Endlich haben Sie das Budget für Cybersicherheit erhalten, für das Sie sich stark eingesetzt haben, aber wofür geben Sie es aus? Wie bei jedem Budget ist es wichtig, die Bereiche auszuwählen, in denen das meiste Geld investiert werden kann. Eine sorgfältige Analyse der Entwicklungen in der Cybersicherheitslandschaft wird Ihnen helfen, die richtige Entscheidung für Sicherheitsausgaben zu treffen.
Hier ist der MetaCompliance-Leitfaden, der Ihnen zeigt, wofür Sie Ihr Budget für Cybersicherheit ausgeben sollten.
Wofür Sie Ihr Budget für Cybersicherheit ausgeben sollten
Einem Bericht von McKinsey zufolge sind die Budgets knapp bemessen, aber 2021 wollen 70 % der CISOs ihr Budget für Cybersicherheit deutlich erhöhen. Cyberangriffe auf Unternehmen aller Größen und Branchen machen es erforderlich, die Schotten dicht zu machen und unsere IT-Systeme gegen Hacker zu schützen. MetaCompliance hat fünf Schlüsselbereiche untersucht, die ein hart erkämpftes Cybersicherheitsbudget wert sind:
1. Schulung zum Sicherheitsbewusstsein und Phishing-Schulung
Vorbeugen ist billiger als heilen, wenn es um den Schaden geht, den Cyberangriffe verursachen können. Nehmen Sie zum Beispiel Ransomware als Beispiel. Der Sophos-Bericht "State of Ransomware 2021" stellt fest, dass sich die Kosten für die Behebung eines Ransomware-Angriffs in den letzten 12 Monaten auf durchschnittlich 1,85 Millionen US-Dollar verdoppelt haben.
Ransomware wird häufig über Phishing-E-Mails verbreitet. Ein Bericht von Egress aus dem Jahr 2021 unterstreicht, dass 95 % der IT-Leiter glauben, dass Daten über den E-Mail-Kanal gefährdet sind. Der Bericht stellt auch fest, dass 83 % der Unternehmen in den letzten 12 Monaten eine Datenverletzung per E-Mail erlitten haben, wobei 24 % der Verletzungen durch einen Mitarbeiter verursacht wurden, der versehentlich Daten weitergegeben hat. Der Mensch in der Maschine ist ein Risikopunkt, der dringend angegangen werden muss.
Die Schulung der Mitarbeiter im gesamten Unternehmen in Fragen der Cybersicherheit, einschließlich des Datenschutzes, ist ein grundlegender Schritt zur Verringerung des Cybersicherheitsrisikos. Schulungen zum Sicherheitsbewusstsein können auf das Profil Ihres Unternehmens zugeschnitten werden. Mitarbeiter, die auf Phishing-Köder hereinfallen, können auch mit speziellen Anti-Phishing-Schulungsprogrammen angegangen werden, die den Mitarbeitern beibringen, wie sie denken, bevor sie auf einen bösartigen Anhang oder Link klicken.
2. Governance, Risiko und Compliance
Die Datenschutzbestimmungen sind streng, und ihre Einhaltung erfordert einen hohen Zeit- und Ressourcenaufwand. Die Vorschriften erfordern oft die Hilfe von Spezialisten, um sicherzustellen, dass die Anforderungen korrekt erfüllt werden. Die Folgen der Nichteinhaltung sind kostspielig, nicht nur in Form von hohen Geldstrafen, sondern auch durch den Verlust von Kundenvertrauen und Rufschädigung.
Die Unterstützung durch spezialisierte Unternehmen, die über die nötigen Fähigkeiten verfügen, um Ihre Compliance-Anforderungen zu bewerten, kann diesen Prozess erleichtern. Compliance-Berater können sicherstellen, dass Ihr Unternehmen die Vorschriften und Standards einhält, und Ihnen dabei helfen, etwaige Lücken in den Compliance-Anforderungen zu schließen.
3. Sicherheitsinstrumente und -maßnahmen
Die richtigen Sicherheitstools zu haben, ist ein wesentlicher Budgetposten. Aber sollten Sie das Sicherheitsmanagement auslagern oder diese Maßnahmen intern einsetzen und pflegen? Die Antwort hängt davon ab, wie gut Sie mit den modernen Sicherheitsmaßnahmen umgehen können, von denen einige intelligent sind und für deren Konfiguration und Auslegung Fachwissen erforderlich sein kann.
