Bericht über Cyberrisiken

Der Bericht über Cyberrisiken bietet einen strukturierten Überblick über die Cybersicherheitsrisiken, die aktuelle Sicherheitslage und die Strategien zur Risikobeilegung einer Organisation. Nutzen Sie diesen Bericht, um Klarheit, Transparenz und umsetzbare Erkenntnisse über Cybersicherheitsrisiken und deren potenzielle Auswirkungen auf Ihre Geschäftsziele zu erhalten.

Dieser Bericht dient als strategisches Kommunikationsinstrument, das die Lücke zwischen technischen Cybersicherheitsvorgängen und geschäftlichen Entscheidungen schließt. Er ermöglicht es Führungskräften, fundierte, risikobasierte Entscheidungen zu treffen und stimmt Cybersicherheitsinitiativen mit den allgemeinen Geschäftszielen ab.

Erstellen Sie Ihr Analyse-Dashboard mithilfe der anpassbaren Berichtsfunktionen. Passen Sie die Visualisierung und das Layout an und fügen Sie Berichte für Besprechungen von Führungsgremien hinzu. Sie können Ihr Dashboard auch für Boards-Umgebungen freigeben und so Berichte nahtlos innerhalb der Diligent One-Plattform teilen und veröffentlichen.

Im Activity Center auf Berichtsvorlagen zugreifen

Voraussetzung

Die Berichtsvorlagen müssen in Ihrem Activity Center für Sie bereitgestellt und aktiviert werden. Wenden Sie sich an Ihren Customer Success Manager, wenn Sie Hilfe benötigen.

Weitere Informationen zum Zugriff auf und zur Verwendung von Berichtsvorlagen im Activity Center finden Sie unter .

Dashboards mit Boards-Umgebungen verknüpfen

Informationen zum Verbinden von Activity-Center-Dashboards mit Boards-Umgebungen finden Sie unter Diligent One: Activity-Center-Dashboards mit Boards-Seiten verknüpfen .

Informationen zur Dashboard-Struktur

Der Bericht über Cyberrisiken bietet mehrere wichtige Funktionen, die umfassende Einblicke in Cyberrisiken bieten und datengestützte Entscheidungen erleichtern. Die Dashboard-Struktur besteht aus sechs Registerkarten, auf denen Sie eine Schilderung erstellen und Ihrem Führungsgremium Ergebnisse präsentieren können. Er enthält Diagramme und KPIs, die aktuelle und neue Cyberbedrohungen und Anfälligkeiten, einen historischen Überblick über die Cybersicherheitsleistung Ihrer Organisation sowie Verbesserungen aufzeigen. Wählen Sie die einzelnen Registerkarten aus, um mehr zu erfahren.

Diese Registerkarte bietet einen kurzen Überblick über wichtige Erkenntnisse zur Cybersicherheit, die für Diskussionen auf Führungsgremiumsebene zugeschnitten sind. Sie können kontextbezogene Informationen neben wichtigen Kennzahlen anzeigen, die aus anderen Abschnitten des Berichts ausgewählt wurden, um sicherzustellen, dass das Führungsgremium fundierte Entscheidungen auf der Grundlage einer klaren und fokussierten Schilderung treffen kann.

Verfügbare Visualisierungen

In diesem Abschnitt sind folgende Visualisierungen verfügbar:

Kurzfassung

In diesem Abschnitt können Sie einen strategischen Kontext bereitstellen, Trends hervorheben und Maßnahmen zur Risikobeilegung detailliert beschreiben, um Führungskräften eine schnelle Entscheidungsfindung zu erleichtern.

Bedrohungslandschaft

Diese Visualisierung bietet Einblicke in die aktuelle Bedrohungslandschaft im Bereich Cybersicherheit und fasst relevante Bedrohungen zusammen, denen Ihre Organisation ausgesetzt ist.

Benchmarking

In diesem Abschnitt werden historische Cybersicherheitsrisikobewertungen von Plattformen wie BitSight vorgestellt, die Vergleiche mit Branchenstandards ermöglichen.

  • BitSight-RisikoeinstufungenDie BitSight-Risikoeinstufungen sind numerische Werte von 250 bis 900, die auf objektiven und nicht intrusiven Echtzeitdaten basieren, die aus öffentlich zugänglichen Quellen gesammelt werden. Verwenden Sie die Liniendiagramme, um historische Cybersicherheitseinstufungen Ihrer Organisattion anzuzeigen. Mit dieser Visualisierung können Sie den Trend der Cybersicherheitseffektivität im Zeitverlauf verfolgen.
  • NIST Cyber Security Maturity FrameworkDas vom National Institute of Standards and Technology (NIST) entwickelte Maturity Framework bietet strukturierte Richtlinien, Best Practices und Standards, die Ihre Organisation bei der Verwaltung und Reduzierung von Cybersicherheitsrisiken unterstützen. Die Reifegrade reichen von „Adhoc“ bis „Optimiert“, womit der Fortschritt von anfänglichen, unstrukturierten Praktiken hin zu vollständig optimierten und integrierten Cybersicherheitsprozessen angezeigt wird.

Hauptrisiken

Informieren Sie sich über die dringendsten Cybersicherheitsrisiken, einschließlich ihres Status und aller erforderlichen Maßnahmen zur Risikobeilegung.

  • ZusammenfassungErstellen Sie einen kurzen Überblick über die wichtigsten Risiken, die identifiziert wurden, deren Trends und Änderungen seit der letzten Überprüfung.
  • RisikoregisterHeben Sie kritische Risiken hervor, die seit ihrer letzten Überprüfung wesentliche Änderungen aufweisen. Die Tabelle enthält Risiken, die aufgrund des Schweregrads, der Risikoeinstufungsfaktoren und anderer vereinbarter Kriterien als kritisch erachtet werden. Sie beschreibt Maßnahmen wie Beilegungspläne, den Eigentümer des Risikos und den Zeitplan für die Bewältigung der Risiken.
  • Kritisches Risiko – ÜberfälligDiese Visualisierung zeigt den Status kritischer Risiken, wobei zwischen den Risiken, die rechtzeitig abgeschlossen wurden, und solchen, die überfällig waren, unterschieden wird.

Vorfälle

In diesem Abschnitt werden Häufigkeit und Art der gemeldeten Cybersicherheitsvorfälle zusammengefasst und diese Informationen in einem verständlichen Format dargestellt.

  • ZusammenfassungFassen Sie die Anzahl der kritischen Vorfälle zusammen, die in jedem Quartal gemeldet wurden, zusammen mit den zu ihrer Behebung ergriffenen Maßnahmen und allen ausstehenden Maßnahmen.
  • Vorfälle pro QuartalDieses Diagramm zeigt die Anzahl der Cybersicherheitsvorfälle, die innerhalb jedes Quartals des Jahres protokolliert und gemeldet werden.

Initiativen

Erhalten Sie Details zu laufenden oder vorgeschlagenen Cybersicherheitsinitiativen, die die Sicherheitslage Ihrer Organisation verbessern sollen.

  • Abgeschlossen und ErgebnisseHeben Sie wichtige Initiativen, die abgeschlossen wurden, und deren Auswirkungen hervor.
  • PriorisiertHeben Sie einige wichtige oder strategische Initiativen, die im nächsten Quartal Priorität haben, und deren Auswirkungen hervor.

Diese Registerkarte enthält Definitionen und Erläuterungen zu allen Schlüsselbegriffen, KPIs und technischen Konzepten, die im Bericht über Cyberrisiken enthalten sind, und dient als schnelle Referenz. Sie ermöglicht Ihnen ein gemeinsames, leicht zugängliches Verständnis der komplexen oder technischen Sprache, die an anderer Stelle im Bericht verwendet wird, wodurch eine klare Kommunikation und eine effektivere Entscheidungsfindung unterstützt werden.

In diesem Abschnitt wird die folgende Terminologie erklärt:

  • Steuerung von Sicherheitsrisiken ist ein proaktiver Prozess, der darauf abzielt, Anfälligkeiten in Systemen, Netzwerken und der Software einer Organisation zu identifizieren, zu bewerten, zu mindern und zu überwachen, um Cybersicherheitsrisiken zu verringern.

  • Scan-Tools werden verwendet, um Sicherheitsrisiken innerhalb der IT-Infrastruktur einer Organisation zu identifizieren und zu bewerten. Diese Tools helfen bei der kontinuierlichen Überwachung und Analyse von Systemen, um Sicherheitslücken zu erkennen, die von Angreifern ausgenutzt werden könnten.

  • Penetrationstests identifizieren Anfälligkeiten und Sicherheitslücken in der IT-Infrastruktur einer Organisation und helfen dabei, Sicherheitsabwehrmaßnahmen zu beurteilen, potenzielle Angriffsvektoren zu ermitteln und Organisationen dabei zu unterstützen, Risiken beizulegen, bevor echte Angreifer sie ausnutzen können.

  • Security Incident and Event Management-Software (SIEM) konsolidiert die Sicherheitsinformationen und -Ereignisse einer Organisation in Echtzeit. Die IT spielt eine wichtige Rolle bei der Identifizierung, Verwaltung und Reaktion auf Sicherheitsvorfälle, indem sie einen umfassenden Überblick über die Sicherheitslage einer Organisation bietet.

  • Incident-Management ist ein strukturierter Prozess, der die Auswirkungen von Sicherheitsvorfällen minimiert, den normalen Betrieb schnell wiederherstellt und zukünftige Vorfälle verhindert.

  • Das NIST CSF Cyber Security Framework ist ein Framework, das strukturierte Richtlinien, Best Practices und Standards zur Identifizierung, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung bei Cyberbedrohungen bereitstellt.

Mit dieser Registerkarte können Sie den Status von Prüfungen über Produkte oder Services hinweg verfolgen und dabei auf allgemeine Frameworks wie System and Organization Controls 2 (SOC 2) und Health Insurance Portability and Accountability Act (HIPAA) verweisen. Hier erhalten Sie eine Zusammenfassung der aktuellen Prüfungsergebnisse, identifizieren Bereiche, in denen die Compliance nicht eingehalten wurde, und sehen, welche Produkte oder Domänen ihre Prüfung bestanden haben.

Verfügbare Visualisierungen

In diesem Abschnitt sind folgende Visualisierungen verfügbar:

Compliance/Prüfung

In diesem Abschnitt können Sie den Status Ihrer Prüfungsberichte pro Produkt oder Service erfassen.

Status des Prüfungsberichts (pro Produkt/Service)Dieses Diagramm zeigt den Status von Prüfungen, die für verschiedene Produkte oder Services durchgeführt wurden. Es zeigt, welche Produkte oder Services geprüft wurden, welche Prüfungs-Frameworks wie SOC2 und HIPAA verwendet wurden und welchen Status diese Prüfungen haben.

Sicherheitsschulung

In diesem Abschnitt können Sie Ihre Analysen zu Sicherheitsschulungen nachverfolgen und Ihren Abschlussbericht für die Kampagne zum Sicherheitsbewusstsein erstellen.

Abschluss der Kampagne zum Sicherheitsbewusstsein In diesem Diagramm wird der Abschluss von Programmen zum Sicherheitsbewusstsein nachverfolgt. Dabei wird der Prozentsatz der Mitarbeiter oder Auftragnehmer angegeben, die eine obligatorische oder freiwillige Schulung zur Cybersicherheit absolviert haben.

Penetrationtests

In diesem Abschnitt können Sie offene identifizierte Probleme nach Schweregrad und mittlerer Zeit für die Behebung von Problemen mit hohem Risiko zusammenfassen.

  • Ausstehende identifizierte Probleme nach Schweregrad Dieses Diagramm zeigt die Intensität ausstehender Probleme, die bei Prüfungen oder Compliance-Prüfungen ermittelt wurden. Der Schweregrad wird als kritisch, hoch, mittel oder niedrig eingestuft. Dies hilft, den Anteil der Probleme entsprechend ihres Schweregrads zu verstehen.

  • Mittlere Zeit zur Behebung von Problemen mit hohem Risiko Diese Kennzahl erfasst die durchschnittliche Zeit, die zur Behebung von Problemen mit hohem Risiko, die bei Prüfungen identifiziert wurden, benötigt wird und liefert Einblicke in die Effizienz der Reaktion Ihrer Organisation auf kritische Anfälligkeiten.

Diese Registerkarte zeigt die Robustheit des Vorfallreaktionsplans Ihrer Organisation. Sie wird durch quantitative Daten gestützt und legt den Schwerpunkt auf die Erkennung, Diagnose, Behebung und Prävention von Vorfällen.

Verfügbare Visualisierungen

In diesem Abschnitt sind folgende Visualisierungen verfügbar:

Incident-Management

Verwenden Sie diesen Abschnitt, um Zeiträume mit ungewöhnlich starken Anstiegen oder Rückgängen bei den Cybersicherheitsvorfällen in Ihrer Organisation zu identifizieren, hervorzuheben und zu erläutern. Sie können Kommentare und Daten hinzufügen, die aus dem Incident-Management-System Ihrer Organisation erfasst wurden.

Vierteljährlicher VorfallstrendErhalten Sie eine allgemeine Metrik zur Generierung von Warnmeldungen oder zur Anzahl von Vorfällen, die über einen bestimmten Zeitraum protokolliert wurden, z. B. monatlich, vierteljährlich oder halbjährlich. Die Risiken in diesem Diagramm werden basierend auf ihrem Schweregrad auf einer Skala mit den Stufen kritisch, hoch, mittel und niedrig eingestuft.

Vorfallsidentifizierung

Verwenden Sie diesen Abschnitt, um eine allgemeine Metrik zur Generierung von Warnmeldungen oder zur Anzahl der Vorfälle, die über einen bestimmten Zeitraum protokolliert wurden, z. B. monatlich, vierteljährlich oder halbjährlich, zu erstellen.

Vierteljährlicher VorfallstrendIn diesem Diagramm werden Vorfälle basierend auf den Quellen kategorisiert, aus denen sie erfasst wurden. Die in diesem Diagramm dargestellten Informationen stammen aus den folgenden Quellen:

  • Prüfung bezieht sich auf Vorfälle, die während Ihrer Sicherheitsprüfungen identifiziert wurden.

  • Kontinuierliche Überwachung sind Vorfälle, die durch automatisierte Systeme identifiziert werden, die das Netzwerk und die Systeme Ihrer Organisation kontinuierlich auf Anomalien oder Sicherheitsverstöße überwachen.

  • Von Kunden gemeldet sind Vorfälle, die von Kunden gemeldet wurden. Dies kann Feedback oder Beschwerden von Kunden umfassen, die Probleme hatten, die auf einen Sicherheitsvorfall hinweisen könnten.

  • Von Mitarbeitern gemeldet sind von Ihren Mitarbeitern gemeldete Vorfälle. Mitarbeiter bemerken möglicherweise verdächtige Aktivitäten oder potenzielle Sicherheitsverstöße und melden sie dem IT- oder Sicherheitsteam.

Offenlegung von Vorfällen

In diesem Abschnitt können Sie Cybersicherheitsvorfälle melden und analysieren, die aufgrund quantitativer und qualitativer Faktoren als wesentlich angesehen werden.

8K Disclosure bezieht sich auf einen Bericht, der von der US-Börsenaufsicht (Securities and Exchange Commission, SEC) verlangt wird. Alle börsennotierten Unternehmen müssen diesen Bericht einreichen, um wesentliche Ereignisse offenzulegen, die Aktionäre oder Investoren betreffen könnten. Der Zweck von 8K Disclosure ist es, Transparenz und zeitnahe Berichterstattung über wichtige Unternehmensereignisse, einschließlich Cybersicherheitsvorfälle, die als wesentlich erachtet werden, sicherzustellen.

  • Letzte Aktualisierung zeigt das letzte Datum an, an dem der Offenlegungsbericht eines Unternehmens aktualisiert wurde.

  • Offenlegungsdatum zeigt das Datum an, an dem der Offenlegungsbericht eines Unternehmens eingereicht wurde.

  • Unternehmen zeigt den Namen des Unternehmens an, das den Offenlegungsbericht eingereicht hat.

Dieser Abschnitt konzentriert sich auf den proaktiven Prozess der Identifizierung, Bewertung, Beilegung und Überwachung von Anfälligkeiten in den Systemen, Netzwerken und der Software Ihrer Organisation.

Verfügbare Visualisierungen

In diesem Abschnitt sind folgende Visualisierungen verfügbar:

Steuerung von Sicherheitsrisiken

Beschreiben Sie die aktuellen Anfälligkeiten in Ihrer Organisation und heben Sie Anlagen mit hohem Risiko und kritische Anfälligkeiten hervor, die sofortige Aufmerksamkeit erfordern.

ProduktionsanfälligkeitenVerwenden Sie das Diagramm, um einen Einblick in die historischen Daten zu erhalten, die den Anteil offener und beigelegter Anfälligkeiten zeigen, um die Ressourcenzuweisung für die Beilegung zu bewerten. Die rote Linie zeigt die offenen Anfälligkeiten und die graue Linie die behobenen Anfälligkeiten.

Reaktionsfähigkeit bei Anfälligkeiten

Bewerten Sie, wie schnell und effektiv Ihre Organisatiion auf erkannte Anfälligkeiten reagiert.

Offene ProduktionsanfälligkeitenDieses Diagramm bietet einen Einblick in die Reaktionsfähigkeit Ihrer Organisation in Bezug auf die Ergebnisse gemeldeter Anfälligkeiten. Das Diagramm enthält Kennzahlen wie die durchschnittliche Zeit bis zur Ergreifung von Maßnahmen und/oder die durchschnittliche Zeit bis zur Beilegung, gemessen anhand einer in Ihrer Richtlinie zur Steuerung von Sicherheitsrisiken definierten SLA, um Ihre Reaktionsfähigkeit zu veranschaulichen.

SLA für die Beilegung

Stellen Sie Aktualisierungen zu SLAs bereit, bei denen es sich um formelle Vereinbarungen handelt, in denen die erwarteten Zeitrahmen und Verantwortlichkeiten für die Beilegung und Lösung identifizierter Anfälligkeiten festgelegt sind.

Hohe und kritische Infrastrukturanfälligkeiten – SLA-ComplianceDieses Diagramm zeigt den Anteil der Anfälligkeiten, die innerhalb der erforderlichen Frist behoben wurden, basierend auf dem Schweregrad des Risikos.

Verwenden Sie diesen Abschnitt, um sich auf die Bewertung und die Verwaltung von Risiken zu konzentrieren, die von Ihren Lieferanten und Drittanbieter-Informationssystemen ausgehen. In diesem Abschnitt werden die Fortschritte Ihrer Organisation bei der Identifizierung dieser Risiken und die Maßnahmen zu ihrer Steuerung bewertet.

Verfügbare Visualisierungen

In diesem Abschnitt sind folgende Visualisierungen verfügbar:

Drittanbieter- und Lieferantenklassifizierung

Kategorisieren Sie Lieferanten anhand der Kritikalität der von ihnen bereitgestellten Services, z. B. kritisches, hohes, mittleres oder niedriges Risiko. Diese Klassifizierung hilft dabei, Maßnahmen zur Verwaltung risikoreicherer Beziehungen zu priorisieren.

Anbieter nach KlassifizierungVerwenden Sie diese visuelle Darstellung, um Lieferanten anhand des Risikos, das sie für Ihre Organisation darstellen, zu kategorisieren. Dieses Diagramm klassifiziert Lieferanten in Kategorien wie kritisches, hohes, mittleres und niedriges Risiko.

Drittanbieter- und Lieferanten-Risikobewertungen

Identifizieren Sie Risiken im Zusammenhang mit Drittanbietern, indem Sie Kennzahlen wie die Anzahl und den Prozentsatz der Lieferanten in die SLA-Risikobewertung einbeziehen.

Anbieter innerhalb des SLA zur RisikobewertungVerwenden Sie dieses Diagramm, um festzustellen, ob Risikobewertungen für Drittanbieter innerhalb der vereinbarten Fristen des Service Level Agreement (SLA) durchgeführt werden. Das SLA legt die Häufigkeit und die Fristen für die Durchführung von Risikobewertungen fest, insbesondere für Anbieter, die als hohes oder kritisches Risiko eingestuft wurden.