JILKA, SEQiFY
Die Klarheit im CyberRisk ist Treiber für den Unternehmenserfolg.
Gemeinsam mit dem ehemaligen CIO der Energie AG und IT-Strategie Experten, Gerald Hübsch, spricht Elmar Jilka auf dem Confare #CIOSUMMIT über CyberRisk als Erfolgsfaktor. Elmar ist Gründer von GENOA & SEQiFY und ein regelrechter Cyber Security Enthusiast.
Welche Herausforderungen bringen die technologischen Entwicklungen und geopolitischen Verschiebungen für die Unternehmens-IT?
Über alle Branchen hinweg hängt der Geschäftserfolg von digitalen Geschäftstechnologien und Systemen ab. Die Anforderungen sind enorm:
- Die letzten Jahre haben insbesondere die Verwundbarkeit von Lieferketten durch mangelnde bzw. unsichere Digitalisierung und fehlende CyberRisiko-Transparenz gezeigt.
- Die Komplexität und die Nutzung der IT mit global vernetzten Daten hat zugenommen.
- Das Feststellen der tagesaktuellen Risiken, um adäquate Schutzmaßnahmen ableiten zu können, fehlt.
- Der Blick aus Unternehmenssicht über Systeme hinweg ist für rasche Cyber Hygiene wichtiger denn je.
Im Schnitt werden kritische Risiken innerhalb von 43 Tagen ausgenutzt und Unternehmen attackiert.
Widerstandskraft (Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmen und Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?
Mit Business-Impact-Analysen schätzen Unternehmen zwar ab, wo Verwundbarkeiten vorliegen, doch erfolgt dies nur sporadisch anstatt tagtäglich konkret, und präzise.
- Kontinuierlich und systematisch über alle Clients, Systeme und Mobiles hinweg gilt es, das Risiko festzustellen.
- Das Management von Cyber Risiken ist der Schlüssel, denn die Klarheit ermöglicht die Priorisierung rascher und erfolgreicher Gegenmaßnahmen.
- Die verständliche Kommunikation zwischen CEO, CIO, CISO und IT Operations erfordert einheitliche, objektive Kennzahlen.
- Die wissensbasierte Verknüpfung von Aussen- und Innensicht liefert das Risikobild für den Konzern und die jeweiligen Gesellschaften und die Systeme.
- Wo trifft mich das kritische Risiko (bei welchen Anwendern und Systemen) und wie wird die umfangreiche Info zu Änderungen von Google, Microsoft, Apple u.w. mit meinen Geräten, Systemen und Daten gematched?
Welche Rolle kommt der CyberSecurity zu, wenn es um Resilienz geht?
Die CyberSecurity setzt die Maßnahmen zum Schutz um. Das Management von CyberRisiken steht für
* „Risiko beobachten“, sprich Monitoring, und liefert das Risikobild
* „Risiko bewerten“, sprich Rating, und liefert die Kennzahlen
* „Risiko senken“, durch Schlüsselmaßnahmen und in den täglichen Job integrierbare Actions
Das CyberRisiko und die CyberSecurity sind essentiell für den Erfolg!
Welche sind die wichtigsten Compliance und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?
Die EU hat klar gemacht, dass der Schutz von Unternehmen gegen Cyberattacken hohe Priorität hat. Mit der NIS/NIS-2-Richtlinie treffen Unternehmen neue Pflichten und ggf erhebliche finanzielle Strafen (ähnlich zur DSGVO), sofern nicht die geforderten Maßnahmen – wie z.B. das laufende Monitoren und Managen von Risiken – erfolgen. Ziel ist es, das Risiko zu kontrollieren und gezielt zu senken – dazu gilt es erstmal, dieses zu kennen und automatisch zu bewerten.
Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cyber Security 2023 geht?
Die Führungskräfte auf C-Level fordern verständliche und kontinuierliche CyberRisiko-Kennzahlen, um effektive Entscheidungen treffen zu können. In der Praxis ist die klare und verständliche Kommunikation im Vorstandsbericht ebenso wichtig wie die fundierte und erklärbare Security-Investitionsplanung. CIO und CISO fordern Schnelligkeit und Verlässlichkeit, um das Schutzniveau zu erhöhen und das geht in der Regel nur mit kontinuierlichen Live-Daten.
Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?
Es bedarf eines innovativen Management-Ansatzes,
* der die Wirksamkeit/den Erfolg der Maßnahmen belastbar aufzeigt und gleichzeitig durch Automatisierung die wertvolle IT-Fachkräfte entlastet bzw. schont
* der Ergebnisse für CIO, CISO und IT-Manager in klar verständlicher Form liefert.
Nur wenn alle Beteiligten sehen, dass sie so zum Erfolg beitragen, werden die kleinen, tagtäglichen Micro-Sicherheitsmaßnahmen durchgeführt und das Risiko deutlich gesenkt.