Skip to main content

Entdecken der Bedeutung von Governance für Cyberresilienz

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Benennen der sechs Prinzipien für die Öl- und Gasindustrie, die Aufsichtsräten helfen, Cyberrisiken in den Griff zu bekommen
  • Beschreiben, wie ein umfassendes Governance-Modell für Cybersicherheit im Öl- und Gassektor etabliert werden kann
  • Auflisten von Fragen, die bei der Förderung einer Kultur von "Security by Design" und "Resilience by Design" zu berücksichtigen sind
  • Erläutern, warum die Unternehmensleitung Cyberrisiken für das Unternehmen und das breitere Ökosystem im Auge behalten sollte

Prinzipien für Cyberresilienz in der Öl- und Gasindustrie

Die sechs folgenden Prinzipien gelten spezifisch für die Öl- und Gasindustrie (OG) und ergänzen die allgemeinen Prinzipien zur Cyberresilienz des Weltwirtschaftsforums (WEF), um kritische Herausforderungen im Bereich Cyberresilienz zu bewältigen. 

  • OG1. Governance für Cyberresilienz
  • OG2. Resilience by Design
  • OG3. Unternehmerische Verantwortlichkeit für Cyberresilienz
  • OG4. Ganzheitlicher Ansatz für das Risikomanagement
  • OG5. Zusammenarbeit im gesamten Ökosystem
  • OG6. Pläne für Cyberresilienz im gesamten Ökosystem

Diese für die Öl- und Gasindustrie geltenden Prinzipien bieten Fachleuten für Cybersicherheit Unterstützung bei der Umsetzung. Sehen wir uns diese Prinzipien nun genauer an.

Prinzip OG1: Governance für Cyberresilienz

Hinweis

Bevor Sie ein umfassendes Governance-Modell für Cybersicherheit etablieren, sollten Sie zunächst bestimmen, welche Daten das Unternehmen schützt, und Faktoren wie Datenklassifizierung und Kritikalität von Geschäftsprozessen prüfen. Im Anschluss daran ist der nächste Schritt die Entwicklung eines Frameworks für Governance im Bereich Cybersicherheit mit klaren Rollen und Verantwortlichkeiten, einer Aufgabenbeschreibung und Zielvorstellung. 

Der Aufsichtsrat von Unternehmen in der Öl- und Gasindustrie muss die Geschäftsleitung mit der Etablierung eines umfassenden Governance-Modells für Cybersicherheit beauftragen.

Aufsichtsräte sollten diese Fragen bei der Umsetzung von Cyberresilienz in ihrem Unternehmen berücksichtigen.

  • Wie schafft das Governance-Modell eine auf Zusammenarbeit ausgelegte Beziehung zwischen Informationstechnologie (IT), operativer Technologie (OT) und physischen Sicherheitsmaßnahmen? Welche wirksamen Mechanismen bestehen zur Unterstützung dieser Beziehung?
  • Welche Rollen und Verantwortlichkeiten für Cyberresilienz wurden in den Bereichen IT, OT und physische Sicherheitsmaßnahmen festgelegt, integriert und berücksichtigt?
  • Was sind die bestehenden Anreize für bewährte Vorgehensweisen zur Absicherung von Betriebs- und Sicherheitsumgebungen?
  • Wie wird das Governance-Modell für Cyberresilienz überprüft?

Implementieren von Governance für Cyberresilienz

Es folgen einige Vorschläge für Aktivitäten zur Implementierung von Governance für Cyberresilienz:

  • Schaffung eines umfassenden Governance-Modells mit der Fähigkeit zur Verwaltung und Überwachung von Cyberresilienz für IT, OT, physische Sicherheit, Gesundheits- und Arbeitsschutz und digitale Transformation
  • Sicherstellung einer angemessenen Autoritäts- und Befehlsebene für Verantwortliche und Fachexperten, die über die nötige Erfahrung und Ressourcen für die Erfüllung von Pflichten im Bereich Cybersicherheit verfügen
  • Bereitstellung regelmäßiger Aktualisierungen in enger Zusammenarbeit mit verschiedenen Geschäftsbereichsleitern in angemessener Regelmäßigkeit für die Umsetzung der Strategie für Cyberresilienz und des entsprechenden Budgets
  • Förderung einer Kultur der Cyberresilienz durch regelmäßigen Austausch bewährter Vorgehensweisen im Rahmen von Schulungen und Aufklärungsmaßnahmen im gesamten Unternehmen

