Kapitel 5. Risikobasierte Strategie und Umsetzung

Auf haben wir in diesem Buch die Notwendigkeit eines Cyber-Risikomanagementprogramms (CRMP) betont, das Risikoverantwortliche, Sicherheitsexperten und andere Beteiligte in einem formalen, systematischen Prozess zusammenbringt, der Ad-hoc-Ansätze auf der Grundlage von Vorfällen ersetzt. Nur so kann sichergestellt werden, dass das Unternehmen als Ganzes die Herausforderungen einer sich schnell verändernden Risikolandschaft meistert und sich vor Haftungsansprüchen schützen kann. Die Entwicklung und Umsetzung eines Programms, das den spezifischen Anforderungen eines Unternehmens entspricht, ist jedoch kein einfaches Unterfangen. Es erfordert eine klar definierte Strategie und eine konsequente Umsetzung dieser Strategie - und genau darum geht es in diesem Kapitel. Wir werden sechs Schlüsselprinzipien einer risikobasierten Strategie und Umsetzung erläutern und die rechtlichen Rahmenbedingungen und Branchenprotokolle darlegen, die sie beeinflussen. Wir werden die Rollen der wichtigsten Beteiligten - insbesondere des CISO und der übrigen Sicherheitsorganisation sowie der internen und externen Prüfer - in diesem hochgradig kooperativen Prozess der kontinuierlichen Verbesserung aufzeigen. Und wir werden das Ganze vor dem Hintergrund eines spektakulären Beispiels aus jüngster Zeit betrachten, das zeigt, wie ...