Brian's Geschichte

Als ich vor ein paar Jahren mit meiner Frau auf einem Flug nach Kalifornien in den Urlaub flog, stellte ich mir eine einfache Frage, die sich als Heureka-Moment herausstellte (jedenfalls für mich ). "Was ist ein Cyber-Risikomanagement-Programm?" Zu dem Zeitpunkt schien es einfach zu sein. Aber angesichts des langsamen Internets in 30.000 Fuß Höhe habe ich nachgeforscht und konnte keine verbindliche Antwort finden. Was die Frage aufgeworfen hatte, war das Dokument, das ich gerade las: die Leitlinien der Securities and Exchange Commission (SEC) aus dem Jahr 2018 für Vorstände und Unternehmensverantwortliche zu Fragen der Cyber-Sicherheitsaufsicht. In diesem Leitfaden erklärt die SEC, dass Vorstände und Unternehmensverantwortliche die Aufsicht über ein Cyber-Risikomanagementprogramm haben müssen. Eine zufriedenstellende Antwort auf diese Frage findet sich weder in den Leitlinien noch in anderen Materialien, die ich finden konnte. Da die SEC erwartet, dass die Unternehmen diese Antworten haben, und die Verantwortlichkeit in der Schwebe ist, war es eine wichtige Frage, auf die es keine Antwort gab.

Ich möchte noch einmal erklären, warum ich im Urlaub die SEC-Richtlinien gelesen habe. Mehr als ein Jahrzehnt lang war ich Chief Security Officer (CSO) bei Time Warner Cable, einem Fortune 130-Anbieter kritischer Infrastrukturen (Telefon- und Internetdienste). Auf der Grundlage meiner Erfahrungen hatte ich bereits ein Buch mit dem Titel Enterprise Security Risk Management: Concepts and Applications, zusammen mit meiner langjährigen Mitarbeiterin Rachelle Loyear geschrieben. Das Konzept des unternehmensweiten Sicherheitsrisikomanagements basiert auf der grundlegenden Annahme, dass Sicherheit im Kern eine Risikofunktion ist und dass jede Aufgabe , die ein Sicherheitsexperte ausführt, durch die Linse von fünf zentralen Risikokonzepten betrachtet werden kann und sollte, die für jedes Risikoparadigma gelten: 1) Was ist dein Vermögen? 2) Was sind die Risiken? 3) Wie kannst du diese Risiken mindern? 4) Wie kannst du auf Zwischenfälle reagieren? 5) Wie kannst du dich ständig über dein Umfeld weiterbilden? Es spielt keine Rolle, ob du dich mit Cybersicherheit, physischer Sicherheit, Business Continuity, Betrugsmanagement oder einer anderen Sicherheitsdisziplin beschäftigst. Jede Taktik, in jeder Disziplin, passt zu einem dieser fünf Kernprinzipien. Ich ging zu der Beratungsfirma EY, um die Konzepte dieses Buches in die Praxis umzusetzen und mit Vorständen und Führungskräften zu arbeiten. In dieser Zeit wurde ich neugierig auf die Rolle der Führungskraft im Sicherheitsrisikomanagement. Das SEC-Dokument mag zwar langweilig klingen, aber es brachte eine karriereverändernde Offenbarung. Die Neugierde hat mich wieder gepackt.

In den nächsten Jahren gingen Brandon und ich dieser Frage auf den Grund und führten eine Menge Gespräche mit Kollegen, was zu noch mehr Fragen führte. Wir haben beide viel Erfahrung mit der Bewertung und dem Aufbau von Cyber-Risikomanagementprogrammen in großen Instituten. Nachdem ich EY verlassen hatte, verbrachten wir viel Zeit damit, ein breites Spektrum an risikobezogenen Standards zu erfassen. Wir bewerteten die Richtlinien, die die Vorstände erhielten, sahen uns die Rechtsprechung an, die die Rechenschaftspflicht der Führungsebene festlegt, und betrachteten allgemein den Wert und die Rolle der Sicherheit als strategische Funktion - jenseits ihrer taktischen Notwendigkeit.