Es folgen vorgeschlagene Kennzahlen:

  • Prozentsatz der Beschäftigten, die Aufklärungsprogramme zum Thema Cybersicherheit und Verfahren zur Cyberhygiene erfolgreich absolviert haben, wobei der Schwerpunkt auf Gruppen mit hohem Risiko liegt (z. B. Aufsichtsräte, Vorstände, Mitarbeiter in den Bereichen IT, Ingenieurwesen, Personalwesen und Finanzen)
  • Anzahl der Kooperationsprojekte im Bereich Cybersicherheit mit Geschäftsbereichen

Prinzip OG2: Resilience by Design

Der Aufsichtsrat von Unternehmen in der Öl- und Gasindustrie sollte eine Kultur von Security by Design und Resilience by Design fördern und von der Geschäftsleitung verlangen, dass sie ähnliche Standards und Vorgaben umsetzt und Fortschritte dokumentiert. 

Aufsichtsräte sollten diese Fragen bei der Umsetzung von Cyberresilienz in ihrem Unternehmen berücksichtigen.

  • Werden Cyberrisiken und die damit verbundenen Folgen bewertet, berücksichtigt und hinsichtlich aller geschäftlichen Aspekte angemessen gehandhabt?
  • Wie wird aufgabenbereichs- und abteilungsübergreifende Verantwortlichkeit für die Bewältigung von Cyberrisiken geschaffen, um Resilience by Design zu erreichen?
  • Wie werden Aktivitäten im Rahmen des Risikomanagements abteilungsübergreifend im Unternehmen koordiniert?
  • Wie werden direkte und indirekte Cyberrisiken bei laufenden Maßnahmen gehandhabt und neue Initiativen geplant?
  • Wie werden Mitarbeiter in Schlüsselpositionen über die Auswirkungen von Cyberresilienz und die Erwartungen an ihre Rolle aufgeklärt?

Sehen wir uns ein Beispiel an.

Ein Erdölunternehmen berücksichtigt Risiken für Cybersicherheit

Tim ist Aufsichtsratsmitglied eines Erdölunternehmens und arbeitet an der Einbindung von Cybersicherheit in alle Aspekte der Wertschöpfungskette, von IT-Geräten bis zu Energieanlagen, die über OT-Regelsysteme miteinander verbunden sind. Um die Aufmerksamkeit auf Cyberrisiken zu lenken, haben Tim, die anderen Aufsichtsratsmitglieder und der CEO in einem Memorandum, das der Chief Operating Officer (COO) und der Chief Information Officer (CIO) an das Unternehmen weitergeleitet haben, wichtige Prinzipien zum Thema Cyberrisiken entwickelt und festgehalten. Mit Unterstützung des Aufsichtsrats war das Team in der Lage, sein Cybersicherheitsprogramm auszubauen, indem es zusätzliches Personal und finanzielle Mittel bereitgestellt und ein System zur Governance für Cybersicherheit eingeführt hat, um Risiken besser handhaben zu können.

Tim stellt den anderen Aufsichtsratsmitgliedern einen Plan zur Einstellung von mehr Personal und zur Aufstockung der Mittel für das Cybersicherheitsprogramm vor

Umsetzen von Resilience by Design

Zu den vorgeschlagenen Maßnahmen für die Umsetzung von Resilience by Design gehören u. a.:

  • Festlegen von Kennzahlen für Cyberresilienz und geeigneter Anreize für alle Geschäftsbereiche, damit diese sich die neuen Anforderungen an Cyberresilienz zu eigen machen und sich für deren Umsetzung in ihren Betriebsabläufen engagieren
  • Einrichten einer regelmäßigen Berichterstattung zur Cyberresilienz durch den Beauftragten für Cyberrisiken und Cyberresilienz
  • Zusammenarbeiten mit Geschäftsbereichen und für Risiken zuständigen Abteilungen, um die Lage in Bezug auf Cyberrisiken an geschäftliche Anforderungen anzupassen
  • Schaffen eines Aufklärungsprogramms für Cybersicherheit, das auf die Bedürfnisse der einzelnen Geschäftsbereiche und ihre besonderen Risiken zugeschnitten ist
  • Ausstatten des Personals mit der Fähigkeit, Cyberrisiken zu erkennen und zu handhaben
  • Sicherstellen, dass Cyberresilienz-, Schutz-, Erkennungs- und Reaktionsfähigkeiten gezielt in technische und geschäftliche Maßnahmen integriert sind

Es folgen vorgeschlagene Kennzahlen;

  • Prozentsatz der Prozesse in den Geschäftsbereichen, die Verfahren zur Cyberresilienz gezielt umsetzen und integrieren.
  • Prozentsatz der Mitarbeiter, die (zugeschnitten auf verschiedene Ebenen) an Aufklärungsschulungen zur Cyberresilienz teilnehmen.
  • Prozentsatz der Leuchtturmprojekte, die als Modell für gezielte Cyberresilienz dienen. Der Begriff Leuchtturm bedeutet, dass diese Projekte als Richtschnur für andere Projekte dienen können, die modernste Technologien wie künstliche Intelligenz (KI) und fortschrittliche Analyseverfahren für die Entwicklung cyberresilienter Systeme einsetzen.
  • Durchschnittliche Zeit, um einen kritischen Cybersicherheitsvorfall, der zu einem Systemausfall oder einer Systemstörung führt, zu erkennen, darauf zu reagieren und ihn zu bereinigen.

Prinzip OG3: Unternehmerische Verantwortlichkeit für Cyberresilienz

Der Aufsichtsrat von Unternehmen in der Öl- und Gasindustrie hat die Aufgabe, die Geschäftsleitung anzuhalten, Cyberrisiken für das Unternehmen und gesamte Ökosystem zu prüfen, die Cybersicherheitskultur und -praktiken des Unternehmens zu untersuchen und zu erkunden, wie sich diese Risiken bewältigen lassen. 

Aufsichtsräte sollten diese Fragen bei der Umsetzung von Cyberresilienz in ihrem Unternehmen berücksichtigen.

  • Wie sieht die Geschäftsleitung die Cyberrisiken, die das Unternehmen in das Ökosystem einführt, die potenziellen Folgewirkungen und das entsprechende Risiko für die Reputation?
  • Wie werden die primären und Folgeeffekte von Cyberrisiken in allen Aspekten des Unternehmens bewertet und gehandhabt, und wie werden die potenziellen Folgeeffekte und das entsprechende Risiko für die Reputation bewertet?
  • Wie plant das Unternehmen, ein potenzielles Cyberrisiko, eine Schwachstelle und einen Vorfall, der in das Ökosystem gelangt ist, den relevanten Beteiligten mitzuteilen?

Sehen wir uns ein Beispiel an.

Ein Energie- und Petrochemieunternehmen stellt von Cybersicherheit auf Cyberresilienz um

Viele Unternehmen beherbergen verschiedene Kulturen mit unterschiedlicher Risikobereitschaft, was sich nachteilig auf die Umsetzung unternehmensweiter Richtlinien und bewährter Verfahren für Cybersicherheit auswirken kann. Risikobereitschaft ist die Bereitschaft des Unternehmens oder Beteiligten, das Risiko nach Umsetzung entsprechender Maßnahmen zu tragen, um seine Ziele zu erreichen. Gesetzliche und aufsichtsrechtliche Anforderungen müssen in diese Risikobereitschaft einfließen, damit Unternehmen oder Beteiligte die Vorgaben von Aufsichtsbehörden einhalten können.

Mit dem Ziel, die potenziellen Auswirkungen von Cyberangriffen in einem Energie- und Petrochemieunternehmen einzudämmen, hat Chief Information Security Officer (CISO) Alison die Notwendigkeit erkannt, die Risikobereitschaft der Geschäftsbereiche mit den Erwartungen der Beteiligten in Einklang zu bringen, um Cyberresilienz im gesamten Unternehmen ganzheitlich zu realisieren. Der Aufsichtsrat hat Schulungen und Aufklärungsmaßnahmen unterstützt und Ressourcen zur Verfügung gestellt, um für mehr Cyberresilienz im Unternehmen zu sorgen. Indem der Aufsichtsrat Alison die entsprechenden Ressourcen und Unterstützung zusicherte, konnte sie Verbündete für die Umsetzung neuer Cyberrichtlinien und -praktiken gewinnen.

Umsetzen unternehmerischer Verantwortlichkeit für Cyberresilienz

Es folgen Vorschläge für Maßnahmen zur Umsetzung unternehmerischer Verantwortung für Cyberresilienz:

  • Zusammenarbeiten mit anderen Beauftragten der Geschäftsbereiche und Einzelpersonen, die die Verantwortung für die Einbindung von Cyberresilienz in ihre Prozesse tragen
  • Ergreifen von Maßnahmen, um interne Cyberrisiken für Partner in der Lieferkette und das gesamte Ökosystem zu bewältigen, falls das Unternehmen von einem Angriff oder einer Sicherheitsverletzung betroffen ist
  • Erweitern bestehender Pläne zur Geschäftskontinuität mit Offline-Wiederherstellungsmaßnahmen, Out-of-Band-Kommunikationsmethoden und unabhängigen Standorten zur Wiederherstellung, um mit Cybersicherheit verbundene Ereignisse abzudecken und Resilience by Design zu verbessern.
  • Etablieren einer ökosystemweiten Zusammenarbeit und von Maßnahmen für einen Plan für mehr Resilienz

Es folgen vorgeschlagene Kennzahlen:

  • Anzahl kritischer/hoher Cyberrisiken in Bezug auf Lieferanten/Geschäftspartner nach Status (akzeptiert, vermieden, entschärft, übertragen)
  • Anzahl der im Ökosystem entdeckten/geteilten Cybersicherheitsvorfälle und Maßnahmen zur Behebung gemeldeter Schwachstellen pro Quartal
  • Häufigkeit der Überprüfung der Budgetierung und Zuteilung von Ressourcen, um sicherzustellen, dass die Risikobereitschaft der Organisation in Bezug auf Cyberrisiken angemessen berücksichtigt wird
  • Anzahl der in den Plänen für Geschäftskontinuität und Notfallwiederherstellung enthaltenen Szenarien für Cybersicherheitsvorfälle

Zusammenfassung

In dieser Lektion haben Sie drei der sechs Prinzipien kennengelernt und erfahren, wie Sie ein umfassendes Governance-Modell für Cybersicherheit für Unternehmen in der Öl- und Gasindustrie etablieren können. Sie haben auch gelernt, wie Sie eine Kultur von Security by Design und Resilience by Design fördern können, und wie wichtig es ist, Cyberrisiken für das Unternehmen und das gesamte Ökosystem zu berücksichtigen.

Als Nächstes erfahren Sie mehr darüber, wie Sie einen ganzheitlichen Ansatz für das Risikomanagement zur Cyberresilienz in der Öl- und Gasindustrie umsetzen können, und welche Maßnahmen Unternehmen in der Branche ergreifen können, um Zusammenarbeit zu fördern.

Ressourcen

Teilen Sie Ihr Trailhead-Feedback über die Salesforce-Hilfe.

Wir würden uns sehr freuen, von Ihren Erfahrungen mit Trailhead zu hören: Sie können jetzt jederzeit über die Salesforce-Hilfe auf das neue Feedback-Formular zugreifen.

Weitere Infos Weiter zu "Feedback teilen"