Human Risk Management

Was ist menschliches Risikomanagement?

Human Risk Management (HRM) ist ein ganzheitlicher Ansatz für die Cybersicherheit, der sich darauf konzentriert, das menschliche Risiko, dem Unternehmen ausgesetzt sind, zunächst zu identifizieren, dann zu quantifizieren, zu verwalten und schließlich zu reduzieren. Dieses menschliche Risiko kann von externen Quellen ausgehen, aber das Hauptaugenmerk des HRM liegt auf internen Bedrohungen. HRM priorisiert die Identifizierung und anschließende Überwachung des Verhaltens der Benutzer, die das größte Risiko darstellen. Mit diesem Ansatz können Sicherheitsteams die Benutzer priorisieren, die die meisten Schulungen und Überwachungen benötigen, da Sicherheitsprogramme nicht pauschalisiert werden können. HRM ist bestrebt, eine sicherheitsfördernde Kultur zu schaffen, in der sicheres Verhalten zur zweiten Natur wird.

Das menschliche Risiko verstehen

Menschliches Risiko ist definiert als das Potenzial, dass die Handlungen einer Person eine Organisation stören oder ihr Schaden zufügen können, unabhängig davon, ob dies beabsichtigt ist oder nicht, und unabhängig davon, ob der Ursprung intern oder extern liegt. Das auch als menschliches Versagen bekannte menschliche Risiko ist ein Bereich, auf den sich die Cybersicherheitsbranche, die ständig daran arbeitet, ihren Angreifern einen Schritt voraus zu sein, verstärkt konzentriert. Da breit angelegte Angriffe durch KI-basierte Sicherheitstools leichter und häufiger gestoppt werden können, haben Cyberkriminelle ihren Schwerpunkt auf targeted attack verlagert, die menschliche Fehler ausnutzen. Unternehmen müssen sich anpassen, um dieses wachsende menschliche Risiko zu stoppen.

Warum müssen Unternehmen menschliche Risiken managen?

Unternehmen müssen das menschliche Risiko in den Griff bekommen, um angesichts der heutigen Cyberangriffe sicher zu bleiben. Diese zielen auf die am meisten gefährdeten Mitarbeiter eines Unternehmens ab - diejenigen, bei denen Sicherheitsschulungen nicht so effektiv waren -, die am ehesten auf unsichere Links klicken, unsichere Dateien herunterladen oder Opfer von business email Kompromittierungen werden.

Unternehmen, die das menschliche Risiko nicht in den Griff bekommen, machen sich anfällig für Mitarbeiterfehler, ethische Probleme, schlechte Cybersicherheitspraktiken und mangelhafte oder ineffektive Cybersicherheitsschulungen.

Warum ist menschliches Risikomanagement für die Cybersicherheit wichtig?

HRM macht sich die neueste Technologie in der Cybersicherheitsbranche zunutze. Es konzentriert die Ressourcen auf die anfälligsten Benutzer, die die meisten Sicherheitsvorfälle verursachen. Sie ermöglicht es Unternehmen, ihre Sicherheitstools so effektiv wie möglich zu nutzen. HRM gibt Sicherheitsteams die Werkzeuge an die Hand, die sie benötigen, um die von ihren Benutzern ausgehenden Risiken zu messen, vorherzusagen und zu verwalten. Mit HRM können Unternehmen frühzeitige Anzeichen für eine Kompromittierung, künftige Schwachstellen und Risikofaktoren erkennen.

Vorteile des menschlichen Risikomanagements

HRM wurde entwickelt, um die sich entwickelnden und ausgefeilten Bedrohungen zu verhindern, die auf menschliches Versagen in Unternehmen abzielen. HRM bietet präventive Kontrollen und die Möglichkeit, direkte Maßnahmen zu ergreifen, um das Risiko zu verringern, das mit menschlichem Verhalten verbunden ist, z. B. mit dem Klicken auf einen Link, der malware herunterlädt, dem Öffnen bösartiger Anhänge oder dem Besuch einer Website mit bösartigem Inhalt. HRM ist ein wichtiger und mit Spannung erwarteter Meilenstein auf dem Weg zur nächsten Generation der Cybersicherheit. HRM bietet einen beispiellosen Einblick in das Risikoprofil eines Unternehmens, indem es die Benutzer nach ihrem Risiko einstuft und es den CISOs ermöglicht, den risikoreichsten Teil ihrer Mitarbeiter zu informieren und zu schützen. Mit dem Einblick, den HRM in das Risikoprofil eines Unternehmens bietet, sind die Sicherheitsteams in der Lage, die am meisten gefährdeten Benutzer zu schützen.

