Cybersicherheit ist jedermanns Aufgabe

Cyber-Risiken können nicht von der IT-Abteilung allein bekämpft werden, insbesondere dann nicht, wenn sie mit Anfragen außerhalb von Cybersicherheitsinitiativen konfrontiert werden. Ebenso kann eine Technologie, die nur einem einzigen Zweck dient, mehr schaden als nutzen. Da die Risikomanagement-Technologie auf unternehmensweite Risiken ausgerichtet ist, kann sie als unternehmensweite Lösung dienen – selbst wenn die geschäftlichen Herausforderungen, die gelöst werden müssen, wie die der IT, nicht unbedingt in den traditionellen Bereich des Risikomanagements fallen. Die zunehmenden Bedenken hinsichtlich der Cybersicherheit lassen IT-Abteilungen härter arbeiten als je zuvor. So hat beispielsweise Ransomware – Malware, die Daten verschlüsselt und für die Entschlüsselung ein Lösegeld verlangt – im Jahr 2016 um 6.000 Prozent zugenommen, wie eine IBM-Studie die Ende letzten Jahres veröffentlicht wurde.

Solche Statistiken verdeutlichen eine echte Belastung für die bereits überlasteten IT-Abteilungen. Sie sind nicht nur damit beschäftigt, Viren, Hacker, Ransomware und ähnliches zu bekämpfen, sondern müssen sich auch noch um die alltäglichen Aufgaben kümmern, die schon immer der IT-Abteilung oblagen.

Im dritten Quartal 2017 hat die National Association of Insurance Commissioners das Insurance Data Security Model Law verabschiedet. Das Modellgesetz, das nicht rechtsverbindlich ist wie ein erlassenes Gesetz, dient als „Rahmen, von dem aus die Versicherungsaufsichtsbehörden in jedem Staat ihre eigenen Cybersicherheitsregeln erstellen können“, so der Property and Casualty 360-Artikel „5 Dinge, die Sie über das neue Datensicherheitsmodellgesetz der NAIC wissen sollten„. Property Casualty 360 sagt, die fünf Dinge, die jeder über das Modellgesetz wissen sollte, sind:

  1. Die Landschaft der Cyberrisiken entwickelt sich weiter.
  2. Die Cybersicherheitsanforderungen des Staates New York für Finanzunternehmen haben das Modellgesetz der NAIC beeinflusst.
  3. Das Modellgesetz der NAIC unterscheidet sich von einem erlassenen Gesetz.
  4. Versicherungsunternehmen sollten sich an bestimmte Cybersicherheitspraktiken halten.
  5. Von den Vorständen der Unternehmen wird erwartet, dass sie die Führung übernehmen, wenn es um die Cybersicherheit geht.

Wenn Sie in Ihrer eigenen Abteilung für Risikomanagement oder in verwandten Abteilungen Effizienzsteigerungen anstreben, insbesondere durch Investitionen in Software oder Technologie, sollten Sie sich überlegen, wie eine solche Investition Ihren überlasteten IT-Mitarbeitern helfen könnte – sowohl aus der Perspektive der Sicherheit als auch der Effizienz.

Mit anderen Worten: Helfen Sie ihnen, Ihnen zu helfen.

Wie Sie die 3 großen IT-Herausforderungen bekämpfen

Angesichts der Tatsache, dass die Cybersicherheit heute eines der größten Risiken für Unternehmen darstellt, ist die integrierte Risikomanagement-Technologie ein natürliches Hilfsmittel, um dieses Risiko zu bekämpfen – auch wenn sie nicht direkt auf IT-Benutzer ausgerichtet ist. Im Folgenden finden Sie drei IT-Herausforderungen, bei deren Bewältigung integrierte Risikomanagement-Technologie helfen kann:

1. Sicherheit

Wir wissen bereits, dass der Schutz von Unternehmensdaten zu einer wichtigen Aufgabe von IT-Abteilungen. Daher wünschen sie sich Lösungen mit End-to-End-Sicherheit. The right risk management technology will automatically include the following controls, (just to name a few):

