Cyber Security Triathlon
Um Cyber Security und somit auch Datenschutz (zumindest zum Teil) in den Griff zu bekommen sind es immer wieder die selben Schritte, die man immer wieder ausführen sollte. Immer wieder, weil es keine einmalige Aktion, Projekt oder Vorgang ist, sondern weil es sich um einen kontinuierlichen Prozess handeln sollte. Die Wiederholung als Ergebnis einer Wirkungskontrolle und Qualitätssicherung soll nicht nur die Sicherheit der Organisation sondern auch die Sicherheit (der Daten) der Betroffenen gewährleisten. Maßnahmen und Risikobehandlung sind auch ein Nachweis gegenüber Dritten. Vor allem als Teil des internen Kontrollsystem kann es helfen Fahrlässigkeit zu vermeiden und möglichst auszuschliessen.
Dig
Kehren sie das Unterste zu Oberst. Durchleuchten sie Ihre Abläufe und Prozesse. Erkunden Sie, was sie haben und ob sie es überhaupt benötigen. Die Erkundung, das „dig“ (vgl.: graben) besteht aus den Tätigkeiten,
- Systemerhebung
- Schwachstellenerhebung und -scan
- Verantwortlichkeiten und Zuständigkeiten definieren
- Vorgehensweise festlegen
Dash
Machen Sie Meter und kommen sie in die Vorlage! Machen Sie einen Plan, priorisieren Sie anhand der festgestellten Risiken, Risikoobjekte und -vektoren. Damit aus dem Rennen kein Stolpern und Stürzen wird brauchen sie einen (groben) Plan. Das schnelle Handeln, „dash“ (vgl.: rasen, flitzen, sausen …) besteht aus den Tätigkeiten,
- Erkennung und Beschreibung von Mustern und Vorgehensmodellen bei Angriffen und Verletzungen
- Zuordnung von Bedrohungen zu Vermögenswerten der Organisation
- Festlegen von groben Rahmenwerten, Kennzahlengruppen und Berichtsarten.
Der letzte Punkt ist mit Vorsicht zu geniessen, weil hier vor allem die Gefahr liegt sich in Details und Sonderformen zu verlieren. Besser ein grobes aber vollständiges Gesamtbild, als eine unvollständige Detailaufnahme.
Dive
Tauche Sie ein in das Meer der Erkenntnis. Sie kennen nun die Risiken und haben sich mit ihnen vertraut gemacht. Alleine das führt schon dazu, dass ein Teil gar nicht mehr eintritt, weil er als irrelevant erkannt wird. Irrelevant, wie ein Kühlschrank ohne Strom auf der Insel. Dieses Eintauchen in die Lage, „dive“ (vgl.: tauchen, eintauchen) ist vor allem dem Thema Umgang mit Risiken gewidmet und umfasst folgende Tätigkeiten,
- Übertragen von Risiken
Zum Beispiel in Form einer Versicherung, die nicht nur den Vermögensschaden abdeckt, sondern die Öffentlichkeitsarbeit übernimmt, um den „guten Ruf“ wiederherzustellen. - Vermindern von Risiken
Risiken auf ein vertretbares Maß reduzieren durch aktive Gegenmaßnahmen. Vor allem hier ist eine laufende Evaluierung, ob eine Veränderung eingetreten ist sinnvoll. - Vermeiden von Risiken
Damit werden Risiken explizit eliminiert, weil sie nicht mehr als Risiko, als Bedrohung, wahrgenommen werden. Ein Risiko kann weiterhin bestehen sogar, aber auch als positive Chance aufgefasst werden. - Akzeptieren
Risiko wie es ist annehmen und entsprechend aber auch Maßnahmen setzen, wie zum Beispiel Rückstellungen für den Schadensfall bilden. - Ertragen
Risiken, die nicht erkannt werden, verschwinden nicht, sondern müssen beim Eintritt ertragen werden. Deswegen ist im Rahmen des Risikomanagements eine reine Erkennung und Beobachtung von bekannten Mustern eigentlich schon zu wenig. Hier ist schon ein bisschen Kaffeesudlesen angesagt, wenn aus Verhaltens- und Vorgehensweise versucht werden muss gegebenenfalls bösartiges Verhalten zu erkennen.