Was ist ein risikobasierter Ansatz für Cybersicherheit? Patrick Steinmetz, BitSight Technologies, hat es in einem Fachartikel auf risknet.de unternommen, die Frage zu klären.
Wenn ein Unternehmen einen risikobasierten Ansatz verfolgt, berücksichtigt es bei den für die IT-Sicherheit relevanten Entscheidungen das Risiko vor allen anderen Faktoren. Bei allgemeinen Definitionen bleibt Steinmetz aber nicht stehen. Für ihn hat ein Programm für Cybersicherheit, das den risikobasierten Ansatz verfolgt, drei charakteristische Elemente, die er eingehender erörtert.
1. Kontinuierliches Monitoring
2. Priorisierung
3. Benchmarking
Im Vergleich zu Organisationen mit Compliance-orientierten Ansätzen oder idealistischen Unternehmen, die hundertprozentige IT-Sicherheit anstreben, könne eine Organisation mit einem risikobasierten Ansatz erhebliche Ressourcen einsparen. Er helfe den Unternehmen, den ROI seiner Projekte für Cybersicherheit zu bewerten und die Ausgaben für Tools und Systeme, die keinen Mehrwert bringen, zu senken.
Viele Unternehmen hätten Millionen für Best-of-Breed-Software ausgegeben, aber haben aufgrund von Fehlern von Benutzern oder der Zusammenarbeit mit Lieferanten mit ungenügender Cybersicherheit eine Datenschutzverletzung erlitten. Mit einem risikobasierten Ansatz seien solche Szenarien zu vermeiden.
Darüber hinaus kann nach der Meinung von Patrick Steinmetz dieser Ansatz die Abhängigkeit eines Unternehmens von teuren, externen IT-Sicherheitsexperten und umfassenden Assessments reduzieren. Durch den Einsatz von Tools zur Unterstützung des Security Performance Managements könne ein Unternehmen intern die Fähigkeiten aufbauen, die nötig sind, um seine Programme für Cybersicherheit kontinuierlich zu bewerten und zu priorisieren.
Vor allem aber reduziere der risikobasierte Ansatz für Cybersicherheit die Wahrscheinlichkeit, einen Datenverstoß zu erleiden. Bei laut Ponemon Institute durchschnittlichen Gesamtkosten einer Datenschutzverletzung von 3,86 Millionen US-Dollar im Jahr 2018 (148 US-Dollar pro verlorenem oder gestohlenem Datensatz) könne ein geringeres Risiko im Bereich Cybersicherheit den Unterschied zwischen Erfolg und Krise bedeuten.