Was haben wir herausgefunden?
Wir haben uns mit einer italienischen Bank beschäftigt und festgestellt, dass sie NIST, ein externes US-Framework, verwendet, um ihre Cybersicherheitsreife zu bewerten. Darüber hinaus wird das Cyberrisiko anhand von Leistungsindikatoren an die Geschäftsleitung gemeldet. Es war jedoch nicht transparent, welche Schlüsselpersonen für die Cybersicherheitsstrategie verantwortlich waren oder ob es einen Prüfungsprozess gab.

Nach einem zweiten Auftrag hat das Unternehmen bestätigt, dass es einen internen und externen Prüfungsprozess für das Cybersicherheitsrisiko hat. Es hat auch einen Chief Security Officer ernannt, der gegenüber dem Vorstand für die Umsetzung seiner Cyberstrategie verantwortlich ist. Der Verwaltungsrat hat zwei Kandidaten mit Fachkenntnissen im Bereich Cybersicherheit.

Als Antwort auf unsere spezifischen Fragen gab das Unternehmen an, seine Cyberexperten fortlaufend zu schulen, damit sie sich in ihren Funktionen weiterentwickeln können, um dem sich ständig ändernden Charakter des Cybersicherheitsrisikos gerecht zu werden. Das Unternehmen bestätigte, dass es im Jahr 2020 5 % seines gesamten Sicherheitsbudgets für die Cybersicherheit bereitgestellt hatte, was dem anderer europäischer Banken entspricht. Das Unternehmen arbeitet auch an seiner Talent-Pipeline, indem es direkt von Universitäten rekrutiert.  

Nächste Schritte
Wir werden uns weiterhin bemühen, die interne Rechenschaftspflicht nachzuvollziehen.

Was haben wir herausgefunden?
Wir haben mit Unternehmen 2, einer spanischen Bank, zusammengearbeitet und festgestellt, dass es ein Team für die Reaktion auf Cybersicherheitsvorfälle gibt. Es arbeitet mit externen Stellen zusammen, einschließlich staatlichen Sicherheitsbehörden und verschiedenen Sicherheitsanbietern. Alle Mitarbeiter erhalten Schulungen zum Thema Cybersicherheit. Es war jedoch unklar, wer für die Strategie in diesem Bereich verantwortlich war und wie hoch das Budget für Cybersicherheit des Unternehmens war. Darüber hinaus hatte der Vorstand keine spezielle Schulung zum Umgang mit Cyberrisiken erhalten.

Nächste Schritte
Wir werden uns weiterhin bemühen, die interne Rechenschaftspflicht, die Schulung des Vorstands zu Cyberrisiken und die Frage zu verstehen, ob die Bank einen Prüfungsprozess für ihre Cyberrisikostrategie hat.

Was haben wir herausgefunden?
Wir haben mit einem britischen Versicherer zusammengearbeitet, der zusammen mit seinen Tochtergesellschaften persönliche und gewerbliche allgemeine Versicherungsprodukte in verschiedenen Ländern anbietet. Wir haben herausgefunden, dass das Unternehmen Mitglied des Informationssicherheitsforums ist und über Gruppenrichtlinien und -leitfäden verfügt, die auf dem Standard für bewährte Verfahren basieren. Diese Richtlinien zielen darauf ab, eine einheitliche Erwartung der Cyberkontrollen in den Regionen zu gewährleisten, in denen das Unternehmen tätig ist. Der Chief Information Security Officer ist für die Cybersicherheitsstrategie und die Kommunikation mit dem Management verantwortlich. Unternehmen 3 bietet außerdem jährliche Auffrischungsschulungen zum Thema Datenschutz und regelmäßige Updates für alle Mitarbeiter an. Alle Mitarbeiter und der Vorstand werden entsprechend in Bezug auf Cyber- und Datensicherheit geschult. Gelegentlich werden Stichproben durchgeführt, um die Einhaltung von Richtlinien und Verfahren sicherzustellen. Schließlich sind wichtige Kontrollen für eine jährliche externe Prüfung vorhanden, und die unabhängige Risikofunktion führt eine Echtzeit- und regelmäßige Sicherung durch. Die Informationssicherheit der internen Revision entspricht dem Prüfungsplan des Unternehmens.

Nächste Schritte
Wir werden weiterhin mit Unternehmen 3 zusammenarbeiten, um das Budget für Cybersicherheit nachzuvollziehen.

Was haben wir herausgefunden?

Wir haben mit einem Hoteldienstleister zusammengearbeitet, der als eines der ersten Unternehmen sein Budget für Cybersicherheit offengelegt hat. Es macht rund 5 % der gesamten IT-Ausgaben aus. Das Unternehmen bestätigte jedoch, dass dieses Budget aufgrund der Auswirkungen von COVID-19 im Jahr 2020 nicht vollständig ausgegeben werden würde. Wir waren erfreut zu hören, dass das Unternehmen seine Investitionsausgaben beibehält. Das Unternehmen bestätigte außerdem, dass es mehr Informationen zu seinen Schulungsprogrammen für den Datenaustausch bereitstellen wird. Uns wurde gesagt, dass der Vorstand Schulungen zu Cyber- und Datensicherheit sowie Phishing erhält, zusätzlich zu monatlichen Berichten über konzerninterne IT-Risiken. Der Vorstand hat auch persönlichen direkten Zugang zu IT-Teams, wenn Mitglieder sich über den Charakter einer E-Mail unsicher sind. Dieses Unternehmen nimmt jedes Jahr an einer Cybersicherheitskonferenz teil und hat Zugriff auf die Online-Schulungsplattform und einmalige Schulungen vor Ort. Es gibt auch ein Cyber-Überwachungsprogramm, das von einem externen Anbieter verwaltet wird.

Unserer Ansicht nach bleibt das Unternehmen hinter vielen im Finanz- und Versicherungssektor tätigen Unternehmen zurück, da externe Bewertungsrahmen noch nicht berücksichtigt wurden. Es wird jedoch ein vierstufiger interner Prozess eingehalten. Der Chief Information Security Officer ist für die Festlegung der Cybersicherheitsstrategie des Unternehmens verantwortlich.

Nächste Schritte
Wir werden weiterhin mit Unternehmen 4 zusammenarbeiten und seinen Weg verfolgen, neue Richtlinien zu verabschieden und eine Cyberstrategie durch den neu ernannten Chief Security Information Officer festzulegen.