Eine weitere Überlegung ist, für welche Art von Sicherheitsmaßnahmen das Budget ausgegeben werden soll. Diese Entscheidung hängt von Ihrer Branche und anderen Erwägungen ab, z. B. von den Erfordernissen der Fernarbeit und der Interaktion mit Dritten und Verbraucherdaten. Als Faustregel kann man jedoch sagen, dass die Ausgaben für Cybersicherheit in den folgenden Bereichen berücksichtigt werden sollten:
- Identitäts- und Zugangsmanagement (IAM): Diebstahl von Zugangsdaten und Credential Stuffing (bei dem Betrüger versuchen, mit gestohlenen Zugangsdaten in Konten einzudringen) sind ein großes Problem für die Cybersicherheit. Gestohlene Zugangsdaten ermöglichen es Betrügern, große Mengen an Daten zu stehlen. Laut dem Verizon Data breach Investigations Report sind 61 % der Sicherheitsverletzungen auf die Kompromittierung von Zugangsdaten zurückzuführen.
- Zero Trust Sicherheit: Das Prinzip "never trust, always verify" steht hinter dem Zero-Trust-Ansatz für die Sicherheit.
- Endpunkt-Sicherheit: Die Zahl der Endgeräte, wie z. B. mobile Geräte, ist bei der Telearbeit stark angestiegen. Jeder Endpunkt ist ein potenzielles Einfallstor für ein Netzwerk.
- Anwendungssicherheit: 72 % der Unternehmen haben aufgrund einer Sicherheitslücke in einer Anwendung einen Verstoß erlitten.
- Cloud-Sicherheit: Einem Bericht von Gartner Inc. zufolge werden bis 2025 99 % der Sicherheitsmängel in der Cloud vom Kunden selbst verschuldet sein. Garter empfiehlt den Einsatz von Governance-Richtlinien und Überwachung, um das Risiko in diesem Bereich zu verringern.
4. Cyber-Versicherung
Wenn das Schlimmste eintritt und Ihr Unternehmen mit Ransomware infiziert wird oder Ihr Mitarbeiter durch Speerphishing angegriffen und Ihre Kundendatenbank gehackt wird usw., kann eine Cyberversicherung helfen, den Schmerz zu lindern. Cyber-Versicherungen decken in der Regel Schäden an IT-Systemen und den Verlust von Informationen aus IT-Systemen und Netzwerken ab. Die Kosten für eine Cyber-Versicherung variieren, aber einige Versicherer bieten reduzierte Prämien an, wenn Ihr Unternehmen bestimmte Sicherheitsmaßnahmen nachweisen kann, wie z. B:
- Schulung zum Bewusstsein für Cybersicherheit
- Einhaltung der branchenüblichen Normen für Datensicherheit und Datenschutz, z. B. ISO 27001
- Regelmäßige Penetrationstests für Ihre IT-Systeme und Netzwerke
5. Messungen und KPIs (Key Performance Indicators)
Wenn Sie die Wirksamkeit Ihrer Sicherheitsmaßnahmen messen können, haben Sie eine gute Möglichkeit, Ihre Ausgaben zu rechtfertigen oder zukünftige Budgets für Cybersicherheit zu ändern. Sicherheitsmetriken geben Aufschluss darüber, wie effektiv Ihre Sicherheitsvorkehrungen sind und ob Ihre Compliance-Maßnahmen funktionieren. Diese Kennzahlen bieten eine quantitative Möglichkeit, der Geschäftsführung und den Vorstandsmitgliedern zu zeigen, wie ein Datensicherheitsprogramm funktioniert. Diese Metriken können auch dazu beitragen, den Ansatz des Unternehmens für den Datenschutz im Einklang mit den gesetzlichen Anforderungen zu dokumentieren. Die Analyse von KPIs und Key Risk Indicators (KRIs) gibt einen Überblick über Ihr Team und Ihre Sicherheitsposition, so dass Sie Maßnahmen und Ansätze optimieren können.
Es gibt mehrere wichtige KPIs, die gemessen werden können; einige Beispiele für die Messung von Bedrohungskennzahlen sind:
- Sicherheitsvorfälle
- Mittlere Zeit bis zur Erkennung (MTTD)
- Mittlere Zeit bis zur Lösung (MTTR)
Ausgeben, ausgeben, ausgeben für Cybersicherheit
Angesichts der Tatsache, dass die Ausgaben für Sicherheit bis 2025 weltweit voraussichtlich 1 Billion Dollar übersteigen werden, ist die Optimierung Ihres Budgets für Cybersicherheit unerlässlich, um Verschwendung zu vermeiden. Vielleicht wissen Sie bereits, wo Ihr Unternehmen am stärksten gefährdet ist, aber Sie sollten sich über die sich ständig verändernde Sicherheitslandschaft informieren. Wenn Sie wissen, was in der Branche passiert und welche Art von Hilfe zur Minderung von Cyber-Risiken zur Verfügung steht, können Sie sicherstellen, dass Sie mit dem vereinbarten Budget ein gutes Preis-Leistungs-Verhältnis erzielen.
