Umsetzen der Prinzipien für Cyberresilienz

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

Beschreiben, wie Sie eine Integrationsstrategie konzipieren, um das Übernehmen neuer Richtlinien und Prinzipien für Cybersicherheit zu ermöglichen
Erklären, wie Sie Unterstützung und Verbündete zum Priorisieren von Cyberresilienz finden
Auflisten von Maßnahmen, um Cyberresilienz als lohnende Geschäftschance für Ihr Unternehmen zu propagieren
Bestimmen, wie Sie einen Plan und ein Team erstellen, um das Übernehmen der Prinzipien für Cyberresilienz effizient umzusetzen
Beschreiben der Umsetzung von Prinzipien für Cyberresilienz und der Überwachung und Steigerung von Cyberresilienz in Ihrem Unternehmen

Umsetzen der Prinzipien

Um die Prinzipien des Weltwirtschaftsforums (WEF) zur Cyberresilienz in der Öl- und Gasindustrie umzusetzen und die beabsichtigten Vorteile voll auszuschöpfen, darf Cyberresilienz kein Nebenaspekt sein, sondern muss in die Unternehmenskultur und in alle Aspekte von Unternehmensnormen einfließen. Um die tief verwurzelte Denkweise in Unternehmen zu ändern, können Führungskräfte schrittweise bewährte Methoden zur Verbesserung von Cyberresilienz in Unternehmen in der Öl- und Gasindustrie einführen. Es folgen die Schritte für diesen Ansatz:

Entwerfen der Integrationsstrategie
Sichern von Unterstützung und Verbündeten
Vortragen der Argumentation
Erstellen eines Plans und Teams
Durchführen der Umsetzung
Überwachen und Optimieren

Sydney ist Chief Information Security Officer (CISO) bei einem staatlichen Erdöl- und Erdgasunternehmen. Lassen Sie uns mitverfolgen, wie sie die Prinzipien für Cyberresilienz für ihre Branche umsetzt.

Sydney steht vor einem Erdöl- und Erdgasunternehmen.

Entwerfen der Integrationsstrategie

Sydney weiß, wie wichtig es ist, eine Strategie auszuarbeiten, die das Übernehmen neuer Richtlinien und Prinzipien für Cybersicherheit effektiv integriert und ermöglicht. Sie beginnt mit der Erarbeitung einer Umsetzungsmethode, die sich auf vier wichtige Säulen innerhalb ihres Unternehmens stützt: Risikolage, interne Kultur, Organisationsmodell und Geschäftsstrategie. Sie bewertet den internen Entwicklungsstand und die Risikolage ihres Unternehmens, um die Prioritäten für Cyberrisiken richtig zu setzen.

Sydney stimmt außerdem die Prinzipien für Cyberresilienz mit der Strategie, Zielvorstellung und Philosophie des Unternehmens ab, indem sie deutlich macht, wie Cybersicherheit die Kernkompetenzen der einzelnen Geschäftsbereiche unterstützen und fördern kann. Sie ist mit dem Betriebsmodell und der Struktur des Unternehmens vertraut und prüft, welche wichtigen Akteure für eine schnelle und erfolgreiche Übernahme erforderlich sind. Sie wählt ein Umsetzungsmodell, das sich gut in die interne Unternehmenskultur einfügt, um das effektive Übernehmen und Umsetzen der Prinzipien für Cyberresilienz sicherzustellen.

Sichern von Unterstützung und Verbündeten

Um die interne Unterstützung sowohl seitens der mittleren als auch der oberen Führungsebene sicherzustellen, zeigt Sydney als Nächstes die Cyberrisiken ihrer Geschäftsbereiche auf und nutzt dabei das Mandat ihres Aufsichtsrats, Cyberresilienz zur Priorität zu machen. Sie skizziert die spezifischen Erwartungen und Anforderungen, die zur Unterstützung des Mandats des Aufsichtsrats erfüllt werden müssen, um die Zustimmung der entscheidenden Akteure zu gewinnen, indem sie den Nutzen der Prinzipien für Cyberresilienz in konkreten Situationen veranschaulicht. Sie sichert sich die Unterstützung der obersten Führungsebene, indem sie Aufsichtsratsmitgliedern die Argumente für Cyberresilienz vorträgt und verdeutlicht.

