5 Fragen an Ihren Cybersicherheitsexperten

Fast wöchentlich hören wir von einem anderen Unternehmen oder einer anderen Organisation, die Opfer eines Cyberangriffs geworden sind. Wir wissen, dass Cyberkriminelle hartnäckiger sind und wir beim Schutz von Informationen sorgfältiger vorgehen müssen.

Ich denke, in unserem Privatleben versuchen die meisten von uns, vorsichtiger zu sein. Vorbei (hoffe ich) sind die Zeiten, in denen jedes unserer persönlichen Passwörter auf 123456 gesetzt wurde. Dennoch scheinen wir nicht die gleiche Sorge ins Büro zu tragen. Da unser IT-Profi unsere Cybersicherheit sicher im Griff hat, sollte ich mir keine Sorgen machen… oder?

Tatsache ist, dass wir als Mitarbeiter eine entscheidende Rolle beim Schutz des Unternehmens spielen, für das wir arbeiten, und es braucht nur einen falschen Klick, um ein Unternehmen zu gefährden. Eine kürzlich von Willis Towers Watson durchgeführte Studie ergab, dass 90 Prozent der Ansprüche auf Cyber-Vorfälle auf menschliches Versagen oder Verhalten zurückzuführen sind. Hier sind fünf Fragen und Antworten, die Sie auf Ihrem Weg zur Erhöhung der Sicherheit Ihres Unternehmens unterstützen.

1. Was sind die größten Cyberrisiken, denen mein Unternehmen ausgesetzt ist?

Das Risiko eines Unternehmens variiert je nach seiner einzigartigen Betriebsumgebung erheblich, sodass viele Dinge zu bewerten und zu berücksichtigen sind.

Haben Sie viele Mitarbeiter, die E-Mail verwenden? Spear-Phishing könnte für Sie ein großes Risiko darstellen. Ist jedes Gerät mit einer IP-Adresse in Ihrem Shopfloor gesichert? Andernfalls könnten bösartiger Code, unbefugter Zugriff und unbefugte Nutzung oder Datenexfiltration die größten Risiken darstellen.

Die Durchführung von Cybersicherheits-Risikobewertungen sollte ein wichtiger Bestandteil des Informationssicherheits-Managementprogramms Ihres Unternehmens sein. Jeder weiß, dass mit den kritischen und sicheren Daten, Informationsressourcen und Einrichtungen eines Unternehmens ein gewisses Risiko verbunden ist. Aber wie quantifizieren und bereiten Sie sich auf dieses Cybersicherheitsrisiko vor? Der Zweck einer IT-Sicherheitsrisikobewertung besteht darin, festzustellen, welchen Sicherheitsrisiken die kritischen Assets Ihres Unternehmens ausgesetzt sind und wie viel Geld und Aufwand für deren Schutz aufgewendet werden sollten.

Das NIST Risk Management Framework (RMF) ist eine großartige Ressource für den Einstieg. Der RMF bietet einen strukturierten und dennoch flexiblen Ansatz für das Management des Risikoanteils, der sich aus Systemen ergibt, die Ihr Unternehmen kontrollieren kann, und  Geschäftsprozessen Ihrer Organisation.

2. Ist es in Ordnung, einen Passwortmanager zu verwenden?

Obwohl die Verwendung eines Passwort-Managers für Ihre persönlichen Online-Konten eine hervorragende Möglichkeit ist, sicher zu bleiben, denken Sie daran, die Richtlinien Ihres Unternehmens zu überprüfen, bevor Sie Software bei der Arbeit verwenden.

Passwortmanager können Ihnen dabei helfen, Ihre Passwörter zu speichern und für jede Site eindeutige Passwörter zu generieren. Es ist jedoch riskant, alle Ihre Passwörter an einem Ort aufzubewahren. Es ist wichtig zu wissen, wie Ihre Passwörter geschützt sind und ob sie verschlüsselt sind. Es sind verschiedene kommerzielle Produkte erhältlich, die mit mehreren Geräten und Browsern funktionieren, also recherchieren Sie, um eines zu finden, das Ihren Anforderungen am besten entspricht.

3. Erfüllt mein Unternehmen führende Informationssicherheits-Frameworks oder -Standards und muss es dies tun?

Der Schutz Ihres geistigen Eigentums und sensibler Kunden- und Mitarbeiterinformationen kann Ihnen und Ihren Kunden Sicherheit geben. Es ist auch eine solide Geschäftspraxis, wenn man sich die finanziellen Auswirkungen, den Produktivitätsverlust und den Vertrauensverlust ansieht, die ein Cyberangriff Sie kosten kann.

Für Unternehmen in der Lieferkette des Verteidigungsministeriums (DoD) ist ein solcher Schutz ein absolutes Muss. Diese Unternehmen müssen die Mindestsicherheitsstandards der Defense Federal Acquisition Regulation Supplement (DFARS) erfüllen oder riskieren, ihre DoD-Verträge zu verlieren.