Schlüsselkomponenten eines effektiven Programms zum Management menschlicher Risiken

• Schulungen zum Sicherheitsbewusstsein

  Wenn Unternehmen ihre Strategie zur Schulung des Sicherheitsbewusstseins weiterentwickeln, um alle Aspekte des menschlichen Risikos zu berücksichtigen, ist es wichtig, sich bewusst zu machen, dass Schulungen zum Sicherheitsbewusstsein und das Management menschlicher Risiken keine Gegensätze sind, sondern besser zusammenpassen. Schulungen zum Sicherheitsbewusstsein konzentrieren sich darauf, was Mitarbeiter über Sicherheit wissen - ein wichtiger, aber unvollständiger Teil der Gleichung. Das menschliche Risikomanagement füllt die Lücken, liefert aber ein Verständnis dafür, was Mitarbeiter in Bezug auf die Sicherheit tun - welche guten und schlechten Sicherheitsentscheidungen treffen sie regelmäßig? Sind sie Wiederholungstäter? Wie häufig werden sie angegriffen? Welche Risikoeinstufung sollte diesem riskanten Benutzer zugewiesen werden? Mit diesem Verständnis können sich Sicherheitsexperten ein Bild von der Verteilung der risikobehafteten Mitarbeiter in ihrem Unternehmen machen. Analysen zeigen, dass acht Prozent der Benutzer 80 Prozent der Vorfälle verursachen. Nicht alle Benutzer sind in Bezug auf ihr Sicherheitsbewusstsein und das menschliche Risiko, das sie darstellen, gleich.

• Umsetzung und Durchsetzung der Politik

  Die Entwicklung und Durchsetzung von Richtlinien, die akzeptables Verhalten innerhalb der Organisation vorgeben, sind ein wichtiger Teil des HRM. Dies geht über die Sicherheitsrichtlinien hinaus und umfasst umfassendere Risikomanagement- und Compliance-Überlegungen. Ein guter Anfang, um sicheres Verhalten zu gewährleisten, ist es, die Mitarbeiter mit den Sicherheitsrichtlinien des Unternehmens vertraut zu machen und ihnen zu zeigen, wie sie umgesetzt und durchgesetzt werden. In Verbindung mit Schulungen zum Sicherheitsbewusstsein vermittelt dies den Benutzern ein umfassendes und effektives Verständnis dessen, was von ihnen erwartet wird, wenn es darum geht, die Sicherheit ihres Unternehmens zu gewährleisten.

• Kontinuierliche Überwachung und Bewertung

  Die HRM-Plattform ist ein wichtiger und mit Spannung erwarteter Meilenstein auf dem Weg zur nächsten Generation der Cybersicherheit. Als Reaktion auf die Kunden- und Marktnachfrage nach einem effektiveren Mittel zur Abschwächung von Risiken, die durch menschliches Versagen entstehen, wird die HRM-Plattform einen beispiellosen Einblick in das Risikoprofil eines Unternehmens bieten, indem sie Benutzer nach Risiko einstuft und es CISOs ermöglicht, den risikoreichsten Teil ihrer Mitarbeiter zu schulen und zu schützen. Dies wird durch eine kontinuierliche Überwachung und Bewertung des Verhaltens der Mitarbeiter erreicht.

Mit einer HRM-Plattform können Sicherheitsteams Risikosignale in Form eines Dashboards für menschliche Risiken aufzeigen und zentralisieren. Dies bietet Sicherheitsteams eine menschliche Risikobewertung und Transparenz auf der Grundlage von Ereignisdaten sowohl aus eigenen Metriken als auch aus Daten von Drittanbieter-Tools. Eine Schlüsselfunktion der HRM-Plattform und des Dashboards für menschliche Risiken ist die Integration der Ergebnisse in das Schulungsprogramm für das Sicherheitsbewusstsein einer Organisation. Damit wird neu definiert, wie Sicherheitsverantwortliche mit menschlichen Risiken umgehen können.

