Der derzeitige Ansatz basiert hauptsächlich auf der Angst vor Cyberangriffen und Compliance-Zwecken und sollte dazu übergehen, proaktiver mit der sich entwickelnden IT-Landschaft umzugehen.
Richtlinien zum Risikomanagement sollten eher „strategisch und proaktiv“ als „taktisch und angstgetrieben“ sein, so die Aussage Sicherheitsbeobachter stellen fest, dass der Ansatz trotz des wachsenden Bewusstseins für die Bedeutung der IT-Sicherheit immer noch bestehen kann verbessert.
Laut Ang Poon-Wei, Marktanalyst für IKT-Sicherheit bei IDC, sind in der Vergangenheit aufgrund der Kosten, die der IT-Sicherheit entstanden sind, viele Organisationen lassen es oft bis zur letzten Minute aus den Diskussionen heraus oder es sei denn, es ist für Regierung, Risiko und Einhaltung. Heutzutage werde die Notwendigkeit, IT-Sicherheit in Diskussionen zum Risikomanagement einzubeziehen, für Unternehmen aller Größen und Branchen deutlich, stellte er fest.
Dies geschah insbesondere nach dem Der Sturz von Enron im Jahr 2002
, die Umsetzung der Sarbanese-Oxley Act und das Die globale Finanzkrise im Jahr 2008, wodurch der Umfang des Risikomanagements aufgrund zahlreicher Schlagzeilenverluste auf die IT-Governance ausgeweitet wird vertrauliche Informationen vor raffinierten Cyberangriffen, Vincent Goh, Vizepräsident für Asien-Pazifik bei RSA beobachtet.Heutzutage sind Verstöße meist finanziell bedingt, aber das ist der Fall immer um Daten, im Vergleich zu vor 10 Jahren, als sie auf Eitelkeit und Ruhm ausgerichtet waren, und auch die Anzahl der Vorfälle und die Geschwindigkeit, mit der IT-Bedrohungen entwickelt werden, seien gestiegen, sagte Ang.
Cyberkriminelle und Hacktivisten Heutzutage seien wir mit den technologischen Veränderungen auf dem Laufenden und seien immer geschickter darin, Sicherheitslücken auszunutzen, betonte Goh. Sie üben nicht nur eine bessere Koordination aus, um die traditionellen Perimeterverteidigungen zu infiltrieren, sondern auch Nutzen Sie Sicherheitslücken und die schnellen Veränderungen in der aufkommenden Bedrohungslandschaft, sagte er erklärt.
Wachsende Offenheit und Konnektivität verändern die Landschaft
Darüber hinaus hat die zunehmende Offenheit und Konnektivität der Infrastruktur eines Unternehmens auch Auswirkungen auf die Sicherheitslandschaft, mit Technologietrends wie z Bring Your Own Devices (BYOD), Mobilität und die Cloud-Einführung birgt unterschiedliche Risiken, fügte Goh hinzu.
Darüber hinaus setzen Unternehmen bei ihren IT-Abläufen zunehmend auf Outsourcing und Shared Services führen zu neuen Arten von Technologierisiken wie Datenlecks, Jimmy Sng, Technologieberatungspartner von PwC, notiert.
Allerdings hat sich das Risikomanagement in den letzten zehn Jahren zusammen mit der Sicherheitslandschaft weiterentwickelt, und die meisten Unternehmen verfügen heute über ein angemessenes Risikomanagement Er verfügt über eine bestehende Funktion, die die Rollen und Verantwortlichkeiten der Risikomanagementfunktion, einen etablierten Prozess und den Zugang zur Geschäftsleitung detailliert beschreibt sagte.
Wechseln Sie vom angstgetriebenen Risikomanagement hin zu proaktiverem Handeln
Allerdings nutzen die meisten Organisationen beim Management von Sicherheitsrisiken den „taktischen Ansatz“, bei dem das Risikomanagement reaktiv und die Überwachung dezentral erfolgt, betonte Goh. Selbst wenn Risikobewertungen durchgeführt werden, werden sie von der Notwendigkeit der Einhaltung und von „Angst“ bestimmt, stellte er fest.
Dies steht im Gegensatz zu einem umfassenderen strategischen Ansatz, bei dem das Risiko als Funktion über einen Zeitraum hinweg gemessen wird die Anfälligkeit und Wahrscheinlichkeit von Angriffen der Organisation sowie der Wert der gefährdeten Informationen, Goh bemerkte.
Er zitierte die Carnegie Mellon 2012 CyLabs-Governance-Bericht Anfang des Jahres veröffentlichte Studie, in der festgestellt wurde, dass sich Organisationsvorstände zwar aktiv mit dem Risikomanagement befassen, Bereiche in den Bereichen IT-Betrieb, Computer- und Informationssicherheit sowie Lieferantenmanagement werden immer noch nicht ausreichend gefördert Aufmerksamkeit. Die Mehrheit prüft auch nicht den Versicherungsschutz für Cyber-Risiken.
„Risikomanagement muss auf a inhaltlichere und granularere Ebene– und dazu gehört auch die Überprüfung von Datenschutz- und Sicherheitsfragen, die dazu beitragen könnten, die Organisation vor Bereichen mit hohem Risiko wie dem Diebstahl vertraulicher oder geschützter Daten zu schützen“, sagte er.
Unternehmen sollten ihre Risikomanagementtechniken verbessern, um proaktiver zu sein, bemerkte Goh. Es sei wichtig, dass sie verstehen, dass eine unternehmensweite Risikobewertung nicht in Silos verwaltet werden könne, erklärte er. Ein einheitliches Governance-, Risikomanagement- und Compliance-Programm (GRC) ist erforderlich, um sicherzustellen, dass sich die Organisation auf Projekte mit hoher Priorität und die größten Risiken konzentriert.
Gerry Chng, Beratungspartner bei Ernst & Young, schlug ebenfalls vor, dass die Architektur darüber nachdenken sollte, wie Sicherheitskontrollen sollten fortlaufend überwacht werden, um ihre Wirksamkeit sicherzustellen und Risiken zu erkennen Szenarien. Änderungen an der bestehenden Kontrollumgebung sollten den betroffenen Interessengruppen proaktiv mitgeteilt werden, um Zustimmung und Unterstützung zu fördern, fügte er hinzu.
„Wenn das Ziel der Informationssicherheit darin besteht, die Widerstandsfähigkeit der IT-Infrastruktur zu schützen und die wichtigsten Geschäftsinformationen zu schützen, ist es sehr wichtig, dass eine ordnungsgemäße Es wird eine Risikomanagementpraxis etabliert, um die Risiken methodisch zu identifizieren und sicherzustellen, dass implementierte Sicherheitslösungen den Erwartungen entsprechen und nachhaltig sind“, sagte er.