8 Punkte, die beim Erstellen einer Cybersicherheitsrichtlinie

In Teil 1 unserer Serie über die Schaffung einer robusten Cyber-Sicherheitspolitik haben wir uns mit Themen wie Mitarbeiterschulung, Cybersicherheitsprioritäten und Fokussierung, Überwachung und Aktualisierung usw. befasst.

Ist die Cybersicherheitspolitik mit der Geschäftsstrategie abgestimmt?

Viele Unternehmen behandeln Cybersicherheit ausschließlich im Zuständigkeitsbereich der IT-Abteilung. Dies kann dazu führen, dass die Cybersicherheit hinter den Plänen zurückbleibt, die von den Geschäftsbereichen erstellt und ausgeführt werden, was dazu führt, dass Sicherheitsrichtlinien immer nicht mehr synchron sind und aufholen, anstatt integraler Bestandteil der Planung zu sein.

Welche Bedeutung messen Vorstände oder Führungskräfte der Cybersicherheit?

Is it something that is discussed in Board meetings? Ist es etwas, das Teil der Key Performance Indicators der Geschäftsbereiche ist? Weil es sein sollte. Die KPIs sollten nicht nur die Einnahmen verfolgen, sondern auch Risiken, und dies schließt Dinge wie regulatorische Versäumnisse oder digitale Sicherheitsverletzungen usw. ein.

Wie sieht der zukünftige digitale Fußabdruck des Unternehmens aus?

Unternehmen und Einzelpersonen verlassen sich zunehmend mehr auf Drittanbieter, manchmal ohne es zu merken. Jedes Mal, wenn wir einen webbasierten Dienst wie ein Online-Buchhaltungstool oder sogar Google Docs verwenden, senden wir unsere Informationen an Dritte. Daran ist nichts auszusetzen, aber solche externen Abhängigkeiten sollten Teil der gesamten Cybersicherheitspolitik sein.

Übertrumpft Funktionalität die Sicherheit?

Sind wir bereit, Bei der Sicherheit Kompromisse einzugehen, wenn dies zu einem funktionalen Engpass führt?

Werden die Politiken universell angewandt?

In den meisten Gründen sind Sicherheitsverletzungen nicht das Ergebnis einer unzureichenden Politik, sondern vielmehr, dass die Richtlinie nicht vollständig umgesetzt wurde. Eine Richtlinie kann z. B. verlangen, dass der Benutzerzugriff auf bestimmte Anwendungen nur auf Geschäftsleiter beschränkt wird, aber dann delegiert sie häufig ihre Autorität oder teilt sogar Anmeldeinformationen für Mitarbeiter.

Wie streng sind unsere Kontrollen durch Dritte?

Es ist nicht ungewöhnlich, dass Drittanbieter Zugriff auf bestimmte wichtige Daten haben, die für ihre Funktion erforderlich sind. Viele Datenschutzverletzungen, die große Unternehmen betreffen, passieren nicht direkt, sondern durch ihre Anbieter. Böswillige Akteure sind sich voll und ganz bewusst, dass kleine Drittanbieter die schwächsten Glieder sind, und das ist, wo sie sich konzentrieren.

Wie stark ist unsere Überwachung und Wachsamkeit?

Wie lange würde es dauern, bis wir feststellen, ob es überhaupt zu einem Verstoß gekommen ist?

Wie effektiv ist unsere Reaktion?

Im Grunde ist nichts hundertprozentig sicher. Sogar Militärabteilungen werden gelegentlich gehackt. Daher sollten alle Unternehmen einen Antwortplan im Voraus erstellen lassen, anstatt nach einem zu suchen, wenn ein Verstoß eintritt. Dieser Reaktionsplan sollte Dinge wie eine Backup-Notfallfähigkeit, auf die sie zurückgreifen können, einen Plan zur Kommunikation mit relevanten Stakeholdern, einschließlich Kunden, und eine Möglichkeit, sicherzustellen, dass genügend Beweise über die Verletzung aufgezeichnet werden.

Senden Sie Ihren Lebenslaufoder Suchaufträge, um mehr über die Rollen zu erfahren, die wir derzeit zur Verfügung haben.

Senden Sie uns Ihre Freie Stelle und einer unserer Berater wird in Kontakt sein, um Ihre Anforderungen zu besprechen und wie wir Ihnen helfen können.

Unser Renaix Future of Finance Report informiert über Trends in der Branche.

Ähnliche Beiträge: Renaix-Leitfaden für IT-Audit und Cybersicherheit, Machen Sie diese acht gemeinsamen Cybersicherheits- und Datenrisikofehler