Sydney bestimmt auch die wichtigsten Unterstützer unter den verschiedenen Akteuren im Unternehmen, die für die Umsetzung der Prinzipien für Cyberresilienz entscheidend sind (z. B. der Risikobeauftragte des Unternehmens und das Revisionsteam). Sie sichert sich bei der Ausarbeitung eines strategischen Plans die Zustimmung der wichtigsten Führungskräfte, indem sie ihnen die Relevanz und Vorteile für ihre Geschäftsbereiche verdeutlicht. Sie stellt auch Ressourcen und finanzielle Unterstützung für Pilot- bzw. Leuchtturmprojekte mit speziellen Mitteln für Cybersicherheit bereit, indem sie operative Budgets für spezifische Maßnahmen zur Cyberresilienz bereitstellt.

Sydney lässt die Prinzipien für Cyberresilienz auch in bestehende Governance-Prozesse einfließen, um eine nahtlose und schnellere Umsetzung zu ermöglichen (z. B. durch die Nutzung der Sicherheitskultur und anderer ausgereifter Vorgehensweisen in ihrem Unternehmen).

Vortragen der Argumentation

Um die Unterstützung und das Engagement der oberen Führungsebene aufrechtzuerhalten, beschreibt Sydney Cyberresilienz als eine lohnende Geschäftschance für das Unternehmen. Sie ordnet neue Richtlinien für Cybersicherheit der Philosophie, Zielvorgabe und den strategischen Zielen des Unternehmens zu. Sie vermittelt die Komplexität und Dringlichkeit der Umsetzung, indem sie die Risiken für Unternehmen und Geschäftsbereiche aufzeigt.

Sydney stimmt sich auch mit ausgesuchten internen Verbündeten ab, um einen gemeinschaftlichen und ganzheitlichen Vorschlag bei der Vermittlung und Berichterstattung an den Aufsichtsrat zu gewährleisten. Sie verdeutlicht dem Aufsichtsrat die Vorteile von Cyberresilienz, indem sie den geschäftlichen Nutzen durch Quantifizierung und Qualifizierung der Risiken und Vorteile für das Unternehmen anhand praktischer Beispiele darlegt. Sie setzt auch klare Ziele, indem sie Leistungsmesspunkte und zeitgerechte Leistungsindikatoren festlegt und eine regelmäßige Berichterstattung (von monatlich bis halbjährlich) vorsieht.

Sydney unterstreicht gegenüber dem Aufsichtsrat Nutzen und Vorteile einer langfristigen Cyberresilienz, indem sie die Relevanz der Prinzipien für Cyberresilienz bekräftigt.

Erstellen eines Plans und Teams

Damit die Prinzipien für Cyberresilienz effektiv übernommen und umgesetzt werden können, erstellt Sydney als Nächstes einen Fahrplan mit klar definierten Maßnahmen, Meilensteinen und praktischen Leistungsindikatoren mit Mechanismen, die künftige Änderungen unterstützen. Sie wählt ein fachbereichsübergreifendes Team aus, um einen Umsetzungsfahrplan zu erstellen, der auf der Komplexität und Kultur ihres Unternehmens sowie den Zielen der Aufsichtsratsmitglieder basiert. Sie passt den Plan an und überprüft ihn (falls erforderlich), indem sie die wichtigsten Ergebnisse und Messpunkte festlegt und einen genau definierten Plan für die Berichterstattung und Kommunikation von Kennzahlen aufstellt.

