Security Governance
klare Vorgaben, Rollen und Zuständigkeiten zum angemessenen Schutz der IT Infrastruktur und Daten
Compliance in Cyber Security
nachvollziehbare Einhaltung von Gesetzen, Regulationen und Verträgen
Cyber Risk Management
identifizieren, bewerten und begrenzen von Cyber-Risiken mit geeigneten Massnahmen 
Individuelle Umsetzung
die verschiedenen Elemente kombinieren und in Ihre Organisation integrieren

Cyber Security ist ein zusammenwirken der nebenstehenden Aspekte

Zögern Sie nicht, uns zu kontaktieren und wir helfen Ihnen, die richtige Lösung für Ihre Organisation zu finden.
Kontakt
Ihrer Organisation fehlt es an Ressourcen / Kompetenzen zum Thema: (1)

Security Governance

Ausgangslage: Ihrer Organisation fehlt eine Übersicht über Cyber-Bedrohungen, Schwachstellen, notwendige Schutzmassnahmen und deren Umsetzung. 

Vorgehensweise:
  • Die Verankerung von Cyber Security in der Unternehmenskultur muss von der Unternehmensleitung ausgehen und von oben nach unten durchgesetzt werden. 
  • Klare Richtlinien mit definierten Rollen und Verantwortlichkeiten müssen in Form einer Cyber-Strategie definiert werden. Die Cyber-Strategie muss mit der Unternehmensstrategie abgestimmt sein. 
  • Die Planung und Umsetzung von Cyber Security muss systematisch und umfassend erfolgen. In einer Sicherheitsarchitektur werden die wesentlichen Komponenten der Schutzmassnahmen sowie deren Zusammenwirken definiert. In einem Regelwerk werden die zu treffenden Schutzmassnahmen sowie messbare Ziele festgelegt. 
  • Die Umsetzung der Cyber-Strategie erfolgt projektbezogen über einen definierten Zeitraum (z.B. drei Jahre) und wird geordnet in die Betriebsorganisation überführt
  • Cyber Security Governance erfordert drei Verteidigungslinien (Three Lines of Defense). 
    1.  Die erste Verteidigungslinie bildet das operative Management.
    2.  Die zweite Verteidigungslinie bilden Risikomanagement und Compliance,
    3.  Die dritte Verteidigungslinie die interne und externe Revision.
Wie Neher Secure-IT Sie dabei unterstützt:
  • IT-Security-Governance auf Basis der IT-Sicherheitsstrategie aufbauen oder aktualisieren
  • Dokumentation der Governance-Strukturen entlang der drei Verteidigungslinien und Sicherstellung der koordinierten Zusammenarbeit zwischen LOD 1 und LOD 2
  • Aufbau oder Aktualisierung einer IT-Sicherheitsarchitektur und eines Betriebsmodells für Cyber Security
  • Projektunterstützung in den Umsetzungsprojekten zur Technologieimplementierung und Organisationsentwicklung.
und / oder (2)

Cyber Risk Management

Ausgangslage:  Cyber-Risiken werden nicht als integraler Bestandteil der Geschäftsrisiken in den Aufsichtsgremien und Management-Meetings behandelt. Die Verantwortlichen für Cyber-Risiken in Ihrer Organisation sind in der IT-Abteilung angesiedelt und nicht in den Geschäftsbereichen. In Ihrer Organisation fehlt eine klare Definition, welche Risiken akzeptiert werden und welche durch Massnahmen auf ein akzeptables Niveau reduziert werden müssen (Risikoappetit). Beim Outsourcing von IT-Dienstleistungen fehlt die Definition, welche Sicherheitsmassnahmen ausgelagert werden und wie deren Wirksamkeit überwacht wird (Drittparteirisiko).