Hier sind einige der Ergebnisse dieser Forschung:

• Sicherheit ist eine Risikofunktion (das wussten wir).

• Risikomanagement ist eine ausgereifte Praxis (die Risikopraxis im Sicherheitsbereich ist nicht so ausgereift).

• Die meisten Sicherheitsorganisationen und -praktiker verfolgen einen Ad-hoc-Ansatz (das Gesetz, die Aufsichtsbehörden und die sich verändernde Wirtschaft verlangen eine veränderte Erwartungshaltung an die Sicherheitspraktiken von Unternehmen, was alles darauf hindeutet, dass die Risikofunktion der Weg in die Zukunft ist).

• Ein Cyber-Risikomanagementprogramm kann klar als eigenständiges Programm definiert werden, das an dieser Stelle offen gesagt nicht optional ist.

Der Aufbau eines Cyber-Risikomanagementprogramms ist sehr wertvoll, aber es braucht eine Struktur und die Verpflichtung, das Risikomanagement als formelles Programm durchzuführen.

Die Reise mit Brandon war erstaunlich und sie geht weiter. Wir respektieren uns gegenseitig und fordern uns immer wieder gegenseitig heraus - ein notwendiger Schritt, um von der Sicherheit, die wir in unseren Köpfen hatten, zu dem zu werden, was sie sein muss. Ich lerne jedes Mal von ihm, wenn wir miteinander sprechen. Ich schätze Brandon als Kollegen und engen Freund.

Brandon's Geschichte

Als Berater in der Cybersecurity-Praxis von EY hatte ich das Privileg, mit Top-Führungskräften, CSOs, CISOs und Sicherheitsexperten von einigen der weltweit größten und bekanntesten Marken aus einer Vielzahl von Branchen zusammenzuarbeiten. Diese Reise, bei der ich die Unternehmen bei der Umstellung von taktischen Sicherheitspraktiken auf ganzheitliche Sicherheitsrisikomanagementprogramme begleitet habe, war ein erfüllendes Unterfangen, bei dem es um die Bewältigung ihrer schwierigsten Herausforderungen ging.

Meine Fortschritte auf diesem Weg wurden durch unschätzbare Erfahrungen und vor allem durch den Einfluss einiger Schlüsselpersonen geprägt. Mein Einstieg in die Welt der Cybersicherheit begann vor 15 Jahren dank der Einführung durch meinen Onkel, Jim Mazotas, einem Unternehmer und Gründer mehrerer Cybersicherheitsunternehmen. Es folgten ein akademisches Grundstudium an der Malone University und anschließende Zertifizierungen. Meine Reise wurde durch die Mentorenschaft mehrerer Führungskräfte und Kollegen während meiner Zeit bei EY weiter bereichert.

In meiner Zeit als Kundenbetreuer habe ich gelernt, dass die Reise jedes Unternehmens in Sachen Cybersicherheit einzigartig ist. Einige befinden sich noch in der Anfangsphase des Wandels, haben mit grundlegenden Herausforderungen zu kämpfen und werden von der Unternehmensleitung unterschiedlich stark unterstützt. Andere, vor allem in Sektoren wie dem Finanzdienstleistungssektor und dem Gesundheitswesen, verfügen über ausgereiftere Verfahren für Cybersecurity-Risiken. Ein gemeinsamer Nenner ist jedoch offensichtlich: Die rasche Digitalisierung der Geschäftsabläufe und der zunehmende Druck durch die Regulierungsbehörden bedeuten, dass sich der Sicherheitsansatz eines Unternehmens ständig weiterentwickeln muss.

Dieses Buch ist ein Destillat der Erkenntnisse, Erfahrungen und bewährten Methoden, die Brian und ich im Laufe der Jahre gesammelt haben. Es geht über die Theorie hinaus und bietet Sicherheitspraktikern - und vielen anderen, die mit Risikomanagement zu tun haben - einen Leitfaden für berufliches Wachstum, mehr Arbeitsplatzsicherheit und größere persönliche und berufliche Zufriedenheit in ihrer Rolle. Und es ist ein Leitfaden für eine sich schnell verändernde Welt, denn während sich Technologie und Bedrohungen ständig weiterentwickeln, bleiben die von uns dargelegten Grundsätze eines soliden Risikomanagements zeitlos.

Die Zusammenarbeit mit Brian, den ich als Mentor sehr schätze, war eine aufschlussreiche Erfahrung. Beim Schreiben dieses Buches habe ich mehr Klarheit über das "Warum" unserer beruflichen Überzeugungen gewonnen. Unser gemeinsames Fachwissen - meine praktische Erfahrung als Berater und Brians unschätzbare Erfahrung als CSO und Berater - stellt sicher, dass dieses Buch eine ganzheitliche Sicht auf den Aufbau eines Cyber-Risikomanagementprogramms bietet.

Wer sollte dieses Buch lesen?

Wir haben dieses Buch so gestaltet, dass es einem möglichst breiten Leserkreis einen echten Mehrwert bietet und gleichzeitig zu jedem Zeitpunkt klar ist, welche Leser/innen von welchem Inhalt am meisten profitieren werden. Die wichtigsten Rollen, die von diesem Buch profitieren werden, sind:

Sicherheitspraktiker auf jeder Ebene

Das Risikomanagement ist eine sehr ausgereifte Praxis, die seit Jahrzehnten entwickelt, praktiziert und verfeinert wird, aber normalerweise nicht als umfassendes, formalisiertes Programm für die Sicherheit. Die Entwicklung eines Programms trägt dazu bei, die Reife, die Absicht und den Zweck der Praxis zu fördern.

Sicherheitspraktiker in jeder Funktion

So sehr sich dieses Buch auch auf die Cybersicherheit konzentriert, wenn man das Wort "Cyber" weglässt, so hat man doch die grundlegenden Elemente, die auf das programmatische Risikomanagement in den Bereichen physische Sicherheit, Betrugsmanagement, Business Continuity Management und betriebliche Widerstandsfähigkeit angewendet werden können.

Vorstände und Aufsichtsräte

Dieses Buch soll Geschäftsführern ein umfassendes Verständnis ihrer wichtigen Rolle und Verantwortung bei der Überwachung eines Cyber-Risikomanagementprogramms vermitteln. Es bietet Einblicke in die Erwartungen an die Rolle der Geschäftsführung bei der Einführung des Programms. Die zugrundeliegenden Prinzipien heben hervor, wie wichtig es ist, Cybersicherheit als Geschäftsrisiko zu betrachten, und bieten eine Perspektive, die es den Direktoren/innen ermöglicht, relevantere Fragen zu stellen und die Geschäftsführung besser zu beraten. Indem sie den Schwerpunkt von den technischen Details der Cybersicherheitstaktiken und -abläufe auf eine umfassendere strategische Risikoüberwachung verlagern, können die Direktoren die Effektivität ihres Cyber-Risikomanagementprogramms verbessern und gleichzeitig die Abwehrkräfte gegen die zunehmenden rechtlichen und regulatorischen Verpflichtungen stärken.

CxOs und Führungskräfte aus der Wirtschaft

Diese hochrangigen Entscheidungsträger/innen werden ein klares Verständnis dafür bekommen, dass Sicherheit als Risikopraktik heranreifen muss; dies wird ihnen helfen, die erhöhte Haftung zu verstehen und sich davor zu schützen. Diese Entscheidungsträger/innen lernen auch, wie sie Sicherheitserwartungen festlegen können, damit sie angemessene und fundierte Entscheidungen über Sicherheitsrisiken treffen können, die mit ihren Gesamtstrategien übereinstimmen.

Regulierungsbehörden

Die Regulierungsbehörden können die Hinweise in diesem Buch nutzen, um klar definierte Vorschriften zu entwickeln, die auf vernünftigen, einheitlichen und wiederholbaren Erwartungen basieren. Eine gemeinsame Taxonomie und gemeinsame Erwartungen werden ihre Bemühungen effizienter, effektiver und synergetischer machen.

Wirtschaftsprüfer

Die Fachleute von Audit konzentrieren sich in der Regel auf bewährte Methoden und bewerten die Wirksamkeit der Sicherheitskontrollen und -prozesse eines Unternehmens oder einer Organisation anhand festgelegter Richtlinien, Standards, Rahmenwerke und Vorschriften. Dieses Buch bietet den Prüfern eine umfassende Struktur für die Bewertung eines Cybersecurity-Risikomanagement-Programms, da es sich auf die Sicherheitsausführung im Verhältnis zur erwarteten Risikobereitschaft und -toleranz des Unternehmens konzentriert.

Führungskräfte und Fachleute, deren Arbeit von den Risiken der Digitalisierung betroffen sein könnte

Die Auswirkungen der digitalen Transformation sind weitreichend, komplex und unvorhersehbar. Daher ist es für Fachleute aus vielen verschiedenen Bereichen - die meisten Führungskräfte und Entscheidungsträger in den meisten Unternehmensfunktionen - von großem Nutzen zu lernen, wie man die Risiken der Digitalisierung erkennt und fundierte Entscheidungen über die Abwägung von Risiko und Nutzen trifft.

Schlussgedanken

Dies ist eine Reise. Es gibt keine schnelle Lösung und es gibt unendlich viel zu lernen - aber es lohnt sich, sich darauf einzulassen. Dazu müssen wir unsere Vorstellungen von dem, was wir in der Vergangenheit praktiziert haben, in Frage stellen und neugierig sein.

Auch wenn dieses Buch speziell für eine Cyber-Praxis geschrieben wurde, kannst du das Wort "Cyber" weglassen und die Konzepte des Cyber-Risikomanagementprogramms auf jede Praxis für Sicherheitsrisiken anwenden.

Wir sind sicher, dass die Erkenntnisse, die du gewinnen wirst, dich auf deinem beruflichen Weg unterstützen werden.

Wenn du uns Feedback geben, Fragen stellen oder dich an der Diskussion beteiligen möchtest, besuche uns unter CRMP.info.

In diesem Buch verwendete Konventionen

In diesem Buch werden die folgenden typografischen Konventionen verwendet:

Kursiv

Weist auf neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen hin.

O'Reilly Online Learning

Unser einzigartiges Netzwerk von Experten und Innovatoren teilt sein Wissen und seine Erfahrung durch Bücher, Artikel und unsere Online-Lernplattform. Die Online-Lernplattform von O'Reilly bietet dir On-Demand-Zugang zu Live-Trainingskursen, ausführlichen Lernpfaden, interaktiven Programmierumgebungen und einer umfangreichen Text- und Videosammlung von O'Reilly und über 200 anderen Verlagen. Weitere Informationen erhältst du unter https://oreilly.com.

Wie du uns kontaktierst

Bitte richte Kommentare und Fragen zu diesem Buch an den Verlag:

• O'Reilly Media, Inc.
• 1005 Gravenstein Highway Nord
• Sebastopol, CA 95472
• 800-889-8969 (in den Vereinigten Staaten oder Kanada)
• 707-829-7019 (international oder lokal)
• 707-829-0104 (Fax)
• support@oreilly.com
• https://www.oreilly.com/about/contact.html

Wir haben eine Webseite für dieses Buch mit Errata, Beispielen und zusätzlichen Informationen. Du kannst diese Seite unter https://oreil.ly/building-a-cyber-risk-management-program aufrufen .

Neuigkeiten und Informationen über unsere Bücher und Kurse findest du unter https://oreilly.com.

Du findest uns auf LinkedIn: https://linkedin.com/company/oreilly-media.

Folge uns auf Twitter: https://twitter.com/oreillymedia.

Sieh uns auf YouTube: https://youtube.com/oreillymedia.