  • Passwortrichtlinien, die entsprechend den Kundenstandards definiert werden können, einschließlich Zeitüberschreitungen, Länge und Passwortstärke
  • Vom Kunden definierte/zugewiesene Sicherheitsrollen für Benutzer – bis hin zur Feldebene -, um unbefugten Zugriff auf jeden Teil Ihres Systems zu verhindern, einschließlich Objekte, Berichte, Seitenlayouts und Ansichten sowie bestimmte Felder
  • Serverschutz in erstklassigen Rechenzentren mit angemessenen physischen Zugangskontrollen
  • Firewalls mit streng kontrollierten Perimetern, Intrusion Detection Systemen und proaktiver Protokollüberwachung
  • Validierungsdienste von Dritten, die die Sicherheit der Software bescheinigen

2. Einhaltung

IT-Konformität ist eine spezielle Reihe von Aktivitäten, die sicherstellen, dass ein Unternehmen die Anforderungen vertraglicher Verpflichtungen und staatlicher IT-Vorschriften zum Schutz von Datenbeständen und -prozessen erfüllt. Wird diese Funktion nicht angemessen wahrgenommen, kann dies zu erheblichen Bußgeldern und Vertragsstrafen sowie zu Geschäftseinbußen führen.

Damit sich Ihre IT-Abteilung auf Initiativen zur Cybersicherheit konzentrieren kann, ist natürlich eine sichere Technologie erforderlich, die den höchsten Anforderungen entspricht. höchsten Standards die sowohl von internen als auch von behördlichen Stellen auferlegt werden.

Sie können jedoch die wichtige Aufgabe Ihrer IT-Abteilung, die digitale Umgebung Ihres Unternehmens zu schützen, noch weiter unterstützen, indem Sie ihr Lösungen vorstellen, die die Abteilung effizienter machen. So können sich die Mitarbeiter mehr auf die Cybersicherheit und weniger auf die administrativen Probleme konzentrieren, die mit dem Compliance-Risikomanagement verbunden sind.

Einige Funktionen der Risikomanagement-Technologie, die die IT-Abteilung schätzen könnte, sind einen vollständigen Prüfpfad für alle Compliance-Aktivitäten, einschließlich Bescheinigungen; ein unbegrenztes Asset-Register mit Beziehungen zur Definition von Standort, Besitz, Konfiguration, Software usw.; Lösungen, die vollständig an die Anforderungen Ihres Unternehmens angepasst werden können; und Berichte, die eine schnelle Identifizierung aller Instanzen eines beliebigen Asset-Typs ermöglichen.

3. Überlastung der Anwendung

Genau wie Den IT-Abteilungen mangelt es nicht an Herausforderungen, aber auch nicht an technologischen Anwendungen, die sie pflegen müssen. Vielmehr werden sie durch die Vielzahl der Anwendungen, mit denen ihre Unternehmen heute arbeiten, oft ausgebremst.

IT-Abteilungen verbringen sehr viel Zeit damit, die Anwendungen ihres Unternehmens zu aktualisieren oder zu modifizieren, damit sie überhaupt funktionieren, geschweige denn optimal zusammenarbeiten.

Aus diesem Grund kann die Investition in Lösungen, die die Anzahl der genutzten Anwendungen, insbesondere auf internen Servern, konsolidieren oder reduzieren, der IT-Abteilung enorme Effizienz verschaffen – und im Endeffekt die Sicherheitsrisiken verringern.

Weniger Zeit für die Verwaltung mehrerer Anwendungen könnte bedeuten, dass Sie mehr Zeit für die Cybersicherheit aufwenden müssen. Außerdem bedeuten weniger Anwendungen auch ein geringeres Risiko, dass eine oder mehrere dieser Anwendungen eine Sicherheitslücke verursachen oder die Compliance verletzen.

Integrierte Risikomanagement-Technologie ist so konzipiert, dass sie eine Vielzahl von Abteilungen und geschäftlichen Herausforderungen abdeckt – mit dem Ziel, eine einzige Quelle der Wahrheit für das gesamte Unternehmen zu sein.

