Häufig missbrauchte Begriffe in der Cybersicherheit

Worte sind schwer. Englisch ist schwer. Wie wir es schaffen, alles zu kommunizieren, ist fast ein Wunder.

Manchmal wünschte ich, ich wäre Oscar Wilde oder Mark Twain oder einer der anderen großartigen Autoren, die in der Lage zu sein scheinen, mühelos einen Charakter oder ein Szenario zu beschreiben, damit sich der Leser perfekt vorstellen kann, was sie bedeuten.

Stattdessen befürchte ich, dass ich eher wie Shakespeare bin, der Wörter erfunden und andere so verdreht hat, dass sie seinem wahnsinnigen Maßstab entsprechen, so dass durchschnittliche Leute wie ich Schwierigkeiten haben, die beabsichtigten Bedeutungen zu verstehen (übrigens liebe ich Shakespeare).

Leider scheint mein gewähltes Feld mit Shakespeare-Kollegen gefüllt zu sein – Menschen, die Wörter verwenden, indem sie Buchstabensuppe an eine Wand werfen und die Ergebnisse lesen, als würde man Teeblätter lesen, nur mit weniger Genauigkeit.

Was bedeutet das wirklich?

Als ich die Cybersecurity-Begriffsdatenbank erstellte, die das Rückgrat des NIST Cybersecurity Glossary bildet, war ich erstaunt, wie viel Verwirrung selbst über allgegenwärtige Begriffe wie „Risiko“ und „Sicherheit“ herrschte. Es gibt immer noch keinen wirklichen Konsens darüber, was das Wort „Cybersicherheit“ bedeutet!

Daher habe ich eine Liste mit einigen häufig missbrauchten Begriffen im Bereich der Cybersicherheit zusammengestellt (dies sind inoffizielle Beschreibungen, die informativ sein sollen):

Daten vs. Informationen vs. Wissen

Daten wird normalerweise als die Bits und Bytes betrachtet, aus denen Informationen bestehen. Informationen verwandelt mehrere Bits und Bytes in etwas Nützliches. Ein Temperatursensor kann beispielsweise „102“ anzeigen, aber Informationen sagt uns, dass es 102 Grad Fahrenheit auf einem Temperatursensor sind, der sich im Mund eines Menschen befand. Wissen erlaubt Informationen in die Tat umzusetzen. Es sagt, dass 102 Grad Fahrenheit für einen Menschen viel zu heiß sind. Die Linien zwischen Daten , Informationen und Wissen sind verschwommen, aber es gibt einige, die diese Zeilen heftig argumentieren.

Bedrohung vs. Risiko

Eine Bedrohung wird entweder verwendet, um etwas Schlimmes zu bedeuten, das passieren könnte, oder eine Entität, die etwas Schlimmes verursachen kann (auch "Bedrohungsakteur" genannt). Risiko beinhaltet die Wahrscheinlichkeit, dass das Schlimme passieren könnte, und das/die mögliche(n) Ergebnis(e). Die Leute verwenden diese Wörter oft (fälschlicherweise) synonym.

Risikomanagement

Der Prozess der Reaktion auf das Potenzial, dass etwas Schlimmes passieren könnte. Grundsätzlich gibt es vier Möglichkeiten:Risiko akzeptieren, übertragen, vermeiden oder mindern. Je nachdem, mit wem Sie sprechen, gibt es mindestens acht Optionen, aber dies sind die traditionellen vier. Wenn eine Person für Cybersicherheit über Risikomanagement spricht, bezieht sie sich möglicherweise auf den im Risk Management Framework festgelegten Prozess.

Cybersicherheit

Im Grunde der Schutz von Computersystemen (einschließlich Netzwerken, dem Internet und allem „Smart“). Es wurde jedoch als Überbegriff verwendet, der auch Informationssicherheit, Datenschutz und Privatsphäre umfasst. Dieser Begriff wird sich wahrscheinlich weiter ändern, bis jemand angemessen erklären kann, was „Cyber“ ist.

Informationssicherung (oder Sicherheit)

Der Schutz von Fakten, Nachrichten, Wissen oder manchmal Daten in jeglicher Form – auf Papier, elektronisch, Steintafeln, Signalen, auswendig gelernt usw. Wird oft mit Cybersicherheit verwechselt und unter das Dach der Cybersicherheit gestellt.