Sydney definiert auch das Umsetzungsmodell, indem sie das interne Änderungsmanagement, die Geschäftsprozessentwicklung und die Umsetzungsmethode (z. B. die Nutzung der agilen Methodik des Unternehmens und die jährliche Geschäftsplanung) berücksichtigt. Sie vergewissert sich, dass das Team den Stellenwert der Prinzipien versteht und sich für den Fahrplan einsetzt, indem es sich individuelle Ziele setzt und die Verantwortlichkeit für Cybersicherheit in jeder Rolle verankert.

Durchführen der Umsetzung

Als Nächstes leitet Sydney die Umsetzung der wichtigsten Prinzipien für Cyberresilienz und Risikomanagement ein, um die Kultur für Cybersicherheit in ihrem Unternehmen zu gestalten, indem sie eine vorgegebene Integrationsstrategie verfolgt. Sie übernimmt das Einführen, Umsetzen und Verankern von Prinzipien für Cyberresilienz in einem Zielbetriebsmodell. Sie nutzt Pilot-, Leuchtturm- und bestehende Projekte, um Cyberresilienz-Programme in Neuentwicklungen einzubeziehen.

Sydney bietet außerdem maßgeschneiderte Schulungen für eine Vielzahl von Mitarbeitern, einschließlich Aufsichtsratsmitgliedern, an, um umfassende Erwartungen festzulegen und ein Bewusstsein für inhärente Cyberrisiken zu schaffen.

Überwachen und Optimieren

Schließlich ermöglicht Sydney eine kontinuierliche Überwachung mithilfe sofortiger Feedbackschleifen, während sie gleichzeitig wichtige Leistungskennzahlen bereitstellt und routinemäßige Leistungsüberprüfungen durchführt, die für die Optimierung der Cyberresilienz in ihrem Unternehmen erforderlich sind. Sie sorgt für eine kontinuierliche Kommunikation mit den wichtigsten Beteiligten über den Nutzen laufender und künftiger Projekte zur Cyberresilienz und das Erreichen der Ziele des Unternehmens bei der Cybersicherheit. Sie führt eine kontinuierliche Berichterstattung und Rückmeldung an den Aufsichtsrat ein, wobei sie an die ursprünglichen Ziele erinnert, einfache Messungen bereitstellt und die Fortschritte und den Mehrwert insgesamt kommuniziert.

Sydney überwacht auch maßgebliche Indikatoren (z. B. Projektbudget und Kapazität) und beseitigt erkannte Hindernisse, bevor sie die Umsetzung negativ beeinflussen können. Sie überwacht und überprüft festgelegte Leistungsindikatoren und passt sie bei Bedarf an, um die Optimierung der Cybersicherheit zu unterstützen.

Wissensabfrage

Sind Sie bereit, das Gelernte zu überprüfen? Diese Wissensabfrage wird nicht bewertet, sondern ist nur eine einfache Möglichkeit, sich selbst zu testen. Ziehen Sie als Erstes die Beschreibung aus der linken Spalte unter den zugehörigen Begriff auf der rechten Seite. Wenn Sie damit fertig sind, klicken Sie auf Senden, um das Ergebnis zu prüfen. Wenn Sie von vorne beginnen möchten, klicken Sie auf Zurücksetzen.

Gut gemacht!

Zusammenfassung

In diesem Modul haben Sie eine Blaupause für das Bewerten von Cyberrisiken und Verbessern von Cyberresilienz in der Öl- und Gasindustrie kennengelernt. Sie haben auch gelernt, wie Sie die Prinzipien für Cyberresilienz des Weltwirtschaftsforums für Aufsichtsräte in der Öl- und Gasindustrie umsetzen können. Gut gemacht!

Möchten Sie mehr über Berufe und Technologien im Bereich Cybersicherheit erfahren? Besuchen Sie die Lernwebsite zur Cybersicherheit, um sich über weitere Sicherheitsthemen zu informieren und Tipps von echten Sicherheitsprofis zu erhalten.

Ressourcen

PDF: WEF: Cyber Resilience in the Oil and Gas Industry

Benötigen Sie Hilfe?