Daher ist es ein idealer Kandidat, um eine ganze Reihe von Anwendungen zu ersetzen, von Risikomanagementsystemen für Unternehmen über Gesundheits- und Sicherheitsmanagementsysteme bis hin zu Risikomanagementsystemen für Lieferanten und Systemen für die Einhaltung von Vorschriften und Bestimmungen.

Technologie für das Risikomanagement ist von Natur aus so konzipiert, dass sie eine Vielzahl von Abteilungen und geschäftlichen Herausforderungen abdeckt. Genauso wie das Unternehmensrisiko breit gefächert ist, sind es auch die Lösungen, die in einem Risikomanagement-Informationssystem untergebracht sind. Tatsächlich kann die Risikomanagement-Technologie oft die folgenden Lösungen (und mehr) ersetzen, die von einigen Anbietern als Einzellösungen angeboten werden:

  1. Business Intelligence Analytik
  2. Risikomanagement-Systeme für Unternehmen
  3. Interne und betriebliche Auditsysteme
  4. Gesundheits- und Sicherheitsmanagementsysteme
  5. Compliance und regulatorische Managementsysteme
  6. Risikomanagement-Systeme für Lieferanten
  7. Business Continuity Systeme

Das ist natürlich der Kernpunkt, wenn es darum geht, die IT effizienter und damit auch sicherer zu machen.

Datenschutzverletzungen, das größte Risiko für Unternehmen

Equifax, eine US-Kreditauskunftei, gab Ende letzter Woche den Vorfall bekannt, der die Aktie um bis zu 14 Prozent abstürzen ließ. Der Ankündigung zufolge nutzten Kriminelle eine Schwachstelle in einer US-Website aus, um an Informationen zu gelangen – darunter Namen, Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen auch Führerschein- und Kreditkartennummern. Equifax ist zwar insofern einzigartig, als sein gesamtes Geschäftsmodell im Wesentlichen auf hochsensiblen Kundendaten beruht, aber die meisten Unternehmen haben solche Daten entweder über ihre Kunden oder über ihre Mitarbeiter gespeichert – vor allem, wenn es um persönliche Versicherungs- und Schadensdaten geht, von denen ein großer Teil mit den Informationen übereinstimmt, die bei Equifax beschlagnahmt wurden. Das bedeutet, dass eigentlich kein Unternehmen zu vorsichtig sein kann. Cybersicherheit wird immer wieder als Top-Risiko für Unternehmen genannt – laut einem Bericht des Center for Strategic and International Studies mit dem Titel „Net Losses “ kostet die Cyberkriminalität die Weltwirtschaft jährlich schätzungsweise 445 Milliarden Dollar : Schätzung der globalen Kosten von Cyber-Kriminalität“. In diesem unglücklichen Umfeld, in dem Cyber-Angriffe eher ein „wenn“ als ein „aber“ sind, suchen Unternehmen natürlich nach Möglichkeiten, die Auswirkungen eines Cyber-Sicherheitsverstoßes auf ihr Unternehmen zu minimieren. Natürlich denken Unternehmen daran, sich an eine Versicherung zu wenden, um potenzielle Schäden zu reduzieren, aber der Abschluss von Cyber-Haftpflichtpolicen ist keine einfache Aufgabe, da die Versicherer nach Angaben der National Association of Insurance Commissioners (NAIC) Schwierigkeiten haben, diese Risiken korrekt zu zeichnen. Dennoch brauchen Unternehmen Standards und Prozesse, um Cyber-Risiken und die damit verbundenen Schäden zu reduzieren – sowohl für die Risikominderung als auch für den Abschluss von Cyber-Haftpflichtversicherungen. Laut NAIC werden die Versicherer wahrscheinlich Zugang zu den Katastrophenschutzplänen der Unternehmen haben wollen, um das Risikomanagement von Netzwerken, Websites, physischen Vermögenswerten und geistigem Eigentum bewerten zu können, sowie Details darüber, wie Mitarbeiter und andere Personen auf Datensysteme zugreifen können, und Informationen über Antiviren- und Anti-Malware-Software, die Häufigkeit von Updates und die Leistung von Firewalls.