Standard

Viele Leute benennen NIST-Sonderpublikationen fälschlicherweise als Standards, aber es ist etwas komplizierter. NIST entwickelt formale Standards – Federal Information Processing Standards (FIPS), wie zum Beispiel FIPS 200 und FIPS 140-3. NIST beteiligt sich auch an der Entwicklung von Industrie- und internationalen Standards. Das Wort Standard kann auch verwendet werden, um ein Qualitätsniveau oder eine akzeptierte Norm zu bezeichnen. Im letzten Fall werden NIST-Publikationen oft als Standard verwendet . Es ist ein subtiler Unterschied, aber ein wichtiger. Im Allgemeinen ist es jedoch am besten, NIST-Sonderpublikationen (SPs), interne/agenturübergreifende Berichte (IRs), Whitepaper oder irgendetwas anderes als einen FIPS-Standard nicht als Standard zu bezeichnen und verwenden Sie stattdessen die Begriffe „Veröffentlichung“, „Dokument“ oder „Leitfaden“.

Anforderungen vs. Kontrollen

Beide Begriffe können verwendet werden, um bestimmte Aktivitäten, Prozesse, Praktiken oder Fähigkeiten zu identifizieren, die eine Organisation haben oder tun kann, um ihr Cybersicherheitsrisiko zu managen. Steuerung kann obligatorisch sein oder nicht, während Anforderungen im Allgemeinen sind. Es ist immer am besten, zu überprüfen, welchen Begriff ein Dokument verwendet. Viele Leute beziehen sich beispielsweise auf die Anforderungen von NIST SP 800-171 als Kontrollen , was falsch ist.

Audit vs. Assessment

In der Cybersicherheit ist der Begriff Audit hat oft einen formelleren und negativeren Unterton als in einigen anderen Disziplinen. Prüfungen nach einem Vorfall wie einer Datenschutzverletzung (in der Regel ein internes Audit), auf Anfrage eines Kunden (in der Regel ein vom Kunden durchgeführtes externes Audit) oder zur Erlangung einer Zertifizierung (ein externes Audit) durchgeführt werden. Bewertungen sind in der Regel, aber nicht immer, eher wie ein freundlicher Gesundheitscheck. Die Beurteilungen können eine beliebige Anzahl von Aktivitäten umfassen und können eng oder weit gefasst sein und so streng sein, wie es das zu beurteilende Unternehmen wünscht oder der Situation angemessen ist. Eine Ausnahme von dieser allgemeinen Regel ist das Cybersecurity Maturity Model Certification (CMMC)-Programm, das das Wort Bewertung verwendet als formale Methode, mit der ein Unternehmen bewertet wird.

Compliance

Einhaltung bezieht sich in der Regel auf die Erfüllung einer Anforderung (intern oder extern, manchmal behördlich) und wird oft mit einer Zertifizierung oder Bescheinigung irgendeiner Art nachgewiesen. Die Leute verwenden oft Ausdrücke wie „NIST-konform“. Dies kann irreführend sein, da viele es so interpretieren, dass NIST eine Anforderung durchsetzt oder die Sicherheit der Produkte oder Prozesse eines Unternehmens zertifiziert oder bescheinigt. Was normalerweise mit „NIST-konform“ gemeint ist, ist, dass das Unternehmen die Praktiken und Verfahren in NIST-Publikationen verwendet hat, oft um bestimmte Anforderungen zu erfüllen. Dies kann zwar als Compliance angesehen werden Aktivität ist es im Allgemeinen am besten, Verwirrung zu vermeiden, indem Sie stattdessen angeben, welche Regel oder Anforderung Gegenstand der Konformität ist. Beispielsweise kann man NIST SP 800-171 befolgen, um DFARS-kompatibel zu sein. Eine Ausnahme hiervon bilden kryptografische Algorithmen und Module. In diesem Fall wird die korrekte Terminologie validiert und weist darauf hin, dass das Gesamtprodukt nicht hat offiziell bewertet.

Wörter im Englischen entwickeln sich fast so schnell wie Memes im Internet – eine Million Shakespeare-Anhänger bringen die englische Sprache zurück, um abgeschlachtet, manipuliert und in kaum wiedererkennbare Schriften gefaltet zu werden. Im Bereich der Cybersicherheit scheint dies mit rücksichtsloser Hingabe getan zu werden. Wenn Sie jedoch einige dieser Schlüsselbegriffe und ihre Verwendung verstehen, können Sie Ihre Cybersicherheitsanforderungen besser verstehen und kommunizieren.