RSA stellt Framework für Cyber-Risiken vor
RSA schlägt mit einem Bewertungs-Framework eine neues Werkzeug für das Risk-Management von Cyber-Risiken vor. Auf dieser Folie sollen Unternehmen zu einer Bewertung und Priorisierung von Risiken gelangen können.
Ein neues Framework soll Unternehmen bei der Erfassung und Bewertung von Cyber-Risiken unterstützen. Das neue Tool der EMC-Tochter RSA bietet Anwendern die Möglichkeit fünf Toleranzschwellen für unterschiedliche IT-Risiken zu definieren.
Unternehmen, die neue Verfahren oder Technologien nutzen, erhöhen damit auch die eigene Anfälligkeit für Cyber-Risiken. Firmen, die Outsourcing betreiben, Partnernetze, oder Public-Cloud-Ressourcen nutzen, brauchen daher auch entsprechende Tools für das Risk-Management.
RSA hat zusammen mit Deloitte Advisory Cyber Risk Services das neue Framework für das Erfassen und Bewerten von Cyber-Risiken entwickelt. Dieses ermöglicht es Anwendern, für verschiedene IT-Risiken Toleranzschwellen zu beschreiben und so eine pragmatische Grundlage für wirksame Risk-Management-Strategien zu schaffen. Das Framework ist aus dem Report “Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise” hervorgegangen.
“Unternehmen müssen Risiken eingehen, um zu expandieren. Dieses Risiko aber muss mit Aktivitäten, die diese Risiken verwalten, ausgeglichen werden und zwar in einem Toleranzwert, der für die Organisation vertretbar ist”, erklärt Steve Schlarman, RSA Archer GRC, in einem Blog. So werden einige Organisationen etwas risikofreudiger sein oder andere mehr in die Minimierung von Risiken investieren. “Wo auch immer die Organisation in diesem Spektrum angesiedelt ist, sollte ein permanenter Dialog innerhalb der Riskmanagement-Strategie stattfinden.”
Der recht übersichtliche RSA-Report, auf den dieses Framework zurückgeht, setzt vor allem drei Punkte voraus: Das Definieren und Kategorisieren von Risiken, sollte mit klar strukturierten Abläufe durchgeführt werden. Zweitens die Beteiligung der wichtigsten Stakeholder und “Risk-Owner” im Unternehmen. Als dritten Punkt sollten Berechnungsverfahren für Risiko-Toleranzschwellen festgelegt werden.
Schlarman erklärt an anderer Stelle, dass an vielen Stellen bereits ein gutes Gefühl vorhanden ist, welche Bereiche ein annehmbares Risiko darstellen. Durch die Diskussion, lasse sich dieses unbewusste Gefühl mit fundierten Entscheidungen untermauern.
Allerdings sollte auch der Begriff “Cyber-Risiko” nicht mehr nur auf gezielte Hacker-Angriffe auf IT-Umgebungen angewendet werden, sondern vielmehr jede Art von Vorfall umfassen, bei dem der Einsatz von IT-Ressourcen Verlust oder Schaden nach sich ziehen kann.
Das Framework nimmt dafür die Bestimmungsgrößen “Absicht” und “Ausgangspunkt” zur Hilfe. Cyber-Risiken können die Folge böswilliger Angriffe sein, bei denen Hacker gezielt versuchen, Informationen zu entwenden. Sie können aber auch aufgrund unabsichtlichen Handelns entstehen, etwa wenn ein Benutzer einen Fehler macht, der die Verfügbarkeit einer Ressource vorübergehend einschränkt.
Der Ausgangspunkt eines Risikoereignis kann außerhalb eines Unternehmens liegen – etwa bei Hackern oder Geschäftspartnern innerhalb der Supply Chain – oder innerhalb, bei Mitarbeitern oder Sub-Unternehmern.
Um die eigene Risikotoleranz zu bestimmen, empfiehlt der Report Unternehmen, zunächst eine umfassende Bestandsaufnahme der Cyber-Risiken anzufertigen. Im zweiten Schritt sollten dann deren jeweils mögliche Auswirkung quantifiziert und darauf aufbauend eine eine Priorisierung vorgenommen werden.
Unternehmen sollen sich Fragen stellen, wie “Welche Art von Datenverlust wären für das Unternehmen katastrophal?”, oder “Welche weniger kritisch?” oder auch “Welche Informationen dürfen auf keinen Fall in falsche Hände geraten?”.
In manchen fällen kann das Risiko relativ einfach quantifiziert werden, etwa über ein Bußgeld für einen entwendeten Datensatz, Rechtskosten, etwa bei vertraglich festgelegten Haftungsrisiken oder einen Produktivitätsverlust. Andere Risiken lassen sich weniger leicht einordnen. Dazu zählen Image-Schäden, Verlust der Markenreputation oder geistigem Eigentums.
Denoch ließen sich laut RSA die Bewertungen von solchen Risiken auf strukturierte Art vornehmen und dabei können geschäftskritische von weniger geschäftskritischen Ressourcen unterschieden werden. So lassen sich etwa Bereiche als Unternehmenskritisch einstufen und damit einem stärkerem Schutzniveau unterwerfen als andere.
Anwendungen des Supply-Chain-Managements oder Partner-Portale können beispielsweise geringer priorisiert werden. Diese Art der Priorisierung solle aber fortlaufend und auf Grundlage aktueller Bewertungen erfolgen.