Business Security, Schutzprogramme

Framework für Cyber-Risiken von RSA

Cyber-Risiken erkannt – richtiges und wichtiges Risk-Management
Cyber-Risiken erkannt – richtiges und wichtiges Risk-Management

RSA stellt sein neues Framework für Cyber-Risiken vor. Genauer gesagt handelt es sich hierbei um ein Werkzeug zur Erleicherung des Risk-Managements der Cyber-Risiken. Mit Hilfe dieses Frameworks soll es Unternehmen möglich sein, eine Bewertung und Priorisierung der Cyber-Risiken vorzunehmen.

Welche Unternehmen benötigen dieses Risk-Management?

Unternehmen sollen sowohl bei der Bewertung als auch der Erfassung von Cyber-Risiken Unterstützung bekommen. Das neu entwickelte Tool von RSA, einer EMC-Tochter, soll Anwendern die Möglichkeit bieten, für unterschiedliche IT-Risiken Toleranzschwellen herauszuarbeiten.

Dieses Framework soll vor allem Unternehmen unterstützen, die Partnernetze oder Cloud-Ressourcen nutzen, aber auch solche, die Outsourcing betreiben. Um mit IT–Risiken umgehen zu können, die mit diesen neuen Verfahren und Technologien verbunden sind, benötigen solche Firmen Tools für das Risk-Management

Wie lassen sich Cyber-Risiken bewerten?

Das Framework kann mit drei wichtigen Vorraussetzungen genutzt werden:

  • Risiken müssen mit Hilfe klar strukturierter Abläufe definiert und kategorisiert werden
  • Die wichtigsten Stakeholder und „Risk-Owner“ im Unternehmen sollten eingebunden werden
  • Festlegen der Berechnungsverfahren für Risiko-Toleranzschwellen

Dabei wurde festgestellt, dass ein „gutes Gefühl“ für das Risiko in den Unternehmen vorhanden ist. Es muss nur noch mit entsprechenden Entscheidungen untermauert und konkretisiert werden.

Was fällt nun alles unter den Begriff „Cyber-Risiko“? Dazu zählen nicht nur Hacker-Angriffe auf IT-Umgebungen. Das Framework nutzt die Größen „Absicht“ und „Ausgangspunkt“. Also einmal Angriffe „böswilliger“ Art, der gezielten Entwendung von Daten und Informationen. Andererseits kann die Verfügbarkeit der Ressourcen durch Benutzer- und Bedienerfehler eingeschränkt sein. Das heißt, der Ausgangspunkt für so ein Ereignis (Risikoereignis) kann außerhalb des Unternehmens (Hacker, Geschäftspartner) oder innerhalb (Sub-Unternehmer, Mitarbeiter) liegen.

Zur Bestimmung der eigenen Risikotoleranz wird empfohlen:

  • Umfassende Erfassung der Cyber-Risiken mit Hilfe der folgenden Fragen:

       „Welche Art von Datenverlust wären für das Unternehmen katastrophal?“

       „Welche weniger Kritisch?“

       „Welche Informationen dürfen auf keinen Fall in falsche Hände geraten?“

  • Quantifizierung möglicher Auswirkungen:

    - Einfach einzuordnen wären hier Bußgelder für entwendete Datensätze, Rechtskosten oder Produktionsverlust.

    - Weniger leicht einzustufen wären Image-Schäden, Verlust der Markenreputation oder des geistigen Eigentums.

  • Priorisierung, die darauf aufbaut:

    - Zum Beispiel geringe Priorisierung von Partnerportalen.

Das Framework bietet einen unterstützenden Rahmen für alle diese Aufgaben.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben