Änderungen des Cyber Essentials-Programms im April 2023 werden das Unternehmensrisiko erhöhen

NCSC CyberEssentials ( CE ) ist, kurz gesagt, ein von der britischen Regierung unterstütztes Programm, das darauf abzielt, Unternehmen aus ihrer Sicherheitsarmut zu befreien. Wer sich für die Einhaltung des Systems entscheidet, profitiert vom Schutz vor den häufigsten Cyber-Angriffen. Das steht auf dem Etikett der Dose, doch im Inneren der Dose steckt noch viel mehr.

Das Schema hat zwei Varianten: CE und CE+ .

CE ist eine Selbsteinschätzung, die durch Ausfüllen eines Online-Fragebogens durchgeführt wird, der später von IASME überprüft wird. Bei ausreichender Qualität und Klarheit der Antworten erhält das Unternehmen das Zertifikat. Sollte das Unternehmen die Bewertung zunächst nicht bestehen, werden ihm einige Tage zur Korrektur und erneuten Einreichung ohne zusätzliche Kosten eingeräumt.

CE+ unterscheidet sich von CE dadurch, dass es auch eine praktische technische Verifizierung beinhaltet, d. h. die übermittelten Informationen werden unabhängig durch einen Penetrationstest verifiziert.

Ein weiterer Pluspunkt ist, dass ein zertifiziertes Unternehmen mit Sitz im Vereinigten Königreich und einem Umsatz von weniger als 20 Millionen Pfund auch Anspruch auf eine Cyber-Haftpflichtversicherung mit einem Wert von bis zu 25.000 Pfund hat, während Unternehmen aus dem Ausland von Versicherungsrabatten von Maklern profitieren können, die die Zertifizierung anerkennen.

Wenn Sie das Programm als eine Hürde betrachten, die einem Unternehmen, sobald es überwunden ist, auch ein höheres Maß an Vertrauen bei der Geschäftsabwicklung und einen verbesserten Ruf für das jeweilige Jahr verschafft, dann liegen Sie richtig.

Bei beiden Geschmacksrichtungen sind die Anschaffungskosten vernachlässigbar, aber Unternehmensleiter sollten Rechenschaft ablegen und ausreichend Zeit einplanen, um die Bewertung abschließen zu können, da dies nicht trivial ist. Sie sollten ihre Belegschaft auch auf kulturelle und betriebliche Veränderungen vorbereiten, da diese erforderlich sind, um die Zertifizierungsanforderungen zu erfüllen.

Bereit oder nicht: Sobald sich das Unternehmen auf das Abenteuer der Sicherheitsindoktrination einlässt, wird es ein tieferes Verständnis für das Thema erlangen und mit einer verbesserten Sicherheitslage herauskommen.

Ein bisschen Kritik

1- Von denen, die mehr wollen

Einige Sicherheitsexperten würden sich wünschen, dass das System weiterentwickelt wird, um entsprechend den Bewertungsergebnissen verschiedene Grautöne anzubieten, was bedeutet, dass es eine feinere Klassifizierung bieten sollte als nur das Siegel „zertifiziert“.

Ich habe diese Kritik in den sozialen Medien beobachtet und ihre Befürworter als diejenigen gruppiert, die bereits auf der anderen Seite der Barriere stehen und unter Due-Diligence-Müdigkeit bei der Bewertung der Sicherheit ihrer Lieferkette leiden. Ihr Eifer, den Ball an IASME weiterzugeben, würde möglicherweise die Kosten ihres Unternehmens senken und einheitliche Antworten erhalten. Ich frage mich, ob sich IASME dafür entscheiden wird.

Bei näherer Betrachtung erkannte ich auch die sehr sympathische Existenz derjenigen, die sich möglicherweise von anderen zertifizierten Unternehmen abheben möchten. Sei es, weil sie keine Abstriche gemacht haben, um sich zertifizieren zu lassen, und glauben, dass andere dies getan haben, oder weil sie sich bewusst sind, dass bestimmte Methoden zur Erreichung von

Dennoch unterstütze ich persönlich diese vorgeschlagene Änderung des Systems nicht, da ich der Meinung bin, dass es beibehalten werden sollte, bis die Zahl der zertifizierten Unternehmen so hoch ist, dass die Zertifizierung keinen Zweck mehr erfüllt, anstatt ihre Armut zu ändern Hungermission mitten im Marathon.

Meine Argumentation beruht darauf, dass ich Sicherheitsarmut erlebt habe und erkennen konnte, wie viel Aufwand erforderlich ist, um ein Unternehmen daraus zu befreien. Obwohl ich verstehe, dass die jährliche Neuzertifizierung nicht so aufregend und wandelbar sein wird wie beim ersten Mal, werde ich die Stirn runzeln, wenn es nach ein paar Jahren immer noch die einzige Sicherheitszertifizierung ist, die ein Unternehmen besitzt …

2- Von denen, die mehr brauchen

Auf der anderen Seite erhält das Programm, obwohl es seit 2014 ein Erfolg ist, weiterhin Klagen über unzureichende Informationen und Forderungen nach weiterer Klarheit zu einer Reihe von Themen. Ich selbst hatte Fragen.

Nichtsdestotrotz halte ich dieses Feedback für unvermeidlich und erwartbar, da das Programm auf eine breite Zielgruppe abzielt, da man kaum etwas anderes tun kann, als auf eine große Resonanz zu hoffen, selbst wenn man nur eine kurze Botschaft an ein vielfältiges Publikum übermittelt.

Doch diese wichtige und wiederkehrende Kritik unterstreicht unmissverständlich, dass die Armen und Irregeleiteten nach Hilfe greifen und es besser machen wollen! Es stellt sich aber auch die Frage, ob es nicht tatsächlich suboptimal oder verfrüht ist, die Messlatte höher zu legen.

3- Von denen, die nicht einverstanden sind

Es gibt auch bestimmte Sicherheitsexperten, die einige Besonderheiten des Systems in Frage stellen. Hier muss Vorsicht geboten sein und eine Pause eingelegt werden, da alle Sicherheitsexperten den Inhalt der Herausforderung mit Leichtigkeit erfassen sollten. Wenn also jemand anfängt zu schreien, um Praktiken aufrechtzuerhalten, die in den Bereich des Unethischen reichen, werden andere den wahren Grund dafür in Frage stellen, sei es, dass es ausnahmslos dieselbe Ursache hat: finanzielle Kosten und nicht deren Fehlen Kenntnisse über Risiken.

Ich glaube, dass dies nur deshalb der Fall ist, weil das Gewicht der identifizierten Kosten nicht mit den erzielten Kompromissen zusammenhängt. Dennoch bin ich mir darüber im Klaren, dass hier Kämpfe nacheinander ausgetragen werden müssen, mit dem Ziel der Aufklärung, um einen gemeinsamen Zustand der Aufklärung zu ermöglichen, was ein langsamer Prozess sein wird und besser durch eine maßgeschneiderte Bedrohungsmodellierung, Risikoidentifizierung und -quantifizierung im Vorfeld unterstützt werden kann Behandlung (Akzeptanz, Übertragung, Milderung, Vermeidung).

Obwohl ich die gestellten Herausforderungen bisher nicht befürwortet habe, da ich durch meinen Einflussbereich und meine Sichtbarkeit eingeschränkt bin, erkenne ich auch eine Chance für das System, mehr Wert zu bieten und diejenigen zu unterstützen, die zur Zertifizierung bereit sind, indem ich aufzähle, gegen welche Gesetze möglicherweise verstoßen wird, wenn Y und Z sind nicht vorhanden. Auch wenn diese möglicherweise spezifisch für das Vereinigte Königreich sind, könnte sich die Erkenntnis als vorteilhaft erweisen und den Widerstand verringern.

Bevorstehende Änderungen, die Ihrem Unternehmen schaden könnten

Ich stelle zwei der vorgeschlagenen Änderungen in Frage, da alle anderen im Moment den Eindruck erwecken, es handele sich um Verbesserungen, aber ich bleibe gerne bereit, noch einmal darüber nachzudenken.

1- Das Schema erfordert nicht mehr die Meldung von Benutzergerätemodellen

Ich kann mir vorstellen, dass IASME Beschwerden von Unternehmen erhält, die über eine große Anzahl von Vermögenswerten verfügen, und zwar darüber, wie langsam und mühsam der Prozess sei. Ich war dort, aber jeder, der diese Beschwerde einreicht, wirft sofort Fragen dazu auf, wie das Unternehmen diese Vermögenswerte überwacht, kontrolliert und ersetzt und dazu beiträgt, das Richtige zu tun, um die Sicherheit des Unternehmens zu verbessern. Daher würde ich dies nicht als Grund für die Änderung akzeptieren.

Ich neige zu der Annahme, dass diese Änderung dazu dient, IASME- und möglicherweise CE+-Bewertungsunternehmen zu begünstigen, die möglicherweise ihren Arbeitsaufwand verringern möchten und daher bereit sind, die Messlatte zu senken, um eine flexiblere Einreichung zu ermöglichen. Dies scheint der Realität insofern näher zu kommen, als dass die von ihnen investierte Zeit je nach Größe der zu bewertenden Organisation dazu führen kann, dass die Kosten nicht gedeckt werden.

Für mich ist dies jedoch eine negative Änderung, da verschiedene Modelle durchaus unterschiedliche Support-Lebenszyklen und unterschiedliche zugehörige Betriebssysteme und Firmwares haben können.

Ein Beispiel wäre die Meldung: „Wir verwenden nur Macs“, wenn bestimmte Modelle bereits nicht in der Lage sind, unterschiedliche Sicherheitsanforderungen zu unterstützen. Dadurch werden die übermittelten Informationen verschleiert.

2- Für das Schema sind nur Router- und Firewall-Firmware-Berichte erforderlich

Das verwirrt mich. Unternehmen haben WLAN-Repeater und diese haben Firmware, sie haben Server, die Firmware haben, und alle anderen Geräte … alle mit Firmware.

Hier möchte ich auf Virtualisierungs- und Cloud-Anbieter verweisen, die solche Informationen nicht weitergeben. Und wenn ich nah dran bin, dann würde ich IASME in Frage stellen, wenn es nicht sinnvoller wäre, getrennte Anforderungen für materielle und immaterielle Vermögenswerte zu haben.

Wenn Sie nicht wissen, welche Firmware in einem Gerät verwendet wird, kann dies die Entscheidungsfindung hinsichtlich des Sicherheitsniveaus beeinträchtigen, das das Gerät benötigt. Es handelt sich also um eine weitere negative Änderung, die zu weniger Sicherheit führt.

Weniger Kontrolle ist nicht besser, weniger ist schlimmer. Zumindest in diesen beiden Fällen.

Es ist einfach nicht richtig, den Wert der Zertifizierung herabzusetzen.

Danke fürs Lesen. Was denken Sie über diese Veränderungen? Lass es uns unten in den Kommentaren wissen!