Vorgehensweise:
  • Der Einsatz von Informations- und Kommunikationstechnologien und die Digitalisierung führen eine neue Risikokategorie in die Organisation ein. 
  • Cyber-Risiken müssen als eigenständige Kategorie im Rahmen der operationellen Risiken geführt und bei der Entscheidungsfindung im Unternehmen berücksichtigt werden. 
  • Cyberrisiken müssen identifiziert, bewertet und auf ein akzeptables Niveau begrenzt werden. Dazu sind entsprechende Fachkenntnisse und Ressourcen erforderlich. 
  • Eine periodische Neubeurteilung der Bedrohungslage sowie ein aktives Management der identifizierten Cyber-Risiken sind unerlässlich (Cyber Risk Management).
Wie Neher Secure-IT Sie dabei unterstützt:
  • Erstellung oder Aktualisierung eines Cyber-Risk-Inventars, zugeschnitten auf die Organisation, Geschäftstätigkeit, eingesetzte IT-Mittel und verarbeitete Daten
  • Prozesse definieren und Cyber Risk Management Prozesse optimieren
  • Integration von Cyber Risk Management Funktionen in das Enterprise Risk Management
und / oder (3)

Compliance in Cyber Security

Ausgangsalge Um in einer digitalisierten und vernetzten Welt als verlässlicher Partner wahrgenommen zu werden, fehlt Ihrer Organisation die Transparenz zur nachvollziehbaren Einhaltung von Gesetzen, Vorschriften und vertraglichen Verpflichtungen. Es fehlt ein Integrales Kontrollsystem (IKS), welches die Gesamtheit aller Massnahmen zur Erfüllung der Anforderungen an die Cyber Security umfasst. Die von ihrer Organisation einzuhaltenden technischen, organisatorischen, physischen und personellen Schutzmassnahmen sind an verschiedenen Stellen festgelegt.

Vorgehensweise
  • Aufgrund der Branchenzugehörigkeit, der Geschäftstätigkeit im Ausland, der Einbindung in Lieferketten sowie des Abschlusses von Verträgen ist eine Organisation verpflichtet, Cyber Security Anforderungen einzuhalten und deren Umsetzung nachzuweisen.
  • Um alle von einer Organisation zu erfüllenden Anforderungen zu identifizieren, sind diese zunächst im integralen Kontrollsystem (IKS) zu definieren. Anschliessend ist sicherzustellen, dass die Umsetzung der Vorgaben durch die in der Governance definierten Rollen und Verantwortlichkeiten gewährleistet wird.
  • Die Einhaltung der Vorgaben wird überwacht. Es gibt verschiedene Möglichkeiten, die wirksame Umsetzung der entsprechenden Massnahmen nachzuweisen. Der Nachweis der wirksamen Umsetzung der entsprechenden Massnahmen kann auf verschiedene Weise erbracht werden: durch die Beantwortung eines Fragenkatalogs (Self Assessment), durch eine Zertifizierung (z. B. ISO 27001, NIST SP 800 171 / CMMC 2.0) oder durch eine unabhängige Überprüfung einzelner Kontrollen durch Dritte (z. B. Third Party Assurance - SOC 2/3, ISAE 3000/3402).
Wie Neher Secure-IT Sie dabei unterstützt 
  • Identifizieren der für eine Organisation anwendbaren regulatorischen Vorgaben und Abbildung der Vorgaben im Bereich Cyber Security im Integralen Kontrollsystem. Beispiel für Industrievorgaben:
       - Finanzmarkt:
          + FINMA Regulation 2023/1 Operationelle Risiken und Resilienz
             Banken     FINMA Regulation
          + Payment Card Industry - PCI-DSS 4.01 PCI-DSS Standard
          + EU – DORA (Digital Operational Resilience Act) DORA Regulation
       - Industrie: 
          + Güterkontrollgesetz des SECO für Technologiekontrolle SECO Anleitung
          + Rüstungsgüter ITAR US Guideline
          + IKT Minimalstandard für Kritische Infrastrukturen IKT-Minimalstandard des Bundes
  • Integration der Vorgaben in die Sicherheitsrichtlinien und Verfahren der Organisation 
  • Überwachung der Umsetzung der Vorgaben innerhalb der Organisation, Sensibilisierung und Schulung der Mitarbeiter sowie Überwachung der Einhaltung durch die Mitarbeiter und Partner
Suchen
Diese Website kann Cookies und externe Skripte verwenden. Weitere Informationen