Wir erläutern in diesem Beitrag, wer für diesen immer wichtiger werdenden Bereich verantwortlich sein sollte.

Eine Organisation ohne Cybersicherheitsstrategie ist eine Organisation, die die Tür für Hacker und andere Kriminelle im Prinzip zu jeder Zeit offenhält. Die neueste Cyber Security Breaches Survey der US-Regierung ergab, dass 32% der Unternehmen in den letzten 12 Monaten einen Angriff erlitten hatten. Obwohl dies weniger als in 2018 (43%) und in 2017 (46%) ist, haben die finanziellen Auswirkungen dieser Ereignisse stetig zugenommen. Im Jahr 2017 betrugen die durchschnittlichen Kosten für ein betroffenes Unternehmen USD 2.450, während sie 2019 auf USD 4.180 gestiegen sind.

Der Bericht stellt jedoch auch fest, dass 30 % der Unternehmen und 36 % der Wohltätigkeitsorganisationen aufgrund von GDPR Änderungen an ihren Cybersicherheitsrichtlinien oder -prozessen vorgenommen haben, während die überwiegende Mehrheit der befragten Organisationen keine schriftlichen Richtlinien hat und nur 31 % in den letzten 12 Monaten eine Cyber-Risikobewertung durchgeführt haben. Das Risiko eines Datenverstoßes bleibt für viele daher sehr real.

Wenn Ihr Unternehmen also über eine Cybersicherheitsstrategie verfügt, ist es jetzt vielleicht an der Zeit, darüber nachzudenken, ob sie für den Zweck geeignet ist. Und wenn du keine hast, ist es definitiv an der Zeit, darüber nachzudenken, eine zusammenzustellen.

Eine Frage der Verantwortung

Sie können erst dann mit der Arbeit an einer Cybersicherheitsstrategie beginnen, wenn Sie die Führungs- und Betriebsverantwortung sowie die Rolle des Vorstands geklärt haben.

Die Zuordnung der Verantwortlichkeiten hängt in gewissem Maße von der Art der Organisation ab, einschließlich ihrer Größe, unabhängig davon, ob es sich um einen einzelnen oder mehrere Standorte handelt, und der Art der technologischen Ausstattung. Es wird nicht ausreichen, nur zu sagen, dass der Chief Technology Officer (CTO) die Implementierung leitet und der Chief Executive die Führungsverantwortung übernimmt. Die Realität ist viel nuancierter:

Wenn es einen Chief Information Security Officer (CISO) gibt, sollten sie die Führung übernehmen. Nicht jede Organisation hat jedoch ein CISO, und in diesem Fall ist es wichtig, eine Rolle zu definieren, die diese Lücke schließt. Dies kann der Leiter des IT-Teams oder, wenn es ein separates Datensicherheitsteam gibt, dessen Leiter sein. Es ist wichtig, dass die Person erfahren genug ist, um eine gewisse Autorität zu haben, Entscheidungen zu treffen, sie umzusetzen und auf Augenhöhe mit dem Vorstand sprechen zu können.

Verteilung der Aufgaben und Zuständigkeiten

Wo auch immer im Technologieteam die operative Verantwortung liegt, ist es unerlässlich, den Buy-In aus anderen Teilen der Organisation sicherzustellen. Weitere Teams, sollten sich engagieren, zum Beispiel ein Kommunikationsteam, das intern und extern zu kommuniziert.

Im besten Fall sollte jeder Abteilungsleiter und jeder Postbeamte auf Direktorenebene bis zu einem gewissen Grad beteiligt sein. Natürlich werden sie nicht alle über technische Fähigkeiten verfügen. Ihre Aufgaben konzentrieren sich auf die praktische Umsetzung von Richtlinien und Prozessen für ihre Teams, die Sensibilisierung und die Sicherung des Buy-ins.

Die Rolle des Vorstands

Bei einer Cyber-Sicherheitsstrategie muss die Führung direkt von oben, d.h. vom Vorstand, kommen. Die Zeiten, in denen die Cybersicherheit an die IT-Abteilung delegiert wurde, sind längst vorbei. Um einen sinnvollen, langfristigen Wandel herbeizuführen, muss es als Unternehmensrisiko behandelt werden, was bedeutet, dass der Vorstand die Kontrolle über die Situation übernehmen muss. Alle Vorstandsmitglieder sollten sich über Cybersicherheit informieren, da sie letztendlich rechenschaftspflichtig sind. Alle Mitglieder müssen sich regelmäßig über die Cyber-Haltung ihres Unternehmens informieren, Investitionen zustimmen und sicherstellen, dass Prozesse vorhanden sind. Wenn dies alles einem Vorstandsmitglied überlassen wird, besteht die Gefahr, dass Themen übersehen oder übersehen werden. Es geht darum, eine unternehmensweite Kultur zu entwickeln.

Bereit für den Einsatz

Die Klarheit über die Verantwortlichkeiten sowohl für die Implementierung als auch für die Führung sollte die Umsetzung einer starken Cybersicherheitsstrategie mit unternehmensweitem Buy-In ermöglichen. Auf diese Weise wird es nicht als etwas angesehen, das vom IT-Team an und für die Organisation getan wird, sondern als etwas, das „für, mit und von“ der Organisation getan wird. Dieser Ansatz wird ihm helfen, von Anfang an Unterstützung in Wort und Tat zu erhalten.