Hier sind einige Beispiele für Sicherheitsframeworks oder -standards, die Ihnen helfen können, Ihr Risiko zu verstehen und zu mindern:NIST Cybersecurity Framework, NIST SP 800-53 – Security and Privacy Controls for Information Systems and Organizations, das NIST MEP Cybersecurity Self-Assessment Handbook und die Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS). Es ist leicht zu verwechseln, auf welches Dokument Sie verweisen sollten, daher hier ein wenig mehr Informationen zu jedem:

• Das Framework ist im Vergleich zu NIST SP 800-53, einem Katalog von Sicherheits- und Datenschutzkontrollen, höherwertiger (und prägnanter). Das Framework ist für Führungskräfte und Entscheidungsträger, die möglicherweise keinen technischen Hintergrund haben, leichter zu handhaben. Es konzentriert sich auch auf die Bewertung und Priorisierung von Sicherheitsfunktionen und verweist auf vorhandene Dokumente wie NIST SP 800-53, das am besten von technischen Mitarbeitern verwendet wird, die die Sicherheit implementieren und die detaillierteren Informationen darüber kennen, welche Kontrollen ausgewählt und implementiert werden müssen.
• Das NIST MEP Cybersecurity Self-Assessment Handbook hilft Ihrem Unternehmen, die Sicherheitsanforderungen von NIST SP 800-171 als Reaktion auf die DFARS-Cybersicherheitsanforderungen einzuhalten. Das Handbuch bietet eine schrittweise Anleitung zur Bewertung der Informationssysteme eines kleinen Herstellers anhand der Sicherheitsanforderungen in NIST SP 800-171 Rev. 1, „Schutz kontrollierter nicht klassifizierter Informationen in nichtföderalen Systemen und Organisationen“.

• Der Payment Card Industry Data Security Standard (PCI DSS) ist ein weithin akzeptierter Satz von Richtlinien und Verfahren zur Optimierung der Sicherheit von Kredit-, Debit- und Geldkartentransaktionen. Der PCI DSS wurde 2004 von Visa, MasterCard, Discover und American Express entwickelt. Die Aufrechterhaltung der Zahlungssicherheit ist für alle Unternehmen erforderlich, die Karteninhaberdaten speichern, verarbeiten oder übermitteln. Die Verletzung oder der Diebstahl von Karteninhaberdaten betrifft das gesamte Zahlungskarten-Ökosystem. Einige Beispiele für Auswirkungen auf Ihr Unternehmen sind der Verlust des Kundenvertrauens, Umsatzeinbußen, Verluste durch Betrug, Anwaltskosten, Geldstrafen und die Beendigung der Fähigkeit, Zahlungskarten zu akzeptieren. Die Einhaltung der PCI DSS-Compliance ist für den langfristigen Erfolg eines Unternehmens, das Kartenzahlungen verarbeitet und Cyber-Abwehrmaßnahmen gegen Angriffe zum Diebstahl von Karteninhaberdaten bereithält, von entscheidender Bedeutung. Die meisten kleinen Unternehmen können ein Selbstvalidierungstool verwenden, um das Sicherheitsniveau der Karteninhaberdaten zu bewerten.

4. Was ist die Zwei-Faktor-Authentifizierung und wie aktiviere ich sie? Warum sind Passwörter nicht gut genug?

Die Zwei-Faktor-Authentifizierung (2FA) ist eine zusätzliche Sicherheitsebene, die verwendet wird, um sicherzustellen, dass Sie der sind, für den Sie sich ausgeben. Das Problem besteht darin, dass allein Benutzernamen und Passwörter leicht zu erraten sind und die Benutzer dieselben Passwörter für mehrere Websites verwenden. Öffentlich bekannt gegebene Vorfälle zeigen, dass jede Minute 5.518 Datensätze durchgesickert sind.

2FA verhindert, dass andere Personen problemlos auf Ihre Konten zugreifen können. Wenn 2FA aktiviert ist, geben Sie Ihren Benutzernamen und Ihr Passwort auf der Anmeldeseite ein. Anstatt sofort Zugang zu erhalten, müssen Sie dann eine weitere Information angeben. Dieser zweite Faktor könnte einer der folgenden sein:

• Etwas, das Sie wissen – eine persönliche Identifikationsnummer (PIN), eine Passphrase oder Antworten auf geheime Fragen.
• Etwas, das Sie haben – eine Kreditkarte, eine Schlüsselkarte, ein Smartphone, ein Hardware- oder Software-Token oder eine Benachrichtigung von der Website.
• Etwas Sie sind – ein biometrisches Muster eines Fingerabdrucks, Iris-Scans oder Stimmabdrucks.

Wenn Sie sich nicht sicher sind, ob Ihre Websites oder Apps über 2FA verfügen, besuchen Sie TwoFactorAuth.org, um dies herauszufinden.

Schalten Sie 2FA für alle Konten ein. Sehen Sie sich die Schritt-für-Schritt-Anleitung von Telesign zum Aktivieren von 2FA an:https://www.turnon2FA.com.

5. Gibt es ein Genehmigungsverfahren für den Kauf von Anwendungen, die meiner Meinung nach für meine Arbeit nützlich wären?

Die meisten Unternehmen haben Richtlinien zum Kauf von Software (entweder verpackt/online oder extern in der Cloud gehostet). Es ist wichtig zu wissen, welche Anwendungen Sie sofort verwenden können und welche möglicherweise weitere Untersuchungen erfordern, um sicherzustellen, dass sie für Ihre Verwendung und die darin verarbeiteten und/oder gespeicherten Daten sicher genug sind. Wissen Sie, was erforderlich ist, und arbeiten Sie mit Ihrem Cybersicherheitsexperten zusammen, um die erforderlichen Prozesse durchzuführen, um sicherzustellen, dass die Informationen ordnungsgemäß geschützt werden.

Wenn Sie Ihr Cybersicherheitsrisiko besser verstehen möchten, können Sie das MEP National Network ^TM . verwenden Tool zur Selbstbewertung der Cybersicherheit. Wenn Sie Fragen haben oder mit einem Cybersicherheitsexperten sprechen möchten, wenden Sie sich an Ihr lokales MEP National Network Center.