Skip to main content

Aufbauen einer Kultur für Risikomanagement

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Auflisten der Fragen, die bei der Umsetzung eines ganzheitlichen Ansatzes zum Risikomanagement zu berücksichtigen sind
  • Bestimmen von Maßnahmen zur Förderung der Zusammenarbeit
  • Beschreiben des Ausarbeitens von Plänen für Cyberresilienz im gesamten Ökosystem

Lassen Sie uns die Prinzipien des Weltwirtschaftsforums (WEF) für Cyberresilienz in der Öl- und Gasindustrie (OG) weiter erkunden.

Prinzip OG4: Ganzheitliches Risikomanagement

Der Aufsichtsrat von Unternehmen in der Öl- und Gasindustrie sollte Cyberrisiken im gesamten zugehörigen Ökosystem durch ein angemessenes Mandat, entsprechende Mittel, Ressourcen und Rechenschaftspflicht für Programme zur Cyberresilienz handhaben. 

Aufsichtsräte sollten diese Fragen bei der Implementierung von Cyberresilienz in ihren Unternehmen berücksichtigen:

  • Welche Risiken stellen interne und externe Dritte für das Unternehmen dar?
  • Welche Finanz- und Personalressourcen reichen aus, um die entsprechenden ganzheitlichen Ziele für das Risikomanagement in Bezug auf Cybersicherheit zu erreichen?
  • Wie werden beim derzeitigen Ansatz für Risikomanagement Cyberrisiken in der Lieferkette berücksichtigt?

Umsetzen eines ganzheitlichen Ansatzes für das Risikomanagement

Zu den vorgeschlagenen Maßnahmen für die Umsetzung eines ganzheitlichen Risikomanagements gehören u. a.:

Es folgen vorgeschlagene Kennzahlen:

  • Prozentsatz der bewerteten strategischen Lieferanten und Partner (Sorgfaltsprüfung hinsichtlich Cyberresilienz) und mit Sicherheitsklauseln in ihren Verträgen
  • Anzahl kritischer systemischer Risiken (die die Branche als Ganzes betreffen), die von der Risikoanalyse des Unternehmens erfasst werden
  • Häufigkeit von Risikobewertungen (der Gesamtprozess der Ermittlung, Analyse und Beurteilung von Risiken), die für kritische Unternehmensressourcen, Aufgabenbereiche, Lieferanten und Partner z. B. auf Grundlage von Informationen zur Analyse der geschäftlichen Auswirkungen erfolgen
  • Anzahl der kritischen Ressourcen, die vom Risikomanagementprozess abgedeckt sind

Sehen wir uns ein Beispiel an.

Ein skalierbarer Prozess zur Akzeptanz von Cyberrisiken

Carolyn ist Führungskraft bei einem Ölfeld-Service-Unternehmen. Ihr Ansatz besteht darin, das Management von Cyberrisiken zu dokumentieren und Cyberbedrohungen als Gefahr für den Geschäftsbetrieb einzustufen.. Um sicherzustellen, dass Cybersicherheit oberste Priorität hat, leitet Carolyn als Teil des Beschaffungs- und Aufbauprozesses des Unternehmens Sicherheitsüberprüfungen, sowohl intern als auch von Lieferanten. 

Dieser Prozess besteht aus vier Schritten: Beantragen, Bewerten, Genehmigen und Nachverfolgen. Wenn ein Antrag gestellt wird, führt Carolyns Team eine risikobasierte Bewertung durch, die sich auf eine stabile, wiederholbare und skalierbare Sammlung von Kontrollmechanismen stützt und Faktoren wie die Klassifizierung von Daten und die Kritikalität von Geschäftsprozessen berücksichtigt. Der Prozess erfordert anschließend die Genehmigung durch die Fach-, Rechts- und IT-Abteilungen, wobei je nach Risikograd bestimmte Stufen festgelegt werden. 

Schließlich nutzt Carolyn regelmäßige Berichte für die Geschäftsleitung, um Cyberbedrohungen, einschließlich Abhilfemaßnahmen, zu erfassen. Dieser wiederholbare und skalierbare Prozess gewährleistet die konsistente Anwendung risikobasierter Kontrollmechanismen mit klar zugewiesenen Verantwortlichkeiten für die Risikobewertung und abteilungsübergreifender Verantwortlichkeit für Risiken.

Prinzip OG5: Zusammenarbeit im gesamten Ökosystem

Der Aufsichtsrat von Unternehmen in der Öl- und Gasindustrie sollte seine Geschäftsleitung dazu befähigen, eine Kultur der Zusammenarbeit zu schaffen, um Risiken des gesamten Ökosystems effektiv zu überwachen und in den Griff zu bekommen. 

Aufsichtsräte sollten diese Fragen bei der Umsetzung von Cyberresilienz in ihren Unternehmen berücksichtigen.

  • Wie engagiert sich die Organisation auf Plattformen für die Zusammenarbeit im Bereich der Cyberresilienz und in Aktionsgruppen?
  • Welcher Maßnahmenkatalog zur Cyberresilienz deckt die Ökosysteme des Unternehmens ab?
  • Wie werden die bei der Zusammenarbeit gewonnenen Erkenntnisse genutzt, um die Cyberresilienz des Unternehmens und Ökosystems zu stärken, und wie ermöglichen sie neue Chancen?

Sehen wir uns ein Beispiel an.

Etablieren eines Ansatzes im gesamten Ökosystem 

Gregory ist Leiter der IT-Abteilung eines Energielieferanten, dessen heterogenes Ökosystem sich auf verschiedene Unternehmen, Partnerschaften und Gemeinschaftsprojekte im gesamten vor- und nachgelagerten Geschäft stützt. Jeder Teil des Ökosystems bringt seine eigenen betrieblichen Umweltnormen und unterschiedlichen Ansätze für Cybersicherheit mit ein, die sich als kompliziert zu handhaben erweisen können. 

Um Cyberrisiken einzudämmen, hat Gregory eine Initiative ins Leben gerufen, die darauf abzielt, die Kluft zwischen diesen verschiedenen Betriebsumgebungen zu schließen und die vor- und nachgelagerten OT-Teams (Operative Technologie) miteinander zu verbinden. Die IT-Abteilung hat ein zentrales Team eingerichtet, um gemeinsame Vorgehensweisen und Ansätze für Cyberrisiken zu gewährleisten. Das Team hat eine Standardinfrastruktur und einheitliche Tools für die Bestandsaufnahme von Anlagen eingeführt und Prozesse zur kontinuierlichen Überwachung der OT-Umgebung aufeinander abgestimmt. 

Dank dieses zentralisierten Teams kann Gregorys Unternehmen die gemeinsamen Kontrollmechanismen und Pläne für Cyberresilienz zwischen vor- und nachgelagerten Partnerunternehmen kontinuierlich verbessern.

Eine vorgelagerte Ölbohrvorrichtung und nachgelagerte Fässer mit Erdöl mit einem gebogenen Pfeil, der sie verbindet, und einem Schild mit einem Häkchen über dem Pfeil

Diese Methodik sorgt für ein Gleichgewicht zwischen Risikovorsorge und Schutz und verbessert gleichzeitig die Überwachungs- und Reaktionsmöglichkeiten. Die Zusammenarbeit und Abstimmung bei der Einführung vereinheitlichter Ansätze und Kontrollmechanismen verbessert die Überwachung und Transparenz der OT-Umgebung, wodurch die Erkennungs- und Reaktionszeit von IT/OT-Softwareversionen und -Patches von einigen Tagen auf Minuten reduziert wird.

Umsetzen von Zusammenarbeit im gesamten Ökosystem

Es folgen Vorschläge für Maßnahmen zur Umsetzung der Prinzipien der Zusammenarbeit im gesamten Ökosystem für Aufsichtsräte:

  • Arbeiten Sie mit Partnern im Ökosystem zusammen, um vereinheitlichte Ansätze zu entwickeln, zu verbessern und zu übernehmen, die auf Branchen-Frameworks, Standards und Tools basieren.
  • Beteiligen Sie sich an der Interaktion mit politischen Entscheidern und globalen Normungsorganisationen und erstellen Sie zugehörige Berichte, um die Zusammenarbeit im gesamten Ökosystem zu erleichtern.
  • Engagieren Sie sich in oder leiten Sie Communities und Initiativen für Cyberresilienz (unter Leitung von Branchen-, nationalen oder internationalen Organisationen), die den Informationsaustausch fördern, die Zusammenarbeit im gesamten Ökosystem stärken und kollektives Handeln vorantreiben.
  • Arbeiten Sie mit Interessenvertretern aus dem Ökosystem zusammen und beteiligen Sie sich aktiv an Gremien für den Informationsaustausch zu Cybersicherheitsthemen im gesamten System, z. B. Oil and Natural Gas Information Sharing and Analysis Center (ONG-ISAC), Operational Technology Information Sharing and Analysis Center (OT-ISAC), American Petroleum Institute (API), Agentur der Europäischen Union für Cybersicherheit (ENISA) usw.

Es folgen vorgeschlagene Kennzahlen:

  • Häufigkeit von Treffen und des Austauschs mit Vertretern aus dem Ökosystem und anderen Branchen
  • Häufigkeit von Treffen mit Sicherheitsbeauftragten und Experten für die Reaktion auf Cybervorfälle, einschließlich politischen Entscheidungsträgern, Vertretern aus den Bereichen nationale Sicherheit und Nachrichtendienste sowie Experten aus dem privaten Sektor für die Reaktion auf Cybervorfälle und Rechtsexperten
  • Anzahl der Berichte mit Bedrohungsanalysen und Hintergrundinformationen, die mit Vertretern aus dem gesamten Ökosystem ausgetauscht wurden

Prinzip OG6: Pläne für Cyberresilienz im gesamten Ökosystem

Der Aufsichtsrat von Unternehmen in der Öl- und Gasindustrie sollte die Geschäftsführung dazu anregen, gemeinsam mit anderen Mitgliedern des Ökosystems Pläne und Kontrollmechanismen für Cyberresilienz auszuarbeiten, umzusetzen, zu erproben und zu verbessern. 

Aufsichtsräte sollten diese Fragen bei der Umsetzung von Cyberresilienz in ihren Unternehmen berücksichtigen.

  • Welche Daten oder Informationen müssen geschützt werden? Welche Maßnahmen sieht der Plan zur Cyberresilienz vor? Wie deckt der Plan die Ökosysteme des Unternehmens ab, einschließlich Reaktion auf Vorfälle, Kommunikation, Geschäftskontinuität und Notfallwiederherstellung? Wird der Plan in angemessener Regelmäßigkeit getestet?
  • Welche Plattformen für Zusammenarbeit sollten Aufsichtsräte und Geschäftsführungsteams unterstützen, um sich für die Entwicklung gemeinschaftlicher Resilienzpläne einzusetzen?
  • Wie werden in den gemeinschaftlichen Resilienzplänen Risikovorsorge, Reaktion und Wiederherstellung im gesamten Ökosystem reflektiert und tariert?

Sehen wir uns ein Beispiel an.

Ein Energieunternehmen hilft bei der Absicherung der Wertschöpfungskette

Rebecca ist Mitglied des Aufsichtsrats eines Energieunternehmens. Sie hat eine Initiative unterstützt, bei der sich ihr Unternehmen mit einem Forschungszentrum für Informationssicherheit zusammengetan hat, um eine Umfrage unter Führungskräften und leitenden Mitarbeitern globaler Öl- und Gasunternehmen durchzuführen, um die Reaktionsbereitschaft der Unternehmen im Bereich Cybersicherheit zu bewerten. Die Ergebnisse der Umfrage ergaben, dass die meisten Unternehmen in der gesamten Branche Mühe haben, Cybersicherheitspersonal mit fundierten Kenntnissen über mit OT vernetzten Energieanlagen einzustellen, um Cyberangriffe zu erkennen und abzuwehren, noch bevor sie auftreten.

Rebeccas Unternehmen hat erkannt, dass eine Möglichkeit zur Verbesserung der Cybersicherheit aller Öl- und Gasunternehmen darin besteht sicherzustellen, dass kleine und mittlere Unternehmen Zugang zu fortschrittlichen, auf künstlicher Intelligenz (KI) basierenden Überwachungs- und Erkennungslösungen haben, um die schwächeren Glieder im digitalen Ökosystem besser gegen Cyberangriffe zu schützen. Durch Kombination interoperabler und herstellerunabhängiger KI-Technologien und effiziente Nutzung des Fachwissens von OT-Mitarbeitern können kleine und mittelgroße Energieunternehmen Zugang zu Überwachungs-, Erkennungs- und Cyberangriffsschutzfunktionen erhalten – ein Schutzniveau, das bisher nur von Unternehmen mit entsprechenden Budgets erreicht wurde.

Umsetzen von Plänen für Cyberresilienz im gesamten Ökosystem

Es folgen Vorschläge für Maßnahmen zur Umsetzung der Prinzipien für Pläne für Cyberresilienz im gesamten Ökosystem:

  • Entwickeln eines Plans für Cyberresilienz als eine der strategischen Prioritäten des Unternehmens, in enger Zusammenarbeit mit allen Leitern von Geschäftsbereichen und Abteilungen, und unter ausdrücklicher Einbeziehung des Aufsichtsrats
  • Festlegen eines festen Zeitplans für die Berichterstattung über Pläne für Cyberresilienz, einschließlich wichtiger Aktualisierungen, Testhäufigkeit und Ergebnisse
  • Durchführen regelmäßiger Cybersicherheitsübungen und -tests bezüglich Cyberresilienz, die Systemausfälle und die anschließende Wiederherstellung als Teil oder Schwerpunkt der Übung vorsehen
  • Überprüfen, ob Cybersicherheitsstrategie und -programm mit internen und externen Quellen, dem Vorfallmanagement und den Reaktions- und Wiederherstellungsfähigkeiten (aus der Perspektive von Personen, Prozessen und Technologie) miteinander verknüpft sind

Es folgen vorgeschlagene Kennzahlen:

  • Anzahl der durchgeführten Tests und getroffenen Abhilfemaßnahmen
  • Anzahl der Stunden der Unterbrechung oder Störung wesentlicher Geschäftsprozesse, einschließlich der finanziellen Auswirkungen von Unterbrechungen
  • Prozentsatz kritischer offener und abgeschlossener Maßnahmen, die aus Übungen zur Abwehrbereitschaft im Bereich Cybersicherheit resultieren, einschließlich Systemausfalltests als Teil oder Schwerpunkt der Übungen
  • Prozentsatz der kritischen Systeme, bei denen in diesem Quartal Notfall- und Notfallwiederherstellungspläne implementiert und erfolgreich getestet wurden

Zusammenfassung

In dieser Lektion haben Sie gelernt, wie in der Öl- und Gasindustrie ein ganzheitlicher Ansatz für das Risikomanagement umgesetzt wird. Sie haben auch erfahren, wie Sie die Zusammenarbeit im gesamten Ökosystem fördern können und wie wichtig es ist, Pläne für Cyberresilienz im gesamten Ökosystem auszuarbeiten. 

Als Nächstes erfahren Sie mehr darüber, wie die Prinzipien für Cyberresilienz in der Öl- und Gasindustrie umgesetzt werden und welche Maßnahmen Unternehmen in der Branche ergreifen können, um das Übernehmen neuer Cyberrichtlinien und -prinzipien zu ermöglichen. 

Ressourcen

Teilen Sie Ihr Trailhead-Feedback über die Salesforce-Hilfe.

Wir würden uns sehr freuen, von Ihren Erfahrungen mit Trailhead zu hören: Sie können jetzt jederzeit über die Salesforce-Hilfe auf das neue Feedback-Formular zugreifen.

Weitere Infos Weiter zu "Feedback teilen"