Reifegrad vs. Risiko: Auswahl des richtigen Cybersicherheitsmodells für Ihr Unternehmen

Cyber-Bedrohungen sind für Unternehmen in Australien und Neuseeland ein wichtiges Thema, und das aus gutem Grund.
Im vergangenen Jahr verzeichnete das Australian Cyber Security Centre (ACSC) alle acht Minuten einen Cyberangriff.

Immer mehr Führungskräfte verstehen, dass Cybersicherheit ein geschäftliches Problem ist, nicht nur ein IT-Problem, und dass ausgeklügelte Programme erforderlich sind, um Cyberrisiken zu verwalten. Es gibt zwei Hauptmodelle, die als Grundlage für die Messung der Effektivität eines jeden Cybersicherheitsprogramms dienen:

1. Reifegradmodelle, bei denen die Organisationen versuchen, standardisierte Fähigkeiten und Kontrollen in allen Bereichen aufzubauen, wobei die besten Praktiken innerhalb ihres Sektors als Maßstab dienen.
2. Risikobasierte Modelle, bei denen das Ziel darin besteht, spezifische Risiken und ihre potenziellen wirtschaftlichen Auswirkungen zu bewerten, wobei der Schwerpunkt auf unternehmensspezifischen Schwachstellen liegt.

Was bedeuten diese Ansätze in der Praxis, und welcher ist für Ihre Organisation besser geeignet? Lassen Sie uns etwas tiefer graben.

Was ein reifebasiertes Modell in der Praxis bedeutet

Bei diesem Ansatz vergleichen sich die Organisationen mit einer Reihe von Reifegradstandards. Diese Standards könnten von Regulierungsbehörden vorgeschrieben werden oder einfach typisch für andere Organisationen desselben Sektors sein. Um eine Stufe aufzusteigen, werden die Unternehmen danach beurteilt, ob sie bestimmte Maßnahmen ergriffen haben, wie zum Beispiel:

1. Implementierung der Multi-Faktor-Authentifizierung (MFA) in ihren Netzwerken
2. Durchführung regelmäßiger Sensibilisierungsschulungen
3. Gewährleistung, dass Software-Patches innerhalb eines Standardzeitrahmens installiert werden
4. Identifizierung von Lücken durch Schwachstellenscans oder Penetrationstests
5. regelmäßige Backups und die Einführung von Standardprotokollen für Tests, Koordination und Berechtigungen
6. Aufbau eines Sicherheitsoperationszentrums (SOC) zur Verbesserung der Bewertung, Überwachung und Reaktion auf Bedrohungen

Der Reifegrad kann nach verschiedenen Modellen stufenweise aufgebaut werden. Zu den typischen Modellen gehören staatliche Rahmenprogramme wie das australische Windows-Modell Essential Eight oder das neuseeländische Capability-Modell sowie branchenspezifische Programme. Andere mögliche Rahmenwerke sind das Informationssicherheitshandbuch des ACSC oder das NIST-Rahmenwerk der US-Regierung.

Klare Anforderungen und Benchmarks haben offensichtliche Vorteile. Das Durchlaufen der Meilensteine eines Programms ist eine weithin anerkannte und unkomplizierte Methode, um Führungskräften und Dritten den Stand Ihrer Cybersicherheit zu demonstrieren. Es bietet einen schrittweisen Ansatz, der mit Ihrer Organisation mitwachsen kann, und kann Ihrer Organisation helfen, die vorgeschriebenen Anforderungen zu erfüllen. Reifegradbasierte Modelle haben jedoch ihre Grenzen.

Einige Reifegradmodelle verlieren ihren Glanz

Der größte einzelne Nachteil eines reifebasierten Modells? Das wird sich auf Ihr Endergebnis auswirken. Da diese Modelle Unternehmen dazu ermutigen, jede Art von Bedrohung zu überwachen und abzuwehren, führen sie häufig zu ineffizienten Ausgaben.

Ihr Fokus kann sich auf das Abhaken von Anforderungen beschränken, statt auf das praktische Management echter Risiken. Reifegradbasierte Programme können auch die Kontrollen und die Überwachung in einem überwältigenden Ausmaß verstärken. Eine flächendeckende Überwachung bedeutet, dass Sie wahrscheinlich überlastete Analysten auf Bereiche ansetzen, in denen keine nennenswerte Bedrohung besteht. Die Implementierung von Kontrollen kann ein weiterer großer Stau sein, da die Implementierungsteams auf so viele Projekte verteilt sind, dass Initiativen oft monatelang unvollständig bleiben.

