Cyber Risk Management: Awareness alone is not enough

Supervisory bodies are increasingly required to fulfill their legal control and supervisory duties also in dealing with cyber risks, according to the findings of a new study on dealing with cyber risks in companies. In addition to the legal obligation, there are also good reasons from a business perspective to invest in cyber risk management, according to the study, which was conducted by the Lucerne University of Applied Sciences and Arts together with the insurer Mobiliar and the business umbrella organization economiesuisse. After all, cyberattacks could cause considerable damage to organizations, which in the worst case could mean heavy fines, a severe loss of reputation, the withdrawal of operating licenses or bankruptcy.

A ship without a captain: lack of statements on cyber risk readiness

According to the study, many companies seem to lack a central foundation for managing cyber risks: None of the organizations surveyed explicitly defined the extent to which cyber risks should be consciously taken in order to achieve business goals. "From a risk management perspective, it's comparable to a ship that doesn't have a captain," says Stefan Hunziker, Studienautor und Leiter des Kompetenzzentrums Risk & Compliance Management an der Hochschule Luzern. Offenbar bereitet das Entwickeln von sogenannten Risikoappetit-Aussagen in der Praxis grosse Mühe. Die HSLU-Studie zeigt weiter: Im Umgang mit Cyber-Risiken herrscht eine Lücke zwischen der technischen IT-Infrastruktur-Ebene und der organisatorischen Ebene. «Cyber-Risiken werden noch zu stark als reines IT-Thema verstanden. Entsprechend werden sie dezentral und operativ gesteuert und zu wenig in das unternehmensweite Risk Management integriert», erläutert Hunziker. Hier ist eine Diskrepanz der Relevanz des Risikos (Awareness) und der «Risk Governance» feststellbar. «Dieser Umstand verhindert einen konsistenten Vergleich – und damit auch eine sinnvolle Priorisierung – von Cyber-Risiken und anderen Risikokategorien auf oberster Führungsebene», sagt der Experte. Als erster Schritt in die richtige Richtung empfiehlt er, die Zusammenarbeit zwischen Chief Information Security Officer (CISO) und Risk Manager zu fördern. «Denn hier wird primär die Brücke zwischen der technischen Cybersicherheit und dem betriebswirtschaftlichen Risk Management geschlagen», so Hunziker.

People" as a risk factor: additional investments required

Often, the simplest and equally effective measures for dealing with cyber risks are still neglected. Stefan Hunziker: "The definition of cyber risks may therefore also be somewhat misleading, as many causes of risk are not to be found in cyber space, but in human misconduct." The analogy with medicine is helpful: there, it has long been known that correct human behavior prevents the transmission of diseases. Regular disinfection, disciplined hand washing and keeping a distance have been established behaviors - at least since the outbreak of the Corona pandemic. The present study confirms that the "human factor," or human behavior, is still too little addressed in the area of cybersecurity compared with technical measures. "The 'human factor' makes up only one element in the continuous improvement process of cybersecurity, but it is a very important one," Hunziker said. Human behavior in dealing with cybersecurity should be trained so that it becomes as natural and "normal" as sneezing into the crook of your arm.

Cyber Risk Management and Cloud Migration

Viele Cyber-Risiken haben ihre Ursache in der Cloud-Nutzung. Umso wichtiger ist es, dass Organisationen den Gang in die Cloud gut planen und mit entsprechenden Massnahmen begleiten. «Das Erstellen einer klaren Strategie steht ganz am Anfang einer gut geplanten Migration in die Cloud», sagt Armand Portmann, Studienautor und Themenfeldverantwortlicher Information & Cyber Security | Privacy am Departement Informatik der Hochschule Luzern. Erfreulicherweise verfügt ein Grossteil der befragten Organisationen über ein solches Dokument, das die Rahmenbedingungen zur Einführung und Nutzung von Cloud Services beschreibt. Das lasse den Schluss zu, dass das Thema Cloud Computing inzwischen auch in den Führungsgremien Aufmerksamkeit geniesst. «Es ist ein Bewusstsein vorhanden, dass die Nutzung von Cloud-Diensten mit Risiken verbunden ist», so Armand Portmann. Bei der Benennung der Risiken, die sich bei der Nutzung von Cloud Services ergeben, sind die befragten Organisationen allerdings nicht um Antworten verlegen. «Unter die Top drei fallen der Verlust der Vertraulichkeit, respektive die Verletzung des Datenschutzes, die Abhängigkeit vom Cloud-Diensteanbieter und Fragen der Haftung», erklärt Fernand Dubler, Studienautor und wissenschaftlicher Mitarbeiter an der Hochschule Luzern. Das Thema sei komplex. Deshalb sei es nicht verwunderlich, dass die Massnahmen, die für die Linderung dieser Risiken notwendig sind, nicht einfach auf der Hand liegen. Dubler ergänzt: «Diese Massnahmen sind äusserst vielfältig und müssen individuell aus der konkreten Outsourcing-Situation entwickelt werden. Das stellt die betroffenen Organisationen oft vor sehr grosse Herausforderungen.» Source and further information: Lucerne University

This article originally appeared on m-q.ch - https://www.m-q.ch/de/cyber-risk-management-bewusstsein-allein-reicht-nicht/