Dienstleistung

Cybersecurity

Cybersecurity

Cybersecurity – der Schutz einer Organisation vor Cyberangriffen – will geplant und gesteuert sein. Wir unterstützen Sie mit unseren Dienstleistungen im Bereich Cybersecurity Consulting unter anderem bei der Bestimmung der aktuellen Cybersecurity-Maturität in Ihrem Unternehmen, der Erarbeitung einer Cybersecurity-Strategie oder der Erstellung und Umsetzung einer Roadmap mit konkreten Schutzmassnahmen. Dazu bringen wir unsere langjährige Erfahrung aus zahlreichen Kundenprojekten sowie unser Wissen zu anerkannten Standards und Methoden wie beispielsweise dem NIST Cybersecurity Framework, dem IKT Minimalstandard des Bundes oder den Standards der ISO/IEC-27000-Reihe ein.

Eine umfassende Sicht

Cybersecurity betrifft heute alle Organisationen unabhängig von ihrer Grösse und Branche. Die zunehmende Digitalisierung aller Lebensbereiche bringt grosse Chancen, aber auch neue und veränderte Risiken mit sich. Die steigende Abhängigkeit aller Geschäftstätigkeiten von Informatikmitteln vergrössert die Angriffsfläche für Cyberattacken und erhöht das mögliche Schadensausmass eines Cyberangriffs. Digitalisierung muss deshalb stets durch entsprechende Massnahmen im Bereich der Cybersecurity begleitet werden.

Verschiedene Regulatoren und Aufsichtsbehörden haben die Wichtigkeit einer umfassenden Sicht auf das Thema Cybersecurity erkannt. So wurde das Thema teilweise in aufsichtsrechtlichen Vorgaben – z. B. im FINMA-Rundschreiben 2008/21 «Operationelle Risiken – Banken» – aufgenommen und wird im Rahmen von Audits und Kontrollen gezielt betrachtet. Oft dient das NIST Cybersecurity Framework oder der IKT-Minimalstandard des Bundes als Grundlage für die Überprüfung der Cybersecurity-Maturität einer Organisation.

Nicht jede Organisation ist in gleichem Mass der Bedrohung durch Cyberangriffe ausgesetzt. Eine Cyberstrategie muss immer auf die Bedürfnisse und das Umfeld einer Organisation zugeschnitten sein. Die konkrete Bedrohungslage und die damit verbundenen Risiken sind zu identifizieren. Daraus ist in der Folge die zu erreichende Maturität in den verschiedenen Bereichen der Cybersecurity zu bestimmen. Basierend auf Standards und Best Practices sind die konkret zu implementierenden Massnahmen abzuleiten.

In sechs Schritten zur Cybersecurity

Der Aufbau und die Sicherstellung einer angemessenen Umsetzung der Cybersecurity in einer Organisation erfolgen in sechs Schritten, die sich wie folgt zusammenfassen lassen:

  • Maturitäts-Assessment
    Am Anfang steht die Bestimmung der Cybersecurity-Maturität der Organisation, im NIST Cybersecurity Framework (NIST CSF) als «Current Profile» bezeichnet.
  • Bedrohungs- und Risikoanalyse
    Bedrohungen und die daraus resultierenden Risiken für die Organisation sind zu identifizieren und der aktuellen Cybersecurity-Maturität gegenüberzustellen.
  • Cybersecurity-Strategie und -Architektur
    In der Cybersecurity-Strategie ist festzulegen, wie die Bedrohungen adressiert und die Zielmaturität («Target Profile» im NIST CSF) erreicht werden sollen. Die Zielmaturität hängt von der Bedrohungslage und dem Risikoappetit der Organisation ab. Einzelne Massnahmen werden dazu in einer gesamtheitlichen Sicherheitsarchitektur zusammengeführt.
  • Cybersecurity-Plan und Roadmap
    Basierend auf dem Maturitäts-Assessment, der Risikoanalyse und der Cybersecurity-Strategie ist eine Roadmap zu entwickeln, mit der der gewünschte Zielzustand erreicht werden kann.
  • Umsetzung der Roadmap
    Nun folgt die Umsetzung der Massnahmen aus der Roadmap. Je nach Ausgangslage und zu erreichender Zielmaturität ist ein Programm mit mehreren Projekten zur Implementierung von kurzfristigen und langfristigen Massnahmen erforderlich.
  • Überwachung und Kontrolle
    Die umgesetzten Massnahmen sind regelmässig auf ihre Angemessenheit und Wirksamkeit zu überprüfen.

Unserer Erfahrung nach sind in den meisten Organisationen einzelne Cybersecurity Aspekte bereits vorhanden. Es ist unserer Meinung nach aber sinnvoll und hilfreich, das Thema Cybersecurity gesamtheitlich zu betrachtet und zu bearbeiten. Nur so kann sichergestellt werden, dass die begrenzt verfügbaren Ressourcen effizient und zielgerichtet eingesetzt werden. Wir unterstützen Sie bei der umfassenden Betrachtung der Cybersecurity in Ihrer Organisation, aber auch bei der punktuellen Ausarbeitung einzelner Aspekte einer Cybersecurity-Strategie oder in der Ausgestaltung und Umsetzung konkreter Cybersecurity-Massnahmen.

Kundennutzen

Die langjährige Erfahrung unserer Cybersecurity Consultants und ihre vertiefte Kenntnis der Anforderungen an die Cybersecurity in diversen Unternehmen und Branchen ermöglichen es ihnen, die Bedürfnisse unserer Kunden rasch zu erfassen, die notwendigen Massnahmen zu identifizieren und gemeinsam mit den Kunden ein passendes Vorgehen zu definieren. Als Kunde profitieren Sie dadurch von einem auf Ihre Bedürfnisse zugeschnittenen Vorgehen, in das unsere Erfahrungen mit vergleichbaren Organisationen einfliessen. Die Kombination unserer fachlichen Expertise mit unserer Managementkompetenz führt dazu, dass nicht nur die Technik stimmt, sondern auch organisatorische Aspekte berücksichtigt werden. So erarbeiten wir zum Beispiel die notwendigen Vorgaben im Bereich Cybersecurity oder definieren die benötigte Aufbau- und Ablauforganisation.

Sie erhalten von uns ein stets auf den aktuellen Zustand und die Bedürfnisse Ihrer Organisation zugeschnittenes Cybersecurity Consulting.