4 Fragen, die Sie Anbietern zur Cybersicherheit stellen sollten

Die richtige Technologie für das Risikomanagement kann tatsächlich bei mehreren Teilen des Puzzles der Cybersicherheit helfen, mit dem Unternehmen heute konfrontiert sind – insbesondere bei der Entlastung Ihrer IT-Abteilung und der Verbesserung Ihrer Reaktionsprozesse im Katastrophenfall. Eine wirklich integrierte Technologie für das Risikomanagement kann beispielsweise unzählige Anwendungen ersetzen (von Lösungen für das Risikomanagement im Unternehmen und Sarbanes-Oxley, über Lösungen für das Schadenmanagement und die Einhaltung von Vorschriften und Bestimmungen bis hin zu Lösungen für das Gesundheits- und Sicherheitsmanagement). Da weniger Anwendungen oder Systeme verwaltet werden müssen und Ihr interner Server weniger belastet wird, hat Ihre IT-Abteilung möglicherweise sogar mehr Zeit, sich auf umfassendere und wirkungsvollere Maßnahmen zur Cybersicherheit zu konzentrieren. Dies ist nur die Spitze des Eisbergs, was die Risikomanagement-Technologie für Ihre IT-Abteilung und die Cybersicherheit leisten kann. Was die Notfallpläne betrifft, so kann die Risikomanagement-Technologie den gesamten Prozess der Notfallreaktion automatisieren: Sollte es zu einer Verletzung der Cybersicherheit kommen, kann das System automatisch den Notfallplan in Gang setzen und die Beteiligten über das Ereignis und die nächsten Schritte informieren, die die Verantwortlichen unternehmen müssen. Ein gut geölter und rechtzeitiger Ansatz hilft nicht nur beim Reputationsmanagement in solchen Szenarien, sondern auch bei der Einhaltung von Vorschriften, da die Anforderungen an den Umgang mit Daten und nachfolgenden Verstößen weltweit steigen. Technologie für das Risikomanagement hilft Unternehmen bei der Bewältigung der zahlreichen Risiken, mit denen sie heute konfrontiert sind, einschließlich der Cybersicherheit. Cybersicherheit ist ein Thema, das Unternehmen nicht auf die leichte Schulter nehmen dürfen – weder intern noch bei ihren Anbietern. Cyberkriminalität kostet die Weltwirtschaft jährlich schätzungsweise 445 Milliarden Dollar, so ein Bericht des Center for Strategic and International Studies mit dem Titel „Net Losses: Schätzung der globalen Kosten von Cyber-Kriminalität“. Unabhängig davon, welche Art von Technologie Sie in Ihrem Unternehmen einsetzen und welche Funktion sie erfüllen soll – ob es sich um die Verwaltung von Risiken, Inhalten, Kunden usw. handelt – müssen Sie sicherstellen, dass sie sicher ist und dass der Anbieter der unterstützenden Technologie über die besten Verfahren für die Cybersicherheit verfügt. Im Folgenden finden Sie vier Fragen, die Sie jedem Technologieanbieter stellen sollten, der Ihnen Software-as-a-Service anbietet oder Ihre Daten verarbeitet, um sicherzustellen, dass er die Cybersicherheitsrisiken für Ihr Unternehmen minimiert:

  1. Ist Ihr Unternehmen für die Datensicherheit zertifiziert (d.h. SSAE-16 Typ 1 und Typ 2, SOC-2 usw.)?
  2. Was tut Ihr Unternehmen über die Zertifizierung hinaus, um auf neue Bedrohungen vorbereitet zu sein?
  3. Verfügt Ihr Unternehmen über Teams für Cybersicherheit?
  4. Verfügen Ihr Unternehmen oder Ihre Partner über einen eigenen Versicherungsschutz für Cybersicherheit?

Diese Fragen sind sicherlich relevant, wenn Sie mit Anbietern von Risikomanagement-Technologien zusammenarbeiten, da Risiko-, Versicherungs- und Schadendaten sehr sensibel sein können.

