Es dürfte nicht überraschen, dass Expert:innen bereits für das Jahr 2021 einen durch Cyberkriminalität verursachten Schaden weltweit von etwa 6 Milliarden Dollar vorausgesagt haben. Mit der Entwicklung der Technik wachsen auch die Möglichkeiten diese zu umgehen und auszunutzen. Deshalb sollten Risk Management und Cybersecurity für jedes zukunftsorientierte Unternehmen oberste Priorität haben.
Eine gründliche Sicherheitsstrategie wird nicht nur Ihr Unternehmen schützen, sondern auch Ihren Ruf verbessern. Ein traditioneller defensiver Ansatz kann jedoch die Innovation hemmen. Stattdessen müssen Unternehmen viel eher ihre Denkweise in Bezug auf das Risk Management ändern und verstehen, dass Sicherheit die Wertschöpfung steigern kann, anstatt sie zu behindern.
Ein neues Denken über Risk Management und Cybersecurity
Der Sinn einer soliden Risk Management-Strategie besteht darin, als Unternehmen resilient und vertrauenswürdig zu sein – und dies auch den Kund:innen und Klient:innen so zu vermitteln – und gleichzeitig Mehrwerte zu schaffen.
Traditionell war die Cybersecurity eher nach innen gerichtet – was bedeutet, dass es nur darum ging, die Infrastruktur des Unternehmens vor Bedrohungen wie Malware, Hacking oder Ransomware zu schützen. Im Jahr 2017 gab es einen Ransomware-Angriff namens „WannaCry“ auf Computer, die mit Microsoft Windows liefen. Ein Drittel der britischen Krankenhäuser war davon betroffen, während die Nutzer:innen ständig ausgelogged wurden und ein Lösegeld in Bitcoin gefordert wurde. Es wird geschätzt, dass der finanzielle Schaden dabei weltweit in die Milliarden ging. In der Zwischenzeit liefert uns der Facebook-Datenskandal um Cambridge Analytica eine wirksame Fallstudie zum Risk Management in dreifacher Hinsicht: Zunächst als Beispiel dafür, wie katastrophal die Auswirkungen eines völlig unzureichenden Datenschutzes sein können; zweitens, wie schwierig es sein kann, die Technik zu kontrollieren; und schließlich als Studie über den Imageschaden, der durch die Missachtung des Rechts auf Privatsphäre entsteht. Die Tatsache, dass ein Jahr später ein völlig anderes Datenleck wiederum bei Facebook auftrat, ist ziemlich erstaunlich, zeigt aber die Risiken, die mit der rasanten technischen Entwicklung einhergehen.
Mit der Entwicklung der Technik wachsen auch die Bedrohungen, womit auch das Risk Management und die Cybersecurity mitwachsen sollten. Allerdings erfordern fortschrittliche Zeiten auch eine fortschrittliche Denkweise. Der Fokus darf nicht nur nach innen gerichtet sein, sondern sollte auch nach außen gerichtet sein: Wie können Ihr Risk-Management-System und Ihre Sicherheitstechnologie den Wert Ihres Unternehmens steigern und optimieren? Es geht nicht darum, Informationen einzuschränken, sondern sie verantwortungsvoll freizugeben – und mit der heute verfügbaren Technologie gibt es keine Ausrede, dies nicht zu tun. Das bedeutet, dass die Einhaltung der Vorschriften nicht mehr in Checkboxen, sondern in risikobasierten Entscheidungsprozessen erfolgen sollte. Sicherheitsexpert:innen müssen Seite an Seite mit Führungskräften und Kreativen arbeiten, um zu entscheiden, welche Maßnahmen nicht nur schützen, sondern auch fördern können.
Die treibenden Kräfte hinter Ihrer neuen Risk-Management-Strategie
Dies sind die Dinge, die Sie bei der Ausarbeitung Ihrer neuen Strategie berücksichtigen sollten – die Bereiche, die bestimmen, welche Sicherheit erforderlich ist und wie sie umgesetzt wird.
Technische Triebkräfte:
- Anpassungsfähige Architekturen
- Digitalisierte Ökosysteme
- Identitäten und Transaktionen
- Anwendungen und Daten
- Technologische Infrastruktur
- Management der Geschäftskontinuität
Umweltfaktoren:
- Lokale und internationale Governance
- Interne Governance
- Politik und Prozesse
- Integriertes Risk Management
- Strukturierte Ökosysteme
- Externe Störungen (z. B. Datenschutzverstöße, Brexit oder Coronavirus)
- Personalausstattung (d. h. die richtige Anzahl qualifizierter Mitarbeiter:innen an den richtigen Stellen)
Ihre neue, werteorientierte Strategie für das Risk Management
Ihre Strategie sollte Anpassungsfähigkeit, Vertraulichkeit, Integrität, Datenschutz, Sicherheit, Zuverlässigkeit und Zugänglichkeit in den Vordergrund stellen. Außerdem sollte gleichzeitig der Schutz vor Angriffen und der Schutz des Zugangs und der Leistungsfähigkeit gewährleistet sein. Um dies wirksam tun zu können, müssen die aktuellen Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, kontinuierlich überwacht und analysiert werden. Verändern sie sich mit der Weiterentwicklung Ihrer Technologie? Ist das, was Sie derzeit verwenden, die beste verfügbare Option? Sie müssen sich auch vor potenziellen künftigen Bedrohungen und Risiken in Acht nehmen. Da Ihr Unternehmen immer komplexer wird, wird sich auch die von Ihnen verwendete Technologie weiterentwickeln… und damit auch die Kriminalität. Es ist ein kluger Schachzug, jemanden zu engagieren, dessen Aufgabe es ist, diese Vorhersageprozesse zu überwachen und sicherzustellen, sodass sie auf dem neuesten Stand sind und ständig an die sich ändernden Anforderungen angepasst werden.
In den Vordergrund sollte dabei die Verhaltensanalyse gestellt werden, wenn Sie Ihre Strategie ändern möchten. Zu wissen, wie Mitarbeiter:innen und Kund:innen Ihre Technologie nutzen und wie sich dieses Verhalten im Laufe der Zeit verändert, ist ein wesentlicher Bestandteil jedes risikobasierten Entscheidungsprozesses. Die Wertschöpfung hängt von der Analyse authentischer Fallstudien ab, d. h. davon, wie sich die Menschen tatsächlich online verhalten und nicht davon, wie Sie glauben, dass sie sich verhalten, und diese Fallstudien sollten ständig aktualisiert werden.
Recherchieren Sie verfügbare Sicherheitsmöglichkeiten, um Daten verantwortungsvoll bereitzustellen. Führungskräfte, Kreative, Entwickler.innen und Analyst:innen sollten zusammenarbeiten, um herauszufinden, wo ein Nutzen entsteht und wo er verloren geht sowie zu welchen Kosten. Überwiegen die Vorteile die Risiken?
Machen Sie außerdem die Cybersecurity zu einem Schwerpunkt jeder internen Strategie für die technische Entwicklung. Jedes API-Portfolio sollte sicherheitsorientierte Produkte enthalten, die nicht nur intern, sondern auch extern, bei Entwickler:innen und Kund:innen, einen Mehrwert schaffen.
Sobald Sie all diese Informationen haben, empfehlen wir Ihnen, die folgenden Richtlinien zu berücksichtigen, um eine Risk Management-Strategie zu entwickeln, die eine Wertschöpfung ermöglicht.
Drei Schritte zum erfolgreichen Ausgleich von Schutz und Produktivität
1. Erstellen Sie eine „Informationssicherheits-Charta“.
In dieser Charta werden Ihre Sicherheitsziele klar dargelegt. Ähnlich wie eine Vision muss sie das Ergebnis der Zusammenarbeit zwischen allen Bereichen des Managements sein und die Ergebnisse Ihrer werteorientierten Risk Management-Strategie enthalten. Diese Charta muss von allen Mitarbeiter:innen des Unternehmens akzeptiert werden, um Konflikte und Missverständnisse zu vermeiden.
Sie enthält eine detaillierte Beschreibung Ihres derzeitigen Informationssicherheits-Managementsystems – seiner Merkmale, Komponenten und Fähigkeiten – sowie Ihrer zukünftigen Pläne. Sie wird auch die Hierarchie der Verantwortlichkeiten für das Risk Management innerhalb Ihres Unternehmens klar definieren.
2. Behalten Sie den Überblick über Governance und Compliance
Sie müssen stets auf dem Laufenden sein, was Governance und Compliance angeht – intern, lokal und international. Die Cybersecurity ist eines der größten Probleme für die Strafverfolgungsbehörden, doch das rasante technologische Wachstum hat zur Folge, dass die Regierungen ständig hinterherhinken. Außerdem werden sie oft von gesellschaftlichen und ökologischen Störungen und öffentlichen Bewegungen geleitet.
3. Schulung und Weiterbildung Ihrer Mitarbeiter:innen (und ggf. Einstellung neuer Mitarbeiter:innen)
Bilden Sie die derzeitigen Führungskräfte in neuen Sicherheitsansätzen und der Einhaltung von Vorschriften weiter. Sie bewegen sich auf unbekanntem Terrain, wenn es um die Geschwindigkeit der technischen Entwicklung und die Umsetzung neuer Sicherheitsmaßnahmen auf veralteten Plattformen geht. Die Mitarbeiter:innen müssen ständig weitergebildet und nicht unbedingt ersetzt werden, da ihr Wissen und ihr Geschäftssinn für die erfolgreiche Integration neuer Technologien und neuer Mitarbeiter:innen unerlässlich sind.
Sicherung und Schutz der digitalen Innovation
Ein traditionell defensiver und protektionistischer Ansatz beim Risk Management und der Cybersecurity wird vermutlich Kreativität und Innovation einschränken und möglicherweise zu Konflikten zwischen Sicherheitsteams, Entwickler:innen und Kund:innen führen. Wenn Sie stattdessen eine Haltung einnehmen, die erkennt, wie Sicherheit mit Wertschöpfung einhergehen kann, ist Ihr Unternehmen nicht nur zukunftssicher, sondern auch der Konkurrenz weit voraus. Ihr Security-Programm muss anpassungsfähig sein, denn es wird sich Hand in Hand mit der Technologie ständig weiterentwickeln. Aber auch die Denkweise Ihres Unternehmens muss anpassungsfähig sein und anerkennen, wie die Digitalisierung unsere Arbeitsweise und die Art und Weise, wie wir diese Arbeit schützen, verändert. Wir müssen respektieren, dass Risk Management heute nicht mehr das bedeutet, was es noch vor einem Jahr bedeutet hat. Sicherheit ist kein Hindernis, das es zu überwinden gilt, sondern kann und sollte als wesentlicher Bestandteil einer verbesserten digitalen Wertschöpfung betrachtet werden.
Mehr Artikel?
Alle Artikel ansehen
Fragen?
Lead Backend Developer