Security Champion – Wie Unternehmen sich schützen

Security Champion – Wie Unternehmen sich vor den Cyberangriffen von morgen schützen

Damit ein Unternehmen sich gegen Cyber-Angriffe schützen kann, muss es wissen welchen Gefahren es ausgesetzt ist. Was wäre, wenn ich mein Unternehmen optimal mit dem Budget, was ich habe schützen kann. Was wäre, wenn ich messen kann, wie gut meine Ausgaben für IT-Security die Risiken meines Unternehmens reduzieren? Was wäre, wenn ich verschiedene IT-Security Maßnahmen gegeneinander vergleichen kann und den Return on Security messbar mache?

Genau darum geht es in dem Buch Security Champion. Ich zeige, wie man im Unternehmen mehr Sicherheit erreicht und gleichzeitig die Kosten senkt. Damit IT-Security im Unternehmen die richtigen Maßnahmen ergreift, benötigt man Risikomanagement. Die Methoden, die hierbei für die IT-Security Risiken betrachtet werden, führen dazu, dass man glaubt Risiken zu behandeln, die es aber in Wirklichkeit gar nicht Wert sind behandelt zu werden. Am Ende einer Risikoanalyse steht man da mit roten, gelben, grünen oder entsprechenden geringen, mittleren oder hohen Risiken. Daraus sollen nun Maßnahmen abgeleitet werden, um die roten oder die hohen Risiken zu reduzieren. Ist es nun besser ein rotes Risiko zu reduzieren oder für das gleiche Geld drei gelbe und ein grünes? Diese Frage kann mit den aktuellen Methoden nicht beantwortet werden. Wissenschaftliche Studien haben gezeigt, dass die Methoden zum Risikomanagement in der IT-Security eher noch das Risiko erhöhen. Der Grund hierfür ist einfach. Eine qualitative Betrachtung von Risiken für im Ergebnis zu einem starken Informationsverlust. Dadurch ist es gar nicht mehr möglich am Ende eine Risikoanalyse brauchbare Ergebnisse abzuleiten. Es kommt sogar noch schlimmer. Die Ergebnisse einer Risikoanalyse führen dazu, dass sich die Beteiligten zuversichtlich fühlen die richtigen Maßnahmen daraus abzuleiten. Dies führt allerdings dazu, dass die getroffenen Entscheidungen noch schlechter sind als Entscheidungen, die ohne eine Risikoanalyse getroffen wurden.

Inhalte des Buches

• Wie der Nutzen von IT-Security Maßnahmen verglichen werden kann, so dass man erkennt für welche Kosten man welchen Zugewinn an Sicherheit bekommt
• Wie die Risikoanalyse verbessert werden kann, um verlässliche Entscheidung abzuleiten
• Wie Risiken vergleichbar gemacht werden können, so dass man erkennt, wie viel besser ist denn nun ein gelbes Risiko im Vergleich zu einem roten Risiko ist

IS-Risiko Status Quo

Warum die aktuellen qualitativen Methoden wie ISO27005 nicht zur Reduktion von IT-Security Risiken geeignet sind.

Risikomessung verbessern

Wie man die Genauigkeit der Risikomessung erhöht?

Cyber Resilienz

Wie Cyber Resilienz Unternehmen widerstandsfähiger gegen Cyberangriffe macht?

Messbares IS-Risiko

Wie man IT-Security Risiken messbar und vergleichbar machen kann?

Resilienz erhöhen

Wie Unternehmen ihre Cyber Resilienz erhöhen können?

Cyberangriffe reduzieren

Wie Unternehmen zukünftige Gefahren erkennen und ihre IT kosteneffizient auf die Gefahren von morgen vorbereiten?