Wirksame Strategien zur Risikominderung für Menschen

• Regelmäßige Durchführung von Phishing-Simulationen

  Phishing-Simulationsprogramme können Unternehmen vor Phishing-Angriffen schützen, die zu kostspieligen Datenschutzverletzungen oder Ransomware-Angriffen führen können. Phishing-Simulationsprogramme können dabei helfen, zu verstehen, wie gut Unternehmen auf Phishing-Angriffe vorbereitet sind, und den Mitarbeitern taktische Erfahrungen vermitteln, die sie darauf vorbereiten, auf reale Phishing-Angriffe angemessen zu reagieren.

  Bei einem simulierten Phishing-Angriff erhalten die Mitarbeiter eine E-Mail, die einem echten Phishing-Angriff sehr ähnlich ist. Fehler oder Untätigkeit haben jedoch keine Auswirkungen, da die simulierten Phishing-E-Mails keine echte Malware enthalten. Die simulierten Phishing-E-Mails werden jedoch in der Lage sein, die Aktionen und Reaktionen der Mitarbeiter zu verfolgen und aufzuzeichnen. So lässt sich feststellen, wie effektiv die Schulung war und welche Lücken bei der Stärkung des Sicherheitsbewusstseins noch geschlossen werden müssen.

• Implementierung eines Zero-Trust-Sicherheitsmodells

  Anstatt einen Sicherheitsbereich um ein Netzwerk herum einzurichten und jedem Benutzer zu vertrauen, der sich dort anmelden kann, geht ein Null-Vertrauensmodell davon aus, dass jede Benutzeridentität kompromittiert werden kann. Es verwendet die Multifaktor-Authentifizierung (MFA), um die Sicherheit über die Kombination aus Benutzername und Passwort hinaus zu verbessern, und wendet das Prinzip der geringstmöglichen Rechte an, d. h., der Benutzer erhält auf Schritt und Tritt den geringstmöglichen Zugang und muss zusätzliche Überprüfungen vornehmen, bevor er seine Zugriffsrechte erweitern kann.

  Zero-Trust-Sicherheit stellt jedes Mal, wenn ein Benutzer versucht, auf ein Asset im System zuzugreifen, Vertrauen her, indem das Asset mit dem Profil des Benutzers, der Sensibilität des Assets, auf das zugegriffen wird, und dem Kontext der Aktivität verglichen wird, z. B. dem Standort oder dem elektronischen Gerät des Benutzers oder der Frage, ob die Tätigkeit des Benutzers überhaupt diese Zugriffsstufe erfordern sollte. Wenn die Kontexthinweise nicht übereinstimmen, kann der Benutzer aufgefordert werden, seine Identität erneut zu bestätigen, bevor er fortfährt.

• Verbesserung der Protokolle für die Reaktion auf Vorfälle

  Ein Plan zur Reaktion auf einen Vorfall beschreibt die Schritte, die erforderlich sind, um sich auf einen Cyberangriff vorzubereiten, darauf zu reagieren und sich davon zu erholen. Sie kann ein entscheidendes Unterscheidungsmerkmal sein, wenn es darum geht, wie Unternehmen einen Angriff eindämmen, den Schaden begrenzen, auf behördliche Auflagen reagieren und das Vertrauen von Mitarbeitern und Kunden sicherstellen. In Bezug auf das HRM sollten die Protokolle zur Reaktion auf Vorfälle das Wissen über die Benutzer widerspiegeln, das durch Überwachung und Bewertung gewonnen wurde.

Wie Mimecast Ihnen beim Management menschlicher Risiken helfen kann

Human Risk Management bietet Unternehmen die Transparenz und den Kontext, den sie benötigen, um ihre Risikoprofile zu reduzieren und ihre Benutzer vor hochentwickelten Cyber-Bedrohungen zu schützen. Die vernetzte HRM-Plattform von Mimecast wurde entwickelt, um die sich entwickelnden und ausgefeilten Bedrohungen zu verhindern, die auf menschliche Fehler in Unternehmen abzielen. Die HRM-Plattform von Mimecast bietet präventive Kontrollen und die Möglichkeit, direkte Maßnahmen zur Risikominimierung zu ergreifen. Mit dieser vernetzten HRM-Plattform erhalten Sicherheitsteams einen Einblick in das Risikoprofil ihres Unternehmens, indem sie die Benutzer nach ihrem Risiko einstufen und es den CISOs ermöglichen, den risikoreichsten Teil ihrer Mitarbeiter zu informieren und zu schützen.