Unterstützung für Unternehmen bei Schadensmanagement und -prävention
10. Dezember 2012, London / Großbritannien – Das Information Security Forum (ISF, www.securityforum.org), eine der weltweit größten unabhängigen Non-Profit-Organisationen für Informationssicherheit, Cybersicherheit und Risikomanagement, veröffentlicht einen neuen Report für den Umgang mit IT-Sicherheitsvorfällen und Cyberattacken. “You could be Next” gibt Unternehmen Handlungsempfehlungen für die Bestandaufnahme sowie die Ursachenanalyse bei einem Sicherheitsvorfall. Ein besonderes Augenmerk liegt auf den langfristigen Kosten und der Risikoprävention. Der Report basiert auf den Erfahrungen und Best Practices der ISF-Mitgliedsunternehmen weltweit. Eine kostenlose Kurzfassung ist auf der Website des ISF unter www.securityforum.org erhältlich. Den vollständigen Report können Nichtmitglieder im Online-Shop des ISF unter https://store.securityforum.org/shop erwerben.
Falsche Prioritäten beim Umgang mit Sicherheitsvorfällen
Nach Auffassung des ISF haben Unternehmen wenig Schwierigkeiten, die unmittelbaren und offensichtlichen Kosten eines Sicherheitsvorfalls zu bestimmen. Häufig fehlten ihnen aber Strategien für die Bewertung der langfristigen und immateriellen Schäden. Der Report zeigt zudem, dass ein Großteil der Unternehmen falsche Prioritäten setzt. Sie beschäftigten sich zu sehr mit den Symptomen eines Zwischenfalls und vernachlässigen dabei die Ursachen. Zudem würde immer noch zu wenig in die Schadensprävention investiert.
Die Kernaussagen des Reports im Überblick
– Schwerwiegende Sicherheitsvorfälle beruhen nicht immer auf bedeutenden Auslösern.
– Nach wie vor setzen viele Organisationen bei ihren Sicherheitsinvestitionen falsche Prioritäten.
– Ein zu starker Fokus auf “Schwarze Schwäne”, also höchst unwahrscheinlichen Ereignissen mit gravierenden Auswirkungen, kann von vordringlichen Sicherheitsmaßnahmen und wahrscheinlicheren Ereignissen ablenken.
– Eine gute Strategie konzentriert sich auf fünf bis sieben Risikoszenarien.
– Ein Risikomanagement, das nicht aus Zwischenfällen “lernt”, ist unvollständig.
– In der Praxis ist die Bestandsaufnahme nach Sicherheitsvorfällen und die Anpassung der Strategie der am schwächsten ausgeprägte Teil des Schadensmanagements.
– Sicherheitszwischenfälle verursachen weitaus mehr als die unmittelbar erkennbaren Kosten. Viele Unternehmen sind sich über die Folgekosten nicht bewusst.
– Ein schlechtes Schadensmanagement kann zusätzlich Verluste nach sich ziehen, die weit über die direkt mit dem Vorfall in Verbindung stehenden Kosten hinausgehen.
“Schwerwiegende Sicherheitsvorfälle lassen sich nicht vollständig vermeiden. Viele Unternehmen haben eine funktionierende Strategie zur Bewältigung der unmittelbaren Folgen. Häufig fehlt ihnen aber eine strukturierte Vorgehensweise für die Analyse der Ursachen eines Angriffs und der Adaption ihrer Strategie. Dadurch nehmen sie unnötige Risiken und Kosten in Kauf”, sagt Michael de Crespigny, CEO des ISF. “Ohne adäquate Bewertung der Folgen wissen Unternehmen nicht, welche langfristigen oder mittelbaren Kosten wie zum Beispiel Imageschäden ein Sicherheitsvorfall verursacht. Der neue Report “You could be Next” zeigt auf, wie Verantwortliche schneller reagieren können und im Unternehmen funktionierende Strategien für das Schadensmanagement implementieren können.”
Zusätzliche Informationen zum Information Security Forum sowie zur Mitgliedschaft finden sich unter
www.securityforum.org.
Das Information Security Forum (ISF) wurde 1989 gegründet und ist eine unabhängige, weltweit tätige Non-Profit-Organisation für Informationssicherheit, Cybersicherheit und Risikomanagement. Zu den Mitgliedern gehören namhafte Unternehmen aus der ganzen Welt. Aufgaben der Organisation sind die Erforschung, Klärung und Lösung wichtiger Probleme der Informationssicherheit sowie die Entwicklung von Best-Practice-Methoden, -Prozessen und -Lösungen, die speziell auf die Geschäftsanforderungen der Mitglieder zugeschnitten sind.
ISF-Mitglieder profitieren vom Einsatz und Austausch detaillierten Fachwissens sowie von praktischen Erfahrungen, die auf Erkenntnissen der Mitgliedsunternehmen sowie eines umfassenden Forschungs- und Arbeitsprogramms basieren. Das ISF bietet einen vertrauensvollen Rahmen und unterstützt seine Mitglieder beim Einsatz hochmoderner Strategien und Lösungen im Bereich der Informationssicherheit. Durch die Zusammenarbeit können Mitglieder enorme Ausgaben vermeiden, die sonst erforderlich wären, um diese Ziele im Alleingang zu erreichen.
Weitere Informationen über die Forschungsprojekte des ISF sowie die Mitgliedschaft erhalten Sie unter www.securityforum.org.
Kontakt:
Information Security Forum
Steve Durbin
10-18 Union Street
SE1 1SZ London
+44 (0) 20 7212 1173
steve.durbin@securityforum.org
https://www.securityforum.org
Pressekontakt:
Schwartz Public Relations
Bernhard Krause
Sendlinger Straße 42 A
80331 München
+49-(0)89-211871-45
bk@schwartzpr.de
https://www.schwartzpr.de