Wie risikobasierte Modelle bei der Entscheidungsfindung helfen können

Reifegradmodelle stützen sich auf bewährte Verfahren der Branche und auf einen Standardrahmen, der typische Bedrohungen vorwegnimmt. Im Gegensatz dazu werden bei risikobasierten Ansätzen mathematische Modelle verwendet, um die Auswirkungen externer Bedrohungen und die Fähigkeit Ihrer Organisation, diese zu bewältigen, zu bewerten. Während einfache Programme eine einfache "Ampel"-Analyse bieten können, werden bei einer ausgefeilteren Risikoquantifizierung Vorfälle und ihre Auswirkungen mit detaillierten Geldwerten bewertet. Sie bieten eine "greifbarere" Sicht auf das Cyber-Risiko, spezifisch für Ihre Organisation und Ihr Umfeld.

Selbst einfache risikobasierte Modelle können Ihnen helfen, Prioritäten bei der Zuweisung Ihres Cybersicherheitsbudgets zu setzen. Wenn Ihre Bewertung beispielsweise ergibt, dass Ihre Endbenutzer das größte Cyber-Risiko für Ihr Unternehmen darstellen, könnten Sie ein Budget für umfassende Phishing-Schulungen und -Simulationen sowie für die Verschärfung von Berechtigungen und BYO-Geräterichtlinien bereitstellen, während Sie die Ausgaben an anderer Stelle minimieren. Im Gegensatz dazu könnte ein CISO in einem reifebasierten Modell die grundlegende Sensibilisierungsschulung einfach als einen weiteren Punkt auf einer Liste von Cybersicherheitsmaßnahmen betrachten. Sie könnten beschließen, die Budgets gleichmäßig auf diese Liste zu verteilen, und denken: "Kästchen sind abgehakt".

Wahl zwischen Reifegrad- und risikobasierten Ansätzen

Risikobasierte Modelle haben in den letzten Jahren aus gutem Grund an Zugkraft gewonnen. Viele risikobasierte Rahmenwerke sind ausgereift und ausgefeilter geworden, so dass spezifische Risiken und ihre Auswirkungen genauer als je zuvor gemessen werden können. Die zunehmende Automatisierung erleichtert die Überwachung, und Modelle wie die Faktoranalyse des Informationsrisikos (FAIR) werden Jahr für Jahr weiterentwickelt.

Sind risikobasierte Modelle also besser als reifebasierte Modelle? Die Antwort auf diese Frage lautet: "Es ist kompliziert". Zunächst einmal sind einige Reifegradmodelle (insbesondere im öffentlichen Sektor) obligatorisch. Sie lassen einfach nicht viel Spielraum für die Optimierung der Ausgaben.

Risikobasierte Rahmenwerke haben auch ihre Nachteile. Jedes Modell, das sich auf eine Risikobewertung stützt, ist nur so gut wie seine Eingaben. Die GIGO-Regel - garbage in, garbage out - gilt nach wie vor. Hinzu kommt die Komplexität der Interpretation und Übermittlung der Ergebnisse.

Unternehmen, die nicht über die Ressourcen oder die abteilungsübergreifende Unterstützung verfügen, um ein umfassendes Programm einzuführen, ziehen vielleicht die klaren Wegweiser und Standardmaßnahmen eines Reifegradmodells vor. Größere Unternehmen, insbesondere solche, die groß angelegte, umwälzende Cybersicherheitsprogramme durchführen, bevorzugen möglicherweise ein Reifeprogramm, das klare Ziele vorgibt, an denen sich die Umsetzung unmittelbar orientieren kann.

Ihre Ziele im Bereich der Cybersicherheit sollten das Modell bestimmen

Wie wir gesehen haben, gibt es keine allgemeingültige Antwort auf das Rätsel zwischen Laufzeit und Risiko. Risikobasierte Programme können echte strategische Vorteile bieten, sind aber nicht für jedes Unternehmen geeignet.

Es ist auch erwähnenswert, dass die Anwendung eines primär risikobasierten Ansatzes nicht notwendigerweise ein Reifegradmodell ausschließt und vice versa. Risikobewertungen können Unternehmen dabei helfen, Prioritäten für die Schritte zur Erhöhung des Reifegrads ihres Programms zu setzen, während Reifegradmodelle eine Grundlage für den Aufbau risikobasierter Programme bieten können.

Unabhängig davon, für welches Modell Sie sich entscheiden, sind eine gute Umsetzung, eine unterstützende Cybersicherheitskultur und die richtige Einstellung entscheidend. Jedes Cyber-Programm sollte klare Ziele haben, effektiv kommuniziert und regelmäßig neu bewertet werden. Cyber-Bedrohungen entwickeln sich ständig weiter: Das sollte auch für Ihre Cybersicherheit gelten.