Compliancevorschriften: Top-Fragen des Vorstands für CISOs
Dies ist der vierte Teil einer vierteiligen Serie mit Strategien zur proaktiven Kommunikation für CISOs. Es gehört zu Ihren Aufgaben, wichtige Informationen und Maßnahmen in eine Sprache zu übersetzen, die der Vorstand versteht. Dann können Sie sich nämlich auf Ihre eigenen Aufgaben konzentrieren: angemessen auf Vorfälle, Ereignisse und Bedrohungen reagieren, um die Auswirkungen auf das Unternehmen zu minimieren.
Bislang haben wir uns angesehen, wie Sie am besten mit Ihrem Vorstand über die Themen Stärkung Ihrer Cybersicherheit, Pläne zur Schadensbegrenzung bei Cyberrisiken und Sorgfaltspflicht bei der Cybersicherheit kommunizieren. Der nächste Fragenbereich, auf den Sie vorbereitet sein müssen, betrifft die Einhaltung von Vorschriften zur Cybersicherheit.
Wie wir alle wissen, unterliegt unsere Arbeit einer Vielzahl von Branchenstandards und gesetzlichen Vorschriften. Sobald Sie einen Vorfall bemerken (oder eine Bedrohung vermuten), löst dies eine Fülle von Fragen von verschiedenen Stellen zu den möglichen Auswirkungen auf die Sicherheit und Integrität Ihrer Daten und Abläufe aus. Sie müssen darauf vorbereitet sein, diese Fragen effektiv zu beantworten. Sehen wir uns zunächst an, wie Sie sich am besten auf die folgende Frage vorbereiten: „Wie beantworten wir Anfragen zu behördlichen Vorgaben und Compliance?“
Das impliziert wiederum die folgenden Fragen:
- Werden in den potenziell betroffenen Systemen regulierte Daten verarbeitet, gespeichert oder übermittelt?
- Wenn ja, wen müssen wir informieren? Ist das bereits geschehen?
- Worin besteht unsere Sorgfaltspflicht?
- Wie sollten die Abwehrmaßnahmen erfasst werden?
Compliance in der Cybersicherheit: Was sagen wir wann?
Von dem Moment an, in dem eine Sicherheitslücke entdeckt wird, wollen die Aufsichtsbehörden wissen, wie Sie Ihre Angriffsfläche bewertet und entschärft haben. Sie werden Fragen über Ihre Assets stellen, darunter ob Sie genau sagen können, wo die Sicherheitslücke in Ihrer Umgebung besteht, welche Kommunikation stattgefunden hat, ob sich die Angreifer Zugriff auf Ihre Systeme verschaffen konnten und wenn ja, ob die zuständige Aufsichtsbehörde rechtzeitig benachrichtigt wurde, welche Abhilfemaßnahmen getroffen und welche Lehren gezogen wurden.
Kurz gesagt, die Aufsichtsbehörden möchten wissen, welche Prozesse Sie bereits eingeführt hatten und welche Maßnahmen Sie ergriffen haben, um die Auswirkungen auf gefährdete Assets zu minimieren. Wenn die Aufsichtsbehörden involviert sind, bedeutet dies häufig, dass auch Kunden involviert sind (zum Beispiel, wenn deren personenbezogene Daten gestohlen wurden) oder dass ein potenzielles systemisches Risiko für Ihre Branche besteht (zum Beispiel bei einem gezielten Angriff auf Energieversorger). Daher brauchen Sie keine Angst vor solchen Anfragen haben oder davor zurückschrecken – Sie müssen nur überlegt und transparent antworten.
Auf diese Weise können Sie das Potenzial für weitere Schäden (zum Beispiel an Ihrer Marke oder Ihrem Ruf) minimieren. Wenn es zu einem Exploit kam, der sich auf Ihr Unternehmen (und Ihre Kunden) ausgewirkt hat, und wenn Sie zeigen, wie Sie mit der Situation umgegangen sind und was Sie daraus gelernt haben, dann wird das Unternehmen in einem besseren Licht erscheinen, als wenn Sie versuchen, das Problem unter den Teppich zu kehren.
Information bei einem Cybersicherheitsvorfall: Wer muss informiert werden?
Bestimmte Vorschriften legen fest, wann regulierte Unternehmen Kunden und bestimmte Dritte im Falle eines Sicherheitsvorfalls benachrichtigen müssen. Manchmal enthalten auch Verträge mit Dritten Bestimmungen darüber, wann eine gegenseitige Benachrichtigung über Bedrohungen notwendig ist. Sie sollten jedoch auch Ihr Krisenteam, den Anbieter Ihrer Incident-ResponseServices und externe Juristen benachrichtigen, damit auch diese entsprechende Maßnahmen ergreifen können.
Eine Vereinbarung über die Incident Responseist heutzutage die Norm. Sie kann Ihnen helfen, andere davon zu überzeugen, dass Sie adäquate Schritte zum Schutz regulierter Daten unternommen haben. Falls der Verdacht besteht, dass es zu einem Exploit oder Datendiebstahl gekommen ist, sollten Sie nicht nur externe Juristen benachrichtigen, sondern auch einen Vertrag mit einem Unternehmen für Forensik und Incident Response abgeschlossen haben.
Es ist wichtig, dass Ihre Kommunikationsprotokolle für alle internen und externen Zielgruppen absolut kugelsicher sind. Eine Aufsichtsbehörde erwartet nicht unbedingt, dass Sie Vorfälle sofort beheben oder entschärfen. Was sie jedoch erwartet, ist, dass Sie bereits im Vorfeld Ihrer Aufsichtspflicht nachgekommen sind und vorbereitet waren. Sie möchten sich vergewissern, dass Sie in der Lage waren, den Angriff und seine Auswirkungen rechtzeitig zu erkennen und mit den richtigen Beteiligten zusammenzuarbeiten, um darüber zu informieren und die Situation wirksam zu entschärfen.
Erfolgreiche Bedrohungsabwehr: Solide Beziehungen sind der Schlüssel
Wenn es zu einem Zwischenfall kommt, sollten Sie sich auf Ihre bestehenden Beziehungen zu externen Anwälten und Ihrem Anbieter von Incident-Response-Services verlassen können. Sprechen Sie jetzt mit ihnen und bauen Sie eine gute Arbeitsbeziehung auf. Informieren Sie sich über ihre Abläufe und haben Sie ihre Notfallnummern parat. Tun Sie dies bereits im Vorfeld, denn wenn Sie erst einmal mit einem Zwischenfall konfrontiert sind und einen Ihrer schlimmsten Arbeitstage haben, werden diese starken Beziehungen Ihre Rettung sein.
Sprechen Sie vielleicht auch mit Ihrem Incident-Response-Anbieter über Ihren Incident-Response Plan und bitten Sie ihn um Feedback. Holen Sie sie bereits jetzt ins Boot, damit Sie, wenn Experten kommen und eine vollständige Untersuchung durchführen, verstehen, was sie tun – und damit Sie sicher sein können, dass sie dem Problem auf den Grund gehen.
Machen Sie sich mit Ihrer Vereinbarung vertraut und vergewissern Sie sich, dass sie Schritte enthält, die für die Einhaltung von Gesetzen und Vorschriften erforderlich sein könnten. Beteiligen Sie proaktiv Ihr Rechtsteam, um sicherzustellen, dass Sie Ihre rechtlichen Verpflichtungen in den verschiedenen Rechtsordnungen verstehen, insbesondere wenn Sie ein multinationales Unternehmen sind.
Auch eine gesunde Arbeitsbeziehung zu Ansprechpartnern bei den Aufsichtsbehörden kann von Vorteil sein. Manchmal haben diese Behörden ein besseres Verständnis der Bedrohungslandschaft, was Ihnen helfen kann, sich auf das Schlimmste vorzubereiten. Gehen Sie nicht davon aus, dass die Aufsichtsbehörden kein Interesse an Vorfällen haben, bei denen keine Daten gestohlen wurden. Sie sind grundsätzlich an allen neuen Bedrohungen und Exploits interessiert. Sie möchten wahrscheinlich wissen, was Sie gegen einen Gegner unternommen haben, der sich in Ihrem Unternehmen befand und potenziell Zugriff auf Daten hatte, selbst wenn es keine Beweise dafür gibt, dass Daten gestohlen wurden.
Sie haben auch die Möglichkeit zu zeigen, wie Sie mit der Bedrohung umgegangen sind (zum Beispiel „Wir sind von diesem Ereignis ausgegangen und haben rückwärts und vorwärts über die gesamte Wertschöpfungskette hinweg gearbeitet, um zu verstehen, was hätte passieren können und was passiert ist“). Das gibt den Aufsichtsbehörden ein besseres Verständnis für die Robustheit Ihrer Prozesse und Programme und kann künftige Interaktionen reibungsloser machen.
Im folgenden Video erfahren Sie mehr darüber, wie Sie am besten mit Ihrem Vorstand über das Thema Compliance in der Cybersicherheit kommunizieren:
Get in Touch
Fragen Sie bei Ihrer Cyberversicherung ausdrücklich nach Unterstützung durch die Unit 42®, wenn Sie Incident-Response-Servicesbenötigen.
Wenn Sie befürchten, dass Ihr Unternehmen Zielscheibe eines Angriffs über die Log4jSicherheitslücke oder eines anderen bekannten Angriffsmechanismus geworden ist, nehmen Sie Kontakt zur Unit 42auf und besprechen Sie die Situation mit einem Mitglied des Teams. Das Incident-Response-Team der Unit 42 ist rund um die Uhr an 365 Tagen im Jahr erreichbar. Sie können auch vorbeugen und eine vorsorgliche Beurteilung anfordern.