Kapitel 02
Eine sichere Verbindung
Die BPO-Branche hat sich in den letzten Jahren erheblich weiterentwickelt: Von der Bereitstellung traditioneller Contact-Center-Dienste hin zu einer ganzheitlichen Customer Experience. Diese Veränderung erfordert einen ebenso weiterentwickelten Ansatz zum Schutz von Informationen und Systemen.
Selbst bei besten Referenzen und Sicherheitsbewertungen muss eine Organisation nachweisen können, dass sie „Security by Design“ lebt: Ihre Mitarbeitenden, Prozesse sowie die Wahl von Tools und Technologien sollten gemeinsam darauf abzielen, den Schutz proaktiv zu erhöhen, inhärente Risiken zu beseitigen und verbleibende Risiken zu minimieren.
Was ist "Security by Design"?
Ein Partner, der sich der „Security by Design“-Philosophie verschrieben hat, trifft strategische Entscheidungen, die darauf abzielen, sein bestehendes Risikoprofil beizubehalten oder idealerweise weiter zu senken (und damit die Sicherheitslage zu verbessern). Ein solcher Partner stellt sicher, dass er jede Kombination von CX-Diensten und -Lösungen, die auf die Bedürfnisse einer individuellen Organisation zugeschnitten sind, in beliebigen Regionen bereitstellen kann – ohne Kompromisse bei der System- und Informationssicherheit.
Dieses Leistungsniveau ist nur möglich, wenn Sicherheitsmaßnahmen integraler Bestandteil der Gestaltung und Entwicklung von Prozessen, Systemen, Tools oder Anwendungen sind und somit auch die Herangehensweise der Organisation bei deren Nutzung prägen. Sind Sicherheit und Risikominderung keine zentralen Aspekte der Geschäftstätigkeit, ist es unmöglich, einen robusten, ganzheitlichen Ansatz zur Informations- und Systemsicherheit zu entwickeln und aufrechtzuerhalten.
Wenn Sicherheit und Risikominderung keine zentralen Aspekte der Geschäftstätigkeit sind, ist es unmöglich, einen robusten und ganzheitlichen Ansatz zur Informations- und Systemsicherheit zu entwickeln und aufrechtzuerhalten.
Organisationen, die dieser Philosophie folgen, machen Sicherheit zu einem zentralen Aspekt jeder neuen geschäftlichen Zusammenarbeit. Sie identifizieren aktiv potenzielle Schwachstellen und Risiken, die bereits bestehen oder im Verlauf einer neuen Geschäftsbeziehung entstehen könnten, und setzen gemeinsam mit ihrem Geschäftspartner Sicherheitskontrollen und Maßnahmen um, um diese Risiken zu minimieren.
Reichweite udn Ressourcen
Dieser Best-Practice-Ansatz zeigt sich in der Auswahl von Hard- und Software, in den Details von Reaktionsplänen für Vorfälle und in Maßnahmen zum Schutz und zur Segmentierung eines Netzwerks oder in den Systemen zur Zugangskontrolle und Authentifizierung von Personen. Einer der deutlichsten Indikatoren dafür, dass Sicherheit eine zentrale Rolle spielt, findet sich jedoch im Personalwesen.
Als Disziplin mag die Informations- und Systemsicherheit ihren Ursprung in der IT haben, aber heutzutage ist es unmöglich zu behaupten, Sicherheit sei ein reines IT-Thema oder Schutz könne ausschließlich durch digitale Mittel gewährleistet werden. Cybersicherheit bedeutet, Menschen, Prozesse und Technologien zu managen. Verantwortliche für Sicherheit benötigen direkten Zugang zu und Autorität über jeden Risikoeigner in jeder Position innerhalb des Unternehmens. Sie müssen unabhängig handeln können, um das Wohl des gesamten Unternehmens zu gewährleisten, ohne Konflikte durch Interessensüberschneidungen zu fürchten, und müssen in der Lage sein, potenziell unternehmensweite Change-Management-Initiativen anzustoßen, durchzusetzen und voranzutreiben.
Daher muss ein potenzieller Partner, um die Erwartungen Ihrer Kunden zu erfüllen und aktiv alle relevanten Sicherheitsrahmen einzuhalten, über eine dedizierte, übergeordnete Sicherheitsorganisation verfügen, die zusätzlich zur IT-Abteilung besteht und nicht Teil dieser ist.
Darüber hinaus muss diese Organisation zertifizierte Expertise in den Bereichen Sicherheitsüberprüfung, Sicherheitsbetrieb, Sicherheitsengineering und Unternehmensinformationssicherheit sowohl auf regionaler als auch auf globaler Ebene nachweisen können.
Eine Organisation mit dieser Art von Sicherheitsressourcen sollte jedem Kunden vom ersten Kontakt an und während der gesamten Partnerschaft Zugang zu einem Experten für Unternehmensinformationssicherheit bieten. Dies fügt nicht nur eine zusätzliche Ebene an Unterstützung und Sicherheit hinzu, sondern erleichtert auch die Kommunikation. Außerdem sollten dadurch Prozesse wie Vertragsprüfungen im Sicherheitsbereich, Audits sowie die Einleitung und Berichterstattung zu notwendigen Änderungsmanagement-Maßnahmen im Laufe der Geschäftsbeziehung vereinfacht und beschleunigt werden.
Bedrohungsintelligenz
Zusätzlich zur Betrachtung von Sicherheit als eine Funktion der IT besteht auch das Missverständnis, dass Cyber-Sicherheitsrisiken und Bedrohungen gleichzusetzen sind. Ein Sicherheitsrisiko kann quantifiziert und in Bezug auf Wahrscheinlichkeit und potenzielle Auswirkungen gemessen werden, was es ermöglicht, klare Maßnahmen mit entsprechender Investition und Ressourcenzuweisung zu ergreifen. Eine Bedrohung hingegen stellt jedes potenzielle Ereignis dar, das die Informations- oder Systemsicherheit negativ beeinflussen könnte, und kann erst dann angegangen werden, wenn sie identifiziert und bewertet wurde.
Eine aufkommende Best Practice in diesem Zusammenhang ist die Einrichtung eines Cyber-Bedrohungsintelligenz-Teams, das sich darauf spezialisiert, digitale Bedrohungen proaktiv zu erforschen, zu identifizieren und in einen Kontext zu setzen. Dazu gehört die Überwachung von Aktivitäten im Dark Web, die Erstellung von Profilen potenzieller Angreifer, die Analyse von Daten aus früheren Sicherheitsverletzungen sowie die Verfolgung von Trends in den eingesetzten Tools und Techniken, um Systeme zu kompromittieren oder zu beschädigen.
Threat-Intelligence-Teams helfen dabei, Bedrohungen als echte Risiken zu qualifizieren und zu quantifizieren. Dadurch können Organisationen von einer reaktiven zu einer proaktiven Sicherheitsstrategie wechseln und ein umfassenderes Verständnis der digitalen Bedrohungslandschaft entwickeln. Dies liegt daran, dass Threat-Intelligence-Teams ihre Ressourcen und Erkenntnisse in der Regel mit anderen Teams innerhalb und außerhalb ihrer Branche teilen. Die vernetzte Natur moderner Geschäftswelten erhöht das Risiko und erfordert daher eine intensivere Zusammenarbeit und den Austausch von Informationen.
Bestens auf alles vorbereitet
Dennoch können Bedrohungen wie Ransomware, böswillige Mitarbeitende, organisierte Kriminalität, Spear-Phishing, verlorene oder gestohlene Geräte, Zero-Day-Schwachstellen oder schnelle geopolitische oder sogar meteorologische Veränderungen in einer bestimmten Region oder einem bestimmten Gebiet schneller reale Auswirkungen haben, als sie identifiziert oder entschärft werden können. Deshalb ist keine Sicherheits-Best-Practice vollständig, wenn sie nicht eine „Wann, nicht ob“-Mentalität einnimmt und klare Handlungsabläufe für den Fall einer Systemverletzung geübt hat.
Das bedeutet, dass ein potenzieller Partner über einen klar definierten, dokumentierten und eingeübten Ansatz verfügen muss, der für alle Arten von Cyberangriffen gilt, die in Bezug auf die verwendete Technologie, die Branchen, in denen er tätig ist, oder die Anbieter, Lieferanten oder Partner in seinem Ökosystem relevant sind. Neben den konkreten Schritten, die zu ergreifen sind, sollten Reaktionspläne auf Vorfälle detaillierte Maßnahmen nach Abteilung oder individueller Verantwortung beschreiben, die Art des Problems identifizieren und den Handlungsablauf nach dessen Entdeckung vorgeben.
Hat der potenzielle Partner eine globale Präsenz, sollten Sie nachweisen können, dass Systeme vorhanden sind, um regionale Probleme zu bewältigen, beispielsweise durch einen 24/7-Zugang zu Sicherheits-Incident-Response-Leitern in verschiedenen geografischen Regionen sowie mehrsprachige Unterstützung.
Stellen Sie außerdem sicher, dass alle Reaktionspläne auf Vorfälle dynamische Dokumente sind, die die sich ändernde Natur von Risiken und deren potenzielle Auswirkungen berücksichtigen und neue oder verbesserte Maßnahmen enthalten, die auf Erfahrungen aus erster Hand oder ähnlichen Vorfällen bei anderen Organisationen basieren.
Action list
Überprüfen Sie das Engagement der Organisation für eine „Security-by-Design“-Philosophie.
Bestätigen Sie, dass eine dedizierte, globale Sicherheitsfunktion existiert, die sich von der IT unterscheidet und diese ergänzt.
Überprüfen Sie, ob akkreditierte Sicherheitsexperten in den Bereichen Assurance, Betrieb, Engineering und Informationssicherheit vorhanden sind.
Überprüfen Sie, ob ein internes Team für Cyber-Bedrohungsaufklärung vorhanden ist.
Bewerten Sie die Robustheit und Aktualität von Plänen zur Reaktion auf Sicherheitsvorfälle.
Stellen Sie sicher, dass regionale Mitarbeitende rund um die Uhr Zugang zu einem mehrsprachigen Incident-Response-Team haben.
Fordern Sie Nachweise dafür an, dass aus vergangenen Sicherheitsvorfällen innerhalb ihrer Branche oder des Partnernetzwerks gelernt wurde.