So erreichen Sie die gewünschte Cyber-Sicherheitslage

Verbesserung der Cyber-Sicherheitslage

Der Weg zu mehr Sicherheit ist in jedem Unternehmen anders. Zu den Faktoren, die sich auf Ihr gewünschtes Sicherheitsprofil auswirken können, zählen das Betriebsrisiko, einzigartige Workflows im Betrieb, Richtlinien, Verfahrensvorschriften, Risikotoleranz usw.

Leider ist eine 100-prozentige Risikofreiheit unmöglich. Daher sollte das Ziel sein, ein tolerierbares Risikoniveau basierend auf Ihren einzigartigen Betriebsumgebungen zu erreichen.

Rockwell Automation Security Assessment Tool: Bewerten Sie Ihr aktuelles Risiko hinsichtlich der industriellen Sicherheit und nutzen Sie dieses Tool, um mit der Bestimmung von Methoden zur Minderung möglicher Sicherheitsrisiken zu beginnen.

Der Weg zur Verbesserung Ihrer industriellen Sicherheitsposition oder -lage scheint komplex zu sein – und das aus gutem Grund. Da es viele verschiedene Methodiken, industrielle Standards und verfügbare Technologien auf dem Markt gibt, ist der richtige Weg nicht immer eindeutig. Sie fragen sich vielleicht: „Wo sollen wir anfangen?“

Ein möglicher erster Schritt auf diesem Weg ist die Nutzung von Sicherheitsbeurteilungen. In ihrer einfachsten Form ist eine Sicherheitsbeurteilung eine strukturierte Messung der Sicherheitslage eines Systems oder einer Organisation.

Wenn sie richtig eingesetzt werden, können Beurteilungen eine äußerst effektive Methode zur Einschätzung Ihrer Sicherheitslage, zur Bestimmung der Lücken zwischen Ihrem Status quo und Ihrem Idealzustand und zur Darlegung eindeutiger Schritte für das Erreichen der gewünschten Sicherheitslage sein.

Beurteilungstypen

Der Begriff „Sicherheitsbeurteilung“ kann unterschiedliche Bedeutungen haben. Daher ist es wichtig, die Beurteilung mit Blick auf das Ziel der Initiative durchzuführen. Die gängigsten Beurteilungstypen führen jeweils zu unterschiedlichsten Erkenntnissen, die sich auf die Maßnahmen auswirken können, die Sie in Ihrem Sicherheitsprogramm ergreifen sollten.

  1. Schwachstellenbeurteilung: Bestimmt bekannte Schwachstellen innerhalb einer Umgebung, für deren Beseitigung dann ein Aktionsplan erstellt werden kann.
  2. Lückenanalyse: Bestimmt die Lücke zwischen der aktuellen Sicherheitslage und dem Idealzustand einer Organisation. Lückenanalysen erfolgen unter Beachtung eines Unternehmens- oder Industriestandards und sollen die Schritte, die zum Erreichen der gewünschten Sicherheitslage erforderlich sind, eindeutig definieren.
  3. Risikobeurteilung: Bietet einen ganzheitlicheren Überblick über die Sicherheitslage einer Organisation. Eine Risikobeurteilung kombiniert die Elemente einer Schwachstellenbeurteilung und einer Lückenanalyse, um bekannte Risiken anhand der Risikotoleranz der Organisation und ihrer optimalen Sicherheitslage zu bestimmen und zu beurteilen
  4. Sicherheitsprüfung: Bei diesem auf einer Beurteilung basierenden Service werden Sicherheitslage und -verfahren einer Organisation anhand bestimmter Industriestandards oder Anforderungen geprüft. Diese Prüfung dient in der Regel dazu, die Compliance mit NERC-CIP oder anderen Standards zu gewährleisten.

Bedenken Sie, dass die oben genannten Maßnahmen allgemeine Sicherheitsbeurteilungen sind. Daher sollten Sie vor der Auswahl unbedingt das gewünschte Ziel verstanden haben. Nur so ist sichergestellt, dass die Erwartungen übereinstimmen und erfüllt werden und dass die Beurteilung ausgewählt wird, die für den Fortschritt Ihres Cyber-Sicherheitsprogramms am effektivsten ist.

Bleiben Sie realistisch

Wenn Sie abwägen, welches der richtige Beurteilungstyp für Ihre Organisation ist, denken Sie daran, dass eine Beurteilung nur eine Momentaufnahme ist. Sie sollte nicht als einzige Lösung für das Sicherheitsprogramm einer Organisation betrachtet werden. Vielmehr ist sie als regelmäßige Überprüfung gedacht, mit der sichergestellt wird, dass Instandhaltung, Management und technische Kontrollen für die vorgesehene Risikotoleranz geeignet sind.

Wenn Ihre Budgets und Ressourcen begrenzt sind und Sie die Beurteilung nicht für die gesamte Organisation durchführen können, sollten Sie den Ansatz einer „repräsentativen Stichprobe“ verfolgen. Dieser verringert den Umfang der Beurteilung auf einen Teil Ihrer Organisation, um eine Ausgangsbasis zu schaffen.

Zusammenfassung

Sicherheitsbeurteilungen können effektive Werkzeuge zur Bewertung Ihrer aktuellen Sicherheitslage sein, müssen jedoch richtig ausgewählt, dimensioniert und mit einem realistischen Zeitplan kombiniert werden, der klar definierte Schritte zum Erreichen Ihres anvisierten Sicherheitsziels umfasst. Der richtige Anbieter unterstützt Sie bei den Beurteilungen und beim Aufbau eines stabilen Sicherheitsprogramms.

Dave Mayer
Gepostet 26 August 2019 Von Dave Mayer, Product Manager, Rockwell Automation
  • Kontakt:

Blog

Lesen Sie hier die Blogs, geschrieben von unseren Mitarbeiter und Mitarbeiterinnen sowie Gastautoren um Sie über technologieführende Themen zu IT und Automation zu informieren.