1.2 - Risikointelligenz als Grundlage: die zehn Datenfaktoren

Episode 2 der dreiteiligen Serie über: Cyber-Risikomanagement, neu aufgesetzt: Von ISO 27005 bis in den Vorstand

Was Christophe Forêt und Neil MacGowan behandelt haben:

  • Identifizieren Sie die 10 wichtigsten Datenfaktoren des datengesteuerten Risikomanagements (DDRM) — und welche davon am wichtigsten sind
  • Nutzen Sie Ihre vorhandenen Daten, um eine kohärente, durchgängige Datenkette aufzubauen
  • Bestimmen Sie, welche Faktoren für die Risikoposition Ihres Unternehmens am kritischsten sind
  • Skalieren Sie Ihre Datenkette effektiv, mit zunehmender Reife Ihres Programms

Dieses zweite Webinar in der dreiteiligen Webinar-Reihe von C-Risk konzentriert sich darauf, wie man ein datengesteuertes Risikomanagementprogramm unter Verwendung bereits vorhandener Daten aufbaut, indem bestehende Datensätze zu einer kohärenten Risikodatenkette verknüpft werden. Die Sitzung betont eine zentrale Prämisse: Die meisten Cyber-Risikoprogramme mögen für Auditoren verteidigbar sein, aber sind für Vorstände nicht nützlich, und der heutige Fokus liegt auf der Datenarchitektur, die erforderlich ist, um die Risikobewertung für die Entscheidungsfindung der Geschäftsleitung aussagekräftig zu machen.

Wichtige Diskussionspunkte

- Zunächst keine neuen Daten nötig: Die meisten Organisationen verfügen bereits über relevante Eingangsdaten (Asset-Inventar, Schwachstellendaten, Bedrohungsanalysen, Incident-Protokolle, Auditergebnisse, Bewertungen Dritter), aber sie sind in Silos gespeichert und nicht in ein Risikomodell integriert.

- 10 wichtige Datenfaktoren existieren, sind aber nicht „verknüpft“: Das Webinar stellt 10 Datenfaktoren vor und erklärt, wo diese typischerweise zu finden sind (z.B. CMDB, Attack Surface Tools, GRC/Kontroll-Frameworks, Schwachstellenmanagement-Tools, Incident-/Ticketing-Systeme, TPRM-Tools, Beschaffungsfragebögen).

- Die Datenfaktoren gliedern sich in fünf konzeptionelle Kategorien: Das Webinar gliedert die 10 Faktoren in:

  • Geschäftskontext/-wert und Kritikalität,
  • offene Angriffsfläche und Bedrohungslandschaft,
  • Fähigkeit und Performance der Abwehrmaßnahmen,
  • Schwächen/Schwachstellen und Feststellungen,
  • weiteres Ökosystem, einschließlich Drittanbieterlandschaft und Historie.

- Warum Bewertungen bei Null anfangen: Das „Verdrahtungsproblem“ wird beschrieben als primär organisatorisch, nicht technisch.

Hauptursachen:

  • inkonsistente oder inkompatible Einheiten (Äpfel mit Birnen),
  • organisatorische Nahtstellen (Daten, die isoliert besessen/verwaltet werden),
  • mehrere Anwendungsfälle wiederholtes Neuaufbauen der Datenkette.

- Praxisbeispiel für die Auswirkungen: Es wird ein Fall zitiert, in dem Compliance-Daten zwar vorhanden waren, das tatsächliche Geschäftsrisiko jedoch nicht modelliert wurde, was zu erheblichen betrieblichen Auswirkungen führte (Beispiel Jaguar Land Rover), mit der Implikation, dass eine bessere Datenverknüpfung die Entscheidungen über Wahrscheinlichkeit und Ausmaß hätte verbessern können.

- Architektur-zuerst-Ansatz (3 architektonische Entscheidungen):

  • wählen Sie eine maßgebliche Quelle pro Datenfaktor (einschließlich der Eigentümerschaft als „politische“ Entscheidung),
  • definieren Sie die Aktualisierungsfrequenz abgestimmt darauf, wie schnell sich jeder Faktor ändert,
  • sicherstellen skalierbare Integration (APIs bevorzugen; manuelle Aktualisierung nur als letztes Mittel mit benannten Verantwortlichen).
  • Die meisten DDRM-Programme scheitern aufgrund der Tool-Auswahl: Eine wichtige Warnung ist, dass die Auswahl eines Tools vor architektonischen Entscheidungen zu einer durch das Tool geprägten Architektur führt, anstatt des erforderlichen kohärenten Modells.

> Wiederholung ist verfügbar: hier

1.3 - Von Szenarien zur Risikobereitschaft des Vorstands: die L2-Taxonomie, die die Governance verändert

Am 18. Juni werden Neil MacGowan und Marco Bresciani die dritte Folge der Serie moderieren: Von Szenarien bis zur Risikobereitschaft des Vorstands: Die L2-Taxonomie, die die Governance verändert.

Cyber-Risiko wird oft isoliert betrachtet und in Reifegradbewertungen und Heatmaps dargestellt, die sich nicht in die Sprache übersetzen lassen, die der Rest des Unternehmens für Risiken verwendet.

Die Quantifizierung von Cyber-Risiken liefert Erkenntnisse, auf die Entscheidungsträger und Führungskräfte reagieren können: finanzielles Risiko, Behandlungsoptionen nach Kosten und Nutzen verglichen, Szenarien, die zur Risikobereitschaft passen. So betrachten sie bereits jedes andere Risiko im Unternehmensregister.

Was Sie lernen werden:

  • Wie man quantifizierte Cyber-Risiken Führungskräften, dem Vorstand und dem ERM in einer Form präsentiert, die sie bereits verwenden
  • Wie man Cyber-Szenarien der Risikobereitschaft des Unternehmens zuordnet
  • Wie man CRQ-Ergebnisse nutzt, um Behandlungs- und Investitionsentscheidungen zu untermauern
  • Wie man CRQ-Ergebnisse in bestehende Governance- und Berichtszyklen integriert

Anmeldung: hier.

Lorem

Lorem ipsum dolor sit amet, consectetur adipiscing elit.

Voir toutes les vidéos
No items found.