Wie Sie die richtigen Lösungen auswählen

Wie können Sie den Hype durchschauen und in die Lösungen investieren, die letztendlich den größten Unterschied in Ihrem gesamten Unternehmen ausmachen – einschließlich des Risikomanagements -, so dass Ihre Risikoabteilung, die IT-Abteilung, die Beschaffung und die Unternehmensführung das Gefühl haben, dass sie den größten Nutzen für ihr Geld erhalten? Der Gartner-Hype-Zyklus für das Risikomanagement1 beschreibt die damit verbundenen Dienstleistungen, Softwareplattformen, Anwendungen, Methoden und Tools, die Unternehmen nutzen können, um Programme zu entwickeln um Risikoereignissen zu widerstehen oder um risikobezogene Chancen zu nutzen.“

Unternehmen können dann entscheiden, ob sie am besten geeignet sind, die Technologie frühzeitig zu übernehmen, einen moderateren Ansatz zu wählen oder zu warten, bis die Technologie vollständig ausgereift ist, bevor sie investieren.

Gartner-Kunden können den 2017 Gartner Hype Cycle for Risk Management hier abrufen.

Der jüngste Gartner Hype Cycle für Risikomanagement unterstreicht den Reifegrad von Lösungen und Anwendungen für Kategorien wie Integriertes Risikomanagement, digitales Risikomanagement, IT-Risikomanagement, prädiktive Analytik, End-to-End-Risikomanagement, Unternehmens-Compliance und -Überwachung, und viele mehr.

Es wird zwar nicht auf spezifische Technologielösungen bestimmter Anbieter eingegangen, aber es werden neben den vorgestellten Lösungskategorien auch Beispiele von Anbietern (einschließlich Riskonnect) aufgeführt.

Tools wie der Gartner Hype Cycle for Risk Management können Sie bei Ihrer Due Diligence unterstützen.

Wenn Sie den Umfang der verfügbaren Lösungen kennen und wissen, ob sie den Reifegrad erreicht haben, der für Ihr Unternehmen sinnvoll ist, können Sie bessere Entscheidungen treffen und bessere Ergebnisse erzielen.

Erfahren Sie mehr über die Risikomanagement-Technologielösungen von Riskonnect, die mit den Lösungen des Gartner Hype Cycle for Risk Management übereinstimmen, darunter: Integriertes Risikomanagement prädiktive Analytik, End-to-End-Risikomanagement und Unternehmens-Compliance und -Überwachung.

Die richtige Technologie für das Risikomanagement sollte nicht nur sicher sein, sondern auch dazu beitragen, dass Ihr Cybersicherheitsprogramm funktioniert. Eine wirklich integrierte Technologie für das Risikomanagement kann beispielsweise Ihre IT-Abteilung von der Verwaltung so vieler Anwendungen entlasten, den Wiederherstellungsprozess im Falle eines Sicherheitsverstoßes rationalisieren oder bei der Vorbeugung und Einhaltung von Vorschriften helfen, indem sie die Anforderungen an die Cybersicherheitsschulung sowie den Abschluss der Mitarbeiterschulungen verfolgt.

Fazit

Zusammenfassend lässt sich sagen, dass es zwar wichtig ist, die Cybersicherheitspraktiken Ihrer Anbieter angemessen zu prüfen, aber vergessen Sie nicht, auch Ihrer internen IT-Leitung die oben erwähnten Fragen zu stellen. Ironischerweise stellen Unternehmen oft fest, dass sie genau die Anforderungen an die Datensicherheit nicht erfüllen, die sie von ihren Anbietern während des Beschaffungs- oder Implementierungsprozesses verlangen. Cyber-Risiken stehen heute ganz oben auf der Tagesordnung, da immer mehr Unternehmen Opfer von teuren und schädlichen Datenschutzverletzungen werden. Bereiten Sie sich auf dieses Risiko – und viele andere – mit Hilfe von Risikomanagement-Technologie vor. 1 Gartner, Hype Cycle for Risk Management, 2017, Juli 2017

Gartner unterstützt keinen der in seinen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und rät Technologieanwendern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Bezeichnungen auszuwählen. Die Forschungspublikationen von Gartner geben die Meinung der Forschungsorganisation von Gartner wieder und sollten nicht als Tatsachenbehauptungen ausgelegt werden. Gartner lehnt jede ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Studie ab, einschließlich jeglicher Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. .