E-Mail-Sicherheit

    Neuer Cyber-Leitfaden für Verwaltungsräte betont Zusammenarbeit

    Der aktualisierte Cyber-Leitfaden für Vorstände von NACD und ISA bietet aktualisierte Strategien, einschließlich eines neuen Kernprinzips, das die Teamarbeit betont.

    by Ryan Lynch
    75BLOG_1.jpg

    Wichtige Punkte

    • Das NACD und die ISA haben die vierte Ausgabe des Director's Handbook on Cyber-Risk Oversight veröffentlicht. 
    • Die neue Ausgabe aktualisiert die Anleitungen und Strategien für fünf wichtige Cybersicherheitsgrundsätze aus früheren Handbüchern.
    • Außerdem wird ein sechster Grundsatz hinzugefügt, der sich auf die Notwendigkeit der Zusammenarbeit zur Minderung von Cyberrisiken konzentriert.

    Die National Association of Corporate Directors (NACD) und die Internet Security Alliance (ISA) veröffentlichten im März 2023 die vierte Ausgabe des Director's Handbook on Cyber-Risk Oversight.[1] Die neueste Version spiegelt die Veränderungen im Bereich der Cybersicherheit und der Risiken seit der Veröffentlichung der dritten Ausgabe Anfang 2020 wider, darunter die zunehmende Verbreitung von Ransomware-Angriffen auf die globale Lieferkette und die Zunahme von Remote-Arbeitskräften. 

    Die aktualisierten Leitlinien kommen in einer Zeit, in der der Druck auf die Vorstände wächst, das Cyber-Risikomanagement besser zu verstehen und zu überwachen. Die überwiegende Mehrheit (83 %) der von der NACD im letzten Jahr befragten Vorstandsmitglieder gab an, dass sie ihr Verständnis von Cyberrisiken in den vergangenen zwei Jahren deutlich verbessert haben.[2] Die Anwesenheit von Personen mit Erfahrung im Bereich der Cybersicherheit in einem Vorstand kann ebenfalls erhebliche Vorteile bieten. Wie der CTO eines Finanzdienstleistungsunternehmens mit mehreren cyber-erfahrenen Vorstandsmitgliedern in dem Bericht von Mimecast Behind the Screens: The Board's Evolving Perceptions of Cyber Risk Bericht feststellte: "Der größte Vorteil ist, dass diese speziellen Vorstandsmitglieder andere Vorstandsmitglieder in Fragen der Cybersicherheit aufklären können." Obwohl Cyber-Erfahrungen auf Vorstandsebene eher die Ausnahme als die Regel sind, spielen CISOs und CIOs auch eine wichtige Rolle bei der Ausbildung ihrer Vorstände, und bewährte Verfahren wie die von NACD und ISA unterstützen diese Bemühungen.

    Der wichtigste Zusatz des Handbuchs - ein sechster Grundsatz zur Förderung der Zusammenarbeit - betont, dass Unternehmen ihre Cybersicherheitsnetzwerke ausbauen sollten, um enger mit Partnern aus der Industrie und staatlichen Stellen zusammenzuarbeiten. In der zunehmend vernetzten globalen Wirtschaft sind die Unternehmenssysteme mehr denn je integriert. Eine Bedrohung für eine Partei kann sich ausbreiten und Daten weit über das ursprüngliche Opfer hinaus gefährden. So hat die Cybersecurity & Infrastructure Security Agency (CISA) weniger als zwei Monate vor der Veröffentlichung des Handbuchs einen massiven Ransomware-Angriff auf einen großen Cloud-Service-Anbieter festgestellt. Dieser Angriff betraf über 3.800 Server weltweit, nachdem böswillige Akteure Schwachstellen in einer ungepatchten Version der Software des Anbieters ausnutzen konnten.[3] Durch eine bessere Zusammenarbeit, so das Handbuch, können sich der private und der öffentliche Sektor gegenseitig vor Risiken warnen, bewährte Verfahren austauschen und - im Falle erfolgreicher Angriffe - Cyberkriminelle fassen und Dateien wiederherstellen. 

    Aktualisierungen der ursprünglichen fünf Grundprinzipien der Cybersicherheit

    Die Ausgabe 2023 des Handbuchs fügt neue wichtige Überlegungen für den Vorstand zu den ursprünglichen fünf Grundprinzipien hinzu. Die aktualisierten Empfehlungen sind im Folgenden zusammengefasst.

    1. Cybersicherheit ist ein strategisches, unternehmensweites Risiko, das nicht nur auf die IT beschränkt ist. Eine Null-Vertrauens-Architektur für Cybersicherheitspraktiken kann dazu beitragen, Datenschutzverletzungen einzuschränken, indem jeder Zugriffsversuch auf Daten - unabhängig vom Benutzer - überprüft wird, und wurde von der US-Regierung befürwortet.[4]
    2. Unternehmen sollten sich über die spezifischen rechtlichen Auswirkungen ihrer Cyberrisiken im Klaren sein. Unternehmen nehmen häufig externe Rechtsberater und Sachverständige in Anspruch, um die Haftung für bestehende und neue Geschäftsvorhaben regelmäßig zu bewerten. Unternehmen sollten auch alle anstehenden Datenschutzgesetze oder Rechtsstreitigkeiten beobachten, um sich auf mögliche Änderungen vorzubereiten. 
    3. Verwaltungsräte sollten der Cybersicherheit in ihren Sitzungen regelmäßig und angemessen Zeit widmen. Die Aufsicht sollte sowohl in die bestehenden Vorstandssitzungen als auch in den Einführungsprozess integriert werden, und zwar durch regelmäßige Cybersecurity-Briefings durch den CISO oder gleichwertige Verantwortliche. Um eine unternehmensweite Kultur zu fördern, die der Cybersicherheit Priorität einräumt, können Unternehmen die Verantwortung und Rechenschaftspflicht auf den gesamten Vorstand verteilen, anstatt sich nur auf einen Cybersicherheitsexperten zu verlassen.
    4. Die Direktoren sollten einen unternehmensweiten Rahmen für das Management von Cyber-Risiken mit strukturierter Berichterstattung und ausreichenden Budgets und Mitarbeitern einführen. Es gibt keinen einheitlichen Rahmen für die Cybersicherheit, und das Handbuch betont die Notwendigkeit einer sorgfältigen Auswahl geeigneter technischer und Managementstrategien. Viele Unternehmen entscheiden sich dafür, verschiedene Rahmenkonzepte zu kombinieren, um die für ihr Unternehmen am besten geeigneten Strategien zu finden.
    5. Die Leitungsorgane sollten das potenzielle finanzielle Risiko ermitteln und quantifizieren, um spezifische Pläne zur Übernahme oder Minderung von Risiken zu erstellen. Keine Strategie kann den Schutz vor Cyberkriminalität garantieren, und der Vorstand sollte sich darüber im Klaren sein, dass ein gewisses Risiko zu den "Kosten der Geschäftstätigkeit in der digitalen Wirtschaft" gehört. Durch die Messung und Meldung von Cyber-Risiken und deren potenziellen Auswirkungen an den Vorstand können CISOs jedoch gemeinsam mit den Geschäftsführern wirksame Strategien zur Priorisierung, Abschwächung und Verwaltung von Risiken entwickeln.

    Warum Zusammenarbeit so wichtig ist

    Das neu hinzugefügte sechste Schlüsselprinzip des Handbuchs ist an eine frühere Publikation über die Steuerung von Cyberrisiken im Vorstand angelehnt, die in Zusammenarbeit von NACD, ISA und dem Weltwirtschaftsforum erstellt wurde. Sie lautet: "Vorstände sollten die systemische Resilienz durch die Zusammenarbeit mit ihren Kollegen aus Industrie und Regierung fördern und das Gleiche von ihren Managementteams fordern." 

    Der neue Grundsatz unterstreicht die Bedeutung kollektiven Handelns, um die Herausforderungen der Cyber-Resilienz im modernen Zeitalter zu meistern. Die Zusammenarbeit sollte von oben nach unten gefördert werden, und die Organisationen sollten die Auswirkungen ihres Handelns auf die Umwelt, die Gesellschaft und die Unternehmensführung auf ein breiteres Spektrum von Interessengruppen berücksichtigen, heißt es im Handbuch 2023. Jedes Unternehmen kann "seines Bruders Hüter" sein, wie es im Handbuch heißt, indem es Sicherheitsstandards einhält und gleichzeitig über das Internet verbunden bleibt. Echte Cyber-Resilienz erfordert eine aktive Zusammenarbeit zwischen Unternehmen, staatlichen Stellen und Gemeinden, so der sechste Grundsatz.

    Umsetzung einer effektiven Zusammenarbeit

    Das Handbuch empfiehlt dem Vorstand fünf wichtige Überlegungen zur Umsetzung von Grundsatz sechs. Sie rät den Verwaltungsräten zu:

    1. Entwickeln Sie eine 360-Grad-Sicht auf Risiken und Widerstandsfähigkeit, um sicherzustellen, dass das Unternehmen in den Bereichen, in denen es tätig ist, ein gewisses Maß an sozialer Verantwortung wahrt. Viele Unternehmen verlassen sich auf mehrere Produkte und Strategien, um strenge und vielschichtige Sicherheitsstandards aufrechtzuerhalten, was oft als Defense-in-Depth-Ansatz bezeichnet wird. Diskrete Sicherheitstools erfordern jedoch eine effektive Integration, um unnötige Risiken zu vermeiden - sowohl für einzelne Unternehmen als auch für ihre Geschäftspartner.
    2. Vernetzen Sie sich mit anderen Vorstandsmitgliedern, um bewährte Verfahren auszutauschen. Einige Risikomanager sagen voraus, dass die jüngsten globalen Bedrohungen nur der Anfang einer neuen Phase von Cyberangriffen sind und dass neue Technologien wie 5G mehr Möglichkeiten für systemische Angriffe schaffen werden. Unternehmen können Bedrohungsdaten und bewährte Verfahren über institutionelle Grenzen hinweg austauschen, um die branchenweiten Cybersicherheitsstandards zu verbessern und weit verbreitete Verstöße zu vermeiden.
    3. Erstellung von Managementplänen für die Zusammenarbeit und den Austausch von Informationen über Sicherheit und Widerstandsfähigkeit. Die Geschäftsleitung sollte regelmäßig Informationen mit Mitarbeitern des privaten und öffentlichen Sektors austauschen, um die Sicherheit laufend zu verbessern. Mit einem konsistenten Fluss von Informationen, die auf breiter Basis zur Verfügung stehen, können Unternehmen ihre Sicherheitsverfahren neu ausrichten und eine proaktivere Rolle beim Schutz ihrer Daten übernehmen. Viele CISOs verlassen sich auf externe Tools und Produkte, um vorausschauende Informationen über Bedrohungen zu erhalten und festzustellen, ob die aktuellen Sicherheitsmaßnahmen ausreichen, um zukünftige Bedrohungen zu verhindern - einschließlich der Angriffe, die derzeit auf andere Unternehmen verübt werden.
    4. Analysieren Sie Risiken, die sich aus externen Beziehungen ergeben, z. B. zu Partnern und Drittanbietern. Unternehmen, die mit anderen Parteien zusammenarbeiten - sei es in Form von engen Partnerschaften oder tertiären Beziehungen - sollten Schwachstellen berücksichtigen, die sich aus diesen Verbindungen ergeben. Der CISO eines bekannten Schuhherstellers und -einzelhändlers ( ) beispielsweise bewertet die Sicherheitsreife potenzieller Lieferanten, bevor er mit ihnen zusammenarbeitet. Wenn die Sicherheitskontrollen den Anforderungen des CISO nicht genügen, sucht sich das Unternehmen einen neuen Lieferanten.
    5. Förderung des Wissensaustauschs durch sektorspezifische Informationsaustausch- und Analysezentren (ISACs) und/oder sektorübergreifende Organisationen für den Informationsaustausch (ISOs). Plattformen zum Wissensaustausch können das Bewusstsein für Cybersicherheit erhöhen und Reaktionsmöglichkeiten in Echtzeit schaffen. Oklahoma beispielsweise hat seine Cybersicherheitsinfrastruktur überarbeitet und Ende 2020 das Oklahoma Information Sharing and Analysis Center (OK-ISAC) gegründet, das Mitglieder des öffentlichen und privaten Sektors zum Austausch von Informationen, bewährten Verfahren und Erfahrungen zusammenbringt.

    Wie CISOs und CIOs mit dem Vorstand zusammenarbeiten können

    Da die Vorstände immer mehr Interesse an der Überwachung des Cyber-Risikomanagements zeigen, spielen CISOs und CIOs eine entscheidende Rolle bei der Bereitstellung von kontinuierlicher Aufklärung und Informationen. 

    Um effektiv mit Vorstandsmitgliedern zu kommunizieren, müssen die Verantwortlichen für Cybersicherheit und Technologie die Sprache des Vorstands sprechen  und sich auf Geschäftsrisiken konzentrieren - nicht auf Fachjargon. Durch offene und ehrliche Informationen über Cybersecurity-Risiken können CISOs den Vorstandsmitgliedern realistische Erwartungen und ein grundlegendes Verständnis für die Herausforderungen vermitteln, denen sich das Unternehmen gegenübersieht. Darüber hinaus können IT- und Cyber-Führungskräfte in Vorstandssitzungen relevante Zusammenhänge aufzeigen, z. B. aktuelle Datenschutzverletzungen, um spezifische Geschäftsrisiken zu veranschaulichen, bevor sie aufzeigen, wie das Unternehmen geschützt ist und was noch getan werden muss. Sobald ein gemeinsames Verständnis erreicht ist, können Cyber- und IT-Führungskräfte mit dem Vorstand zusammenarbeiten, um Strategien zu entwickeln, wie z. B. gezielte Sicherheitsmaßnahmen und Schulungen zum Thema Cybersicherheit für die Mitarbeiter.

    Die Quintessenz

    Das 2023 Director's Handbook on Cyber-Risk Oversight (Handbuch für Direktoren zur Überwachung von Cyber-Risiken) umreißt Richtlinien für die Cybersicherheit in Vorstandsetagen, die auf aktuellen Trends und Bedrohungen basieren. Neben der Aktualisierung der fünf Schlüsselprinzipien aus früheren Handbüchern wurde in dieser Ausgabe ein neues Prinzip hinzugefügt, das die Notwendigkeit der Zusammenarbeit mit Partnern aus der Industrie und mit staatlichen Stellen betont, um die systemische Widerstandsfähigkeit angesichts der immer häufiger auftretenden globalen Malware-Angriffe zu fördern. Cybersicherheitsexperten können diese neuen Richtlinien nutzen, um den Vorständen neue Strategien zu vermitteln und sicherzustellen, dass Cybersicherheit im gesamten Unternehmen Priorität genießt. Lesen Sie Mimecasts Behind the Screens: The Board's Evolving Perceptions of Cyber Risk für weitere Informationen über die Rolle des Vorstands beim Management von Cyberrisiken.


     

    [1] "2023 Director's Handbook on Cyber-Risk Oversight," NACD

    [2] "2022 NACD Private Company Board Practices and Oversight Survey," NACD

    [3] "ESXiArgs Ransomware Recovery Guidance Virtual Machine," Cybersecurity & Infrastructure Security Agency

    [4] "Executive Order on Improving the Nation's Cybersecurity," The White House

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang