E-Mail-Sicherheit

    Ist die gesetzliche Forderung nach guten Sicherheitspraktiken eine gute Sache?

    by Matthew Gardiner
    is-legally-requiring-good-security-practices-a-good-thing-.jpg

    Kürzlich hat der Staat New York Schritte zur Verabschiedung der landesweit ersten Cybersicherheitsverordnung unternommen, die Finanzunternehmen in New York ausdrücklich vorschreibt, was sie in ihrem Sicherheitsprogramm tun müssen. Einen Überblick darüber finden Sie in dem Artikel " Vollbeschäftigung für CISOs in New York ."

    Die Hauptfrage, die sich mir stellt, ist, ob es sinnvoll ist, die Details eines Sicherheitsprogramms gesetzlich zu regeln, anstatt den Unternehmen die Möglichkeit zu geben, Programme zu entwickeln, die den geschäftlichen Anforderungen und der Risikotoleranz ihres Unternehmens entsprechen.

    Bevor ich diese Frage beantworte, möchte ich zunächst feststellen, dass ich die Richtlinien in der Verordnung im Allgemeinen für sinnvoll halte. Tatsächlich handelt es sich um Praktiken, die die meisten Sicherheitsexperten als Teil ihrer Standardbetriebsverfahren anwenden würden. Es ist jedoch etwas seltsam, dass zwei Technologiebereiche - Multi-Faktor-Authentifizierung und Verschlüsselung - explizit genannt werden, während die anderen Sicherheitskontrollbereiche auf einem sehr hohen Niveau bleiben. Auch hier gilt, dass die Multi-Faktor-Authentifizierung und die Verschlüsselung keine schlechten Bereiche sind, auf die man sich konzentrieren sollte, aber warum werden sie einbezogen und andere wichtige Sicherheitskontrollen wie E-Mail-Sicherheit, Web-Sicherheit, Virenschutz, Identitätsmanagement und viele andere Sicherheitskategorien nicht?

    Nun zurück zur Hauptfrage dieses Blogs: Ist es eine gute Sache, bestimmte Sicherheitspraktiken gesetzlich vorzuschreiben? Meiner Meinung nach nicht. Sollten die Aufsichtsbehörden jedoch die Cybersicherheit im Rahmen ihrer Aufsichtspflichten berücksichtigen? Ja, als Teil ihrer Betrachtung des Risikomanagementprogramms der Organisation. Letztlich sind die Unternehmen für ihre eigenen Risikomanagementprogramme verantwortlich und dafür, wie viel Risiko sie tolerieren können und wie sie dieses Risiko am besten mindern.

    Genauso wenig wie die Aufsichtsbehörden andere Aspekte der Geschäftspraktiken eines Unternehmens im Detail regeln, sollten sie dies auch für die Praktiken des Cyber-Risikomanagements tun. Es gibt einfach zu viele Möglichkeiten, unbeabsichtigte Folgen zu verursachen. Je detaillierter die Vorschriften sind, desto größer ist meiner Erfahrung nach nicht nur die Überforderung für den CISO, der sie umsetzen muss, sondern auch die Gefahr, dass das Sicherheitsprogramm zu einem Checklistenprogramm wird und nicht zu einem auf das Risikomanagement ausgerichteten Programm.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang