Geben Sie detaillierte Informationen über Ihre Organisation, Asset-Gruppen und Risikoszenarien für eine umfassende Analyse der Cyber-Risikoquantifizierung an.
Die erweiterte Geschäftsselbstbewertung ist ein Arbeitsbereich mit mehreren Abschnitten
und vier Registerkarten: Business profile, Security practices, Enriched asset groups und Risk scenarios. Vervollständigen Sie die Registerkarten in beliebiger Reihenfolge und speichern
Sie den Fortschritt jederzeit mit Speichern. Jede Registerkarte zeigt einen Fertigstellungsprozentsatz an. Eine höhere Fertigstellung
über alle Registerkarten hinweg führt zu Risikobewertungsergebnissen mit höherem Vertrauensniveau.
Wenn Sie bereit sind, die Analyse durchzuführen, klicken Sie im Fußbereich auf Analyze and quantify risk.
Mit einem Sternchen (*) markierte Felder sind erforderlich. Das Ausfüllen empfohlener
Felder verbessert die Genauigkeit und das Vertrauensniveau der Ergebnisse.
Business profile
Der Tab "Geschäftsprofil" sammelt Informationen über die Identität, Finanzen, Belegschaft
und rechtlichen Verpflichtungen Ihrer Organisation. Detailliertere Informationen verbessern
die Genauigkeit der quantifizierten Risikoschätzungen und die Relevanz von Vergleichsanalysen
mit anderen Unternehmen.
Der Business overview-Abschnitt der Registerkarte Unternehmensprofil sammelt Informationen über die Identität,
den Standort und das Branchenprofil Ihrer Organisation:
|
Feld
|
Beschreibung
|
|
Firmenname
|
Der rechtliche oder allgemein verwendete Geschäftsname Ihrer Organisation.
|
|
Branche *
|
Die primäre Branche, die Ihre Organisation am besten beschreibt. Wird verwendet, um
vergleichbare Peer-Organisationen zu finden und branchenspezifische Bedrohungsdaten
auf die Analyse anzuwenden.
|
|
Sekundärindustrien
|
Alle zusätzlichen Branchen, die für die Tätigkeiten Ihrer Organisation relevant sind.
Wird verwendet, um den Umfang von Vergleichsanalysen und Bedrohungsmodellierung zu
erweitern.
|
|
Größe *
|
Gesamtanzahl der Mitarbeiter in Ihrer Organisation.
|
|
Geschäftswebsite
|
Die URL der öffentlichen "Über uns"-Seite Ihrer Organisation. Wird zur Unterstützung
von Peer-Vergleichen verwendet.
|
|
Stadt, Bundesland, Postleitzahl
|
Die Stadt, das Bundesland oder die Provinz und die Postleitzahl des Hauptstandorts
Ihrer Organisation. Wird für regionale Bedrohungsmodellierung und Peer-Vergleiche
verwendet.
|
|
Country/region *
|
Das primäre Land oder die Region, in der Ihre Organisation tätig ist. Wird für regionale
Bedrohungsmodellierung und Peer-Vergleiche verwendet.
|
Der Workforce-Abschnitt der Registerkarte "Geschäftsprofil" sammelt Informationen über die Größe
und Kosten Ihrer Incident-Response- und Support-Teams:
|
Feld
|
Beschreibung
|
|
Wie viele Personen sind in Ihrem Incident-Response-Team?
|
Die Anzahl der Mitarbeiter und Auftragnehmer, deren Hauptaufgabe darin besteht, Sicherheitsvorfälle
zu erkennen, einzudämmen und zu beheben. Beziehen Sie alle ein, die während eines
größeren Vorfalls mobilisiert werden. Finden Sie die Anzahl des Incident-Response-Teams
in Ihrem Organisationsdiagramm des Security Operations Center (SOC), im Bereitschaftsplan
oder im Incident-Response-Playbook.
|
|
Durchschnittliche tägliche Kosten pro Mitglied des Incident-Response-Teams
|
Die durchschnittlichen täglichen Gesamtkosten pro Mitglied des Incident-Response-Teams,
einschließlich Gehalt, Sozialleistungen und Gemeinkosten. Sie können die täglichen
Kosten schätzen, indem Sie die jährlichen Kosten pro Teammitglied durch 260 Arbeitstage
teilen.
|
|
Wie viele Personen sind in Ihrem Support-Team?
|
Die Anzahl der Mitarbeiter und Auftragnehmer, die für die Wiederherstellung von IT-Diensten
und die Unterstützung von Benutzern während Vorfällen verantwortlich sind, ohne die
Sicherheitsuntersucher, die bereits im Incident-Response-Team gezählt wurden.
|
|
Durchschnittliche tägliche Kosten pro Support-Teammitglied
|
Die durchschnittlichen täglichen Gesamtkosten pro Support-Teammitglied, einschließlich
Gehalt, Sozialleistungen und Gemeinkosten. Sie können die täglichen Kosten schätzen,
indem Sie die jährlichen Kosten pro Teammitglied durch 260 Arbeitstage teilen.
|
Der Finance-Abschnitt der Registerkarte "Geschäftsprofil" sammelt Informationen über den Umsatz
Ihrer Organisation und sicherheitsbezogene Ausgaben.
|
Feld
|
Beschreibung
|
|
Gesamteinnahmen im letzten Jahr *
|
Der gesamte monetäre Umsatz Ihrer Organisation aus dem letzten Geschäftsjahr. Wird
verwendet, um das monetäre Risiko als Prozentsatz des Jahresumsatzes zu berechnen
und als Grundlage zur Schätzung von Verlusten im Bereich Geld und Finanzen. Finden
Sie die Gesamtumsatzzahl in Ihrem neuesten Jahresbericht, geprüften Finanzbericht
oder internen Gewinn- und Verlustrechnung.
|
|
Prozentsatz des Jahresumsatzes, der für Krisenkommunikation und Reputationsmanagement
verwendet wird
|
Der Anteil des Jahresumsatzes, der für die Planung, Reaktion und Erholung der Krisenkommunikation
budgetiert ist. Finden Sie die Zahl in Ihrem Kommunikations- oder PR-Budget, PR-Agenturverträgen
oder Marketingbudget. Die Ausgaben für Krisenkommunikation werden oft als Prozentsatz
des gesamten Marketingbudgets ausgedrückt.
|
|
Prozentsatz des Jahresumsatzes, der für Rechtsstreitigkeiten oder Rechtskosten ausgegeben
wird
|
Der Anteil des Jahresumsatzes, der für wiederkehrende Rechtskosten verwendet wird,
einschließlich Anwaltsgebühren, Gerichtskosten, Vergleiche und Rechtsberatungsverträge.
Finden Sie die Zahl in Ihrem Budget der Rechtsabteilung, den Hauptbuchkonten für Rechts-
und Beratungskosten oder den Rechnungen externer Anwälte. Für die meisten Organisationen
liegt der typische Bereich zwischen 0,1 % und 1 % des Jahresumsatzes.
|
|
Prozentsatz des Jahresumsatzes, der für den Schutz der Cybersicherheit ausgegeben
wird
|
Der Anteil des Jahresumsatzes, der für die Cybersicherheit budgetiert ist, einschließlich
Tools, Personal und Dienstleistungen. Finden Sie die Zahl in Ihrem Sicherheitsbudget
oder Ihren Ausgabenaufzeichnungen, IT- oder Sicherheitskostenstellenberichten oder
Jahresbudget- oder Geld-und-Finanzen-Berichten.
|
|
Durchschnittliche Kosten pro betroffene Person für das Versenden von Benachrichtigungen
nach einem Sicherheitsvorfall
|
Die durchschnittlichen Kommunikations- und Verwaltungskosten, um jede betroffene Person
nach einem Sicherheitsvorfall zu benachrichtigen, einschließlich Kunden, Mitarbeitern
und Lieferanten. Finden Sie die Zahl in der Dokumentation zur Reaktion auf Verstöße,
in den Richtlinien der Cyber-Versicherungspolice oder in Vorschlägen von Benachrichtigungsanbietern.
Die Kosten pro Person variieren je nach Benachrichtigungsmethode, wobei E-Mail-Benachrichtigungen
die niedrigsten und Kreditüberwachungsdienste die höchsten sind.
|
Der Legal and liability-Abschnitt der Registerkarte "Geschäftsprofil" sammelt Informationen über den Marktstatus
und die regulatorische Compliance Ihrer Organisation:
|
Feld
|
Beschreibung
|
|
An welcher Börse ist Ihr Unternehmen notiert?
|
Die öffentliche Börse, an der die Aktien Ihres Unternehmens notiert sind. Öffentlich
gehandelte Unternehmen haben in der Regel zusätzliche Berichtspflichten nach einem
Sicherheitsvorfall, was die damit verbundenen Kosten erhöhen kann. Wenn Ihr Unternehmen
eine Tochtergesellschaft ist, wählen Sie die Börse, an der die Muttergesellschaft
notiert ist. Wählen Sie None of the above, wenn Ihr Unternehmen oder dessen Muttergesellschaft privat ist.
|
|
Was ist Ihr Tickersymbol?
|
Das Börsenkürzel Ihres Unternehmens. Erscheint, wenn eine andere Börse als None of the above ausgewählt wird.
|
|
Befolgt Ihre Organisation normalerweise die regulatorischen Richtlinien für die Handhabung
von Cybersecurity-Vorfällen?
|
Ob Ihre Organisation die regulatorischen Anforderungen und empfohlenen Praktiken für
das Management von Cybersecurity-Vorfällen einhält, einschließlich der Meldung von
Vorfällen innerhalb der vorgeschriebenen Zeitrahmen, der Aufbewahrung von Protokollen
und digitalen Beweisen sowie der Einführung vorgeschriebener Kontrollmaßnahmen. Finden
Sie die Antwort in Ihrer Richtlinie zur Vorfallreaktion, in Berichten zur regulatorischen
Compliance oder in Dokumentationen zu Governance, Risiko und Compliance.
|
Security practices
Der Tab Sicherheitspraktiken sammelt Informationen über die Sicherheitskontrollen,
die Ihre Organisation nach Kontrollfamilie implementiert hat. Die Antworten werden
verwendet, um die Sicherheitsrisiken Ihrer Organisation zu bewerten und das finanzielle
Risiko für jedes Szenario abzuschätzen.
Fragen sind in zwei Gruppen organisiert:
-
Answerable by connected data sources: Wird automatisch ausgefüllt, wenn die entsprechende Datenquelle verbunden ist und eine Analyse durchgeführt wurde.
-
Manual answer required: Muss manuell beantwortet werden.
 |
WichtigWenn eine verbundene Datenquelle eine Antwort auf eine Frage liefert, ersetzt der
Wert der Datenquelle jede zuvor manuell eingegebene Antwort auf diese Frage.
|
Für jede Sicherheitskontrolle wählen Sie das Implementierungsniveau aus, das die aktuellen
Praktiken Ihrer Organisation am besten beschreibt. Eine vollständige Liste der Kontrollfamilien,
der enthaltenen Kontrollen und der familienspezifischen Niveau-Beschreibungen finden
Sie unter Implementierungsstufen der Sicherheitspraktiken.
|
Stufe
|
Beschreibung
|
|
1 - Unvollständig
|
Wenig bis keine verwandten Sicherheitsmaßnahmen vorhanden.
|
|
2 - Basis
|
Einige verwandte Sicherheitsmaßnahmen sind mit grundlegenden Verfahren oder einem
begrenzten Umfang vorhanden.
|
|
3 - Funktional
|
Verwandte Sicherheitskontrollen sind weltweit etabliert, werden jedoch nicht unbedingt
einheitlich durchgesetzt.
|
|
4 - Umfassend
|
Verwandte Sicherheitskontrollen weltweit implementiert und überwacht.
|
|
5 - Fortgeschritten
|
Dynamische, proaktive Sicherheitskontrollen, die vollständig in die Geschäftsabläufe
integriert sind.
|
Enriched asset groups
Die Registerkarte "Erweiterte Asset-Gruppen" ermöglicht es Ihnen, detaillierten Kontext
für spezifische Asset-Gruppen bereitzustellen, um die Genauigkeit der Risikoeinschätzungen zu verbessern. Die Whole organization-Gruppe ist immer vorhanden und repräsentiert alle Assets in Ihrer Organisation. Klicken
Sie auf Add enriched asset group, um zusätzliche Gruppen basierend auf Ihren definierten Asset-Gruppen zu konfigurieren. Konfigurierte erweiterte Asset-Gruppen stehen zur Auswahl im Register
"Risikoszenarien" zur Verfügung.
Jede angereicherte Asset-Gruppe hat zwei Registerkarten:
-
Asset group profile: Sammelt Informationen zu Geld und Finanzen, Personal, Haftung und sensiblen Daten, die spezifisch für die Gruppe sind.
-
Asset group security practices: Enthält dieselben Sicherheitskontrollfragen wie die Registerkarte "Globale Sicherheitspraktiken", aber die Antworten gelten nur für die ausgewählte Asset-Gruppe.
Die folgenden Felder sind auf dem Tab Asset group profile verfügbar.
Der Asset group overview-Abschnitt der Registerkarte Asset-Gruppenprofil sammelt Geld- und Finanzinformationen
sowie Haftungsdaten für die ausgewählte Asset-Gruppe:
|
Feld
|
Beschreibung
|
|
Gesamtwert der Vermögenswerte in der Asset-Gruppe
|
Der Gesamtwert der Hardware, Software und Hauptlizenzen in der Asset-Gruppe. Wird
verwendet, um potenzielle Ersatz- und Wiederherstellungskosten bei einem Sicherheitsvorfall
abzuschätzen. Für Hardware multiplizieren Sie die Anzahl der Geräte mit den durchschnittlichen
Stückkosten. Für Cloud- oder softwarebasierte Gruppen verwenden Sie die jährlichen
Gesamtkosten für Cloud und Lizenzen.
|
|
Geschätzter Prozentsatz des Jahresumsatzes, der auf den von dieser Asset-Gruppe bereitgestellten
Dienstleistungen beruht
|
Der geschätzte Anteil des Jahresumsatzes, der von den durch die Asset-Gruppe bereitgestellten
Dienstleistungen abhängt. Wenn andere Asset-Gruppen ebenfalls dieselben Dienstleistungen
anbieten, geben Sie nur den geschätzten Anteil dieser Gruppe an, um eine Überschätzung
zu vermeiden.
|
|
Anzahl der Vertragspartner, die auf Dienstleistungen dieser Asset-Gruppe angewiesen
sind
|
Externe Geschäftspartner unterliegen Service-Level-Vereinbarungen oder Strafen, wenn
die von der Asset-Gruppe bereitgestellten Dienste nicht verfügbar sind. Finden Sie
die Zahl in Ihrem Vertragsarchiv, Ihrem Lieferantenverwaltungssystem oder Ihren Kundenbeziehungsmanagement-Aufzeichnungen.
|
|
Durchschnittliche Vertragsstrafe oder Servicegutschrift, die jedem Vertragspartner
geschuldet wird, wenn Dienste aus dieser Asset-Gruppe ausfallen
|
Die durchschnittliche Geld- und Finanzstrafe oder der Servicekredit, der jedem vertraglich
gebundenen Geschäftspartner geschuldet wird, wenn die Asset-Gruppe ihre Dienstleistungen
nicht erbringt, einschließlich Vertragsstrafen und pauschalierter Schadensersatz.
Wenn keine vertraglichen Strafen gelten, geben Sie null an. Finden Sie die Zahl in
Ihrem Vertragsarchiv oder in der Service-Level-Agreement-Dokumentation.
|
Der Abschnitt Sensitive data information auf der Registerkarte des Asset-Gruppenprofils erfasst das Volumen der gespeicherten
oder verarbeiteten sensiblen Datensätze in der ausgewählten Asset-Gruppe:
|
Feld
|
Beschreibung
|
|
Anzahl der Personen, deren personenbezogene Daten (PII) in dieser Asset-Gruppe gespeichert
oder verarbeitet werden
|
Die Anzahl der Personen, deren persönlich identifizierbare Informationen, wie Namen,
Adressen oder Identifikationsnummern, in der Asset-Gruppe gespeichert oder verarbeitet
werden. Dazu gehören Kunden, Mitarbeiter, Bewerber und Nutzer, die mit einer identifizierbaren
Person verbunden sind. Finden Sie die Zahl in Ihren Datenklassifizierungsunterlagen,
Berichten des Verlustpräventionssystems oder Aufzeichnungen des Kunden- und Personalmanagementsystems.
|
|
Anzahl der Personen, deren geschützte Gesundheitsinformationen (PHI) in dieser Asset-Gruppe
gespeichert oder verarbeitet werden
|
Die Anzahl der Personen, deren geschützte Gesundheitsinformationen in der Asset-Gruppe
gespeichert oder verarbeitet werden. Geschützte Gesundheitsinformationen umfassen
klinische Krankenakten sowie gesundheitsbezogene Daten wie Termine, Ansprüche und
Mitglieds-IDs. Wenn Ihre Organisation keine geschützten Gesundheitsinformationen verarbeitet,
geben Sie null an.
|
|
Anzahl der in dieser Asset-Gruppe gespeicherten oder verarbeiteten Datensätze von
Zahlungskarteninhabern (PCI)
|
Die Anzahl der Zahlungskarteninhaber-Datensätze, einschließlich Kartennummern und
zugehöriger Daten, die in der Asset-Gruppe gespeichert oder verarbeitet werden. Schließen
Sie Systeme aus, in denen Zahlungsdaten niemals gespeichert oder verarbeitet werden,
wie z. B. vollständig ausgelagerte Zahlungsseiten. Finden Sie die Zahl in Ihren Berichten
des Zahlungsabwicklers oder in der PCI-Bereichsdokumentation.
|
|
Anzahl anderer sensibler Datenaufzeichnungen, die in dieser Asset-Gruppe gespeichert
oder verarbeitet werden
|
Die Anzahl der sensiblen Datensätze, die nicht durch PII-, PHI- oder PCI-Kategorien
abgedeckt sind und in der Asset-Gruppe gespeichert oder verarbeitet werden. Dazu gehören
Geschäftsgeheimnisse, Quellcode, vertrauliche Verträge, Finanzberichte und interne
Strategie-Dokumente. Zählen Sie Datensätze mit den Sensitivitätskennzeichnungen Vertraulich,
Eingeschränkt oder gleichwertig in Ihren Datenklassifizierungsaufzeichnungen.
|
Der Finance and workforce-Abschnitt der Registerkarte "Asset-Gruppenprofil" sammelt Informationen zur Mitarbeiteranzahl
und zu den Kosten für die ausgewählte Asset-Gruppe:
|
Feld
|
Beschreibung
|
|
Wie viele Mitarbeiter sind auf diese Asset-Gruppe angewiesen, um ihre Arbeit zu erledigen?
|
Die Anzahl der Mitarbeiter oder Auftragnehmer, deren tägliche Arbeit von den Systemen
und Diensten in der Asset-Gruppe abhängt. Finden Sie die Zahl in Ihrem Servicekatalog,
Identity and Access Management-Aufzeichnungen oder Personalbestandsaufzeichnungen.
|
|
Tägliche monetäre Kosten pro Mitarbeiter, der sich auf diese Asset-Gruppe verlässt
|
Die durchschnittlichen täglichen Gesamtkosten pro Mitarbeiter, dessen Arbeit von der
Asset-Gruppe abhängt, einschließlich Gehalt, Sozialleistungen und Gemeinkosten. Schätzen
Sie die täglichen Kosten, indem Sie die jährlichen Kosten pro Mitarbeiter durch 260
Arbeitstage teilen.
|
Risk scenarios
Die Registerkarte "Risikoszenarien" zeigt alle aktivierten Risikoszenarien an. Klicken
Sie auf Manage scenarios, um auszuwählen, welche Szenarien aktiviert werden sollen. Klicken Sie auf die Filterregisterkarten
oder verwenden Sie das Suchfeld, um bestimmte Szenarien zu finden. Für Beschreibungen
aller verfügbaren Szenarien siehe Quantifizierung von Cyberrisiken Risikoszenarien.
Für jedes aktivierte Szenario:
-
Weisen Sie ein oder mehrere angereicherte Asset-Gruppen zu, die in die Analyse einbezogen werden sollen. Mindestens eine angereicherte Asset-Gruppe muss zugewiesen werden, bevor die Analyse durchgeführt werden kann.
-
Beantworten Sie den Fragebogen zum Angriffsergebnis. Die Fragen gelten für alle Szenarien mit demselben Angriffsergebnistyp, sodass eine einmalige Beantwortung alle verwandten Szenarien abdeckt.
Folgende Fragen zu den Angriffsergebnissen sind enthalten:
|
Frage
|
Beschreibung
|
|
Wie oft hat [Angriffsergebnis] Ihr Unternehmen im letzten Jahr beeinträchtigt?
|
Die Anzahl der bestätigten oder stark vermuteten Vorfälle mit dem angegebenen Angriffsergebnis,
die Ihre Organisation in den letzten 12 Monaten betroffen haben. Geben Sie null an,
wenn das Angriffsergebnis nicht aufgetreten ist. Finden Sie die Zahl in Ihrem Vorfallsverfolgungssystem,
Case Management-Aufzeichnungen oder Vorfallreaktionsberichten.
|
|
Durchschnittliche Anzahl der pro Vorfall betroffenen Assets
|
Die durchschnittliche Anzahl von Assets, einschließlich Geräten und Konten, die pro
Vorfall kompromittiert oder eingedämmt werden müssen. Erscheint, wenn mindestens ein
Vorfall aufgetreten ist. Teilen Sie die insgesamt betroffenen Assets über alle Vorfälle
hinweg durch die Anzahl der Vorfälle, um den Durchschnitt zu berechnen.
|
|
Durchschnittlicher Umsatzverlust pro Vorfall
|
Der durchschnittliche Umsatzverlust pro Vorfall, einschließlich entgangener Verkäufe,
verzögerter Abrechnung und Kosten für Serviceunterbrechungen. Erscheint, wenn mindestens
ein Vorfall aufgetreten ist.
|
|
Durchschnittliche Anzahl der Tage, die für die Wiederherstellung pro Vorfall benötigt
werden
|
Die durchschnittliche Zeit zur Wiederherstellung des normalen Betriebs nach einem
Vorfall. Erscheint, wenn mindestens ein Vorfall aufgetreten ist. Finden Sie die Zahl
in Ihren Vorfallreaktionsaufzeichnungen oder IT-Service-Management-Aufzeichnungen.
|
|
Durchschnittliche Anzahl der Support-Tage, die für jeden Geschäftspartner pro Vorfall
erforderlich sind
|
Die durchschnittