Start unserer Blogreihe
Frameworks erlauben es, den Schutz von Daten und Informationen strukturiert und methodisch anzugehen. In unserer Blogreihe geben wir einen Einblick in die bekanntesten Security Frameworks. Alle bieten ein Set von Best Practises zum Schutz von digitalen Assets, Definieren von Risikoappetit und Kontrollen. Doch welches Framework am besten geeignet ist für das eigene Unternehmen, ist keine leicht zu beantwortende Frage.
Weshalb ein Cyber Security Framework?
Unternehmen werden immer abhängiger von IT und Daten. Damit steigen gleichzeitig die Risiken: Durch die immer grössere Vernetzung in der IT und direkter Kollaboration mit Endbenutzern hat sich die Angriffsfläche in den letzten Jahren für viele Unternehmen deutlich vergrössert.
Mit der Vernetzung und dem Einsatz neuer Technologien, nimmt auch die Komplexität zu und erschwert es Unternehmen, die eigene Infrastruktur vor Cyberangriffen zu schützen. So sehen 100% der befragten CEOs im PWC CEO Survey 2022, dass Cyberbedrohungen die grösste Gefahr für ihre Unternehmen sind.
Eine Methode, um ein besseres Security Level im eigenen Unternehmen zu etablieren, ist die Nutzung eines Frameworks. Es stellt eine Struktur und Methodik bereit, um die digitalen Assets zu schützen. Zusätzlich bieten viele Frameworks nützliches Hintergrundwissen und Ressourcen für weiterführende Tätigkeiten an.
Was ist ein Framework?
Ein Framework ist eine Blaupause für die Strukturierung der verschiedenen Tätigkeiten und soll sicherstellen, dass man die Themenfelder ganzheitlich abdeckt.
Grundsätzlich können die Security Frameworks in drei Kategorien unterteilt werden:
Risk Frameworks
Risk Frameworks helfen bei der Priorisierung von Verteidigungsmassnahmen in Unternehmen. Sie helfen Organisationen die Risiken zu identifizieren, zu bewerten und Massnahmen abzuleiten, um die Risiken zu minimieren. Beispiele sind das NIST Risk Management Framework und der ISO/IEC 31010 Standard.
Control Frameworks
Control Frameworks können als Teilchenkatlog verstanden werden. Sie definieren Kontrollen, welche Organisationen durchführen können. Oftmals sind diese Umfänglich und beschreiben ein breites Arsenal von möglichen Tätigkeiten, welche die Informationssicherheit stärken. Beispiele sind etwa die Critical Security Controls von CIS, die NIST SP-800-53 oder der Anhang A von ISO/IEC 27001.
Program Frameworks
Im Gegensatz zu Control Frameworks können Program Frameworks als Bauanleitungen verstanden werden. Sie berücksichtigen sowohl Risiken wie auch Kontrollen und beschreiben, wie diese in Zusammenspiel zu einem Informationssicherheitsprogramm umgesetzt werden können. Weiter beinhalten diese Frameworks auch den Kontext von Organisationen. Beispielsweise nehmen weder Risiko noch Control Frameworks Stellung zu Ressourcenknappheit in Organisationen. Beispiele für Program Frameworks sind das NIST Cyber Security Framework oder der ISO/IEC 27001 Standard.
Bekannteste Cyber Security Frameworks
Einige Frameworks wurden bereits erwähnt. Zusätzlich gibt es noch den Schweizer IKT-Minimalstandard, welcher aktuell für Kritische Infrastrukturen der Schweiz empfohlen wird. Der IKT-Minimalstandard ist stark an das NIST CSF angelehnt. In den kommenden Wochen werden wir auf bekanntesten Frameworks genauer eingehen.
NIST Cyber Security Framework
Ein Program Framework, welches sich international bewährt hat.
ISO 27001
Ein Program Framework, welches zertifizierbar ist.
CIS Critical Security Controls
Ein Control Framework, welches wichtige Tätigkeiten in der Informationssicherheit enthält und priorisiert.
IKT Minimalstandard
Ein Program Framework, welches für Kritische Infrastruktren der Schweiz empfohlen wird. Basiert massgeblich auch dem NIST Cyber Security Framework.
Fazit
Unternehmen, müssen unterschiedlichen Cyber- und Informationssicherheits Anforderungen erfüllen. Zusätzlich wird die Komplexität von Informationssystemen immer grösser und erfolgreiche Cyberangriffe können erheblichen Schaden verursachen.
Frameworks bieten ein Vorgehen, um diese Herausforderungen strukturiert anzupacken und die Cyber Resilienz des eigenen Unternehmens zu erhöhen.
Wir beraten unsere Kunden hinsichtlich ihrer Informationssicherheit und Umsetzung. Nehmen Sie noch heute Kontakt mit unseren Experten auf. Wir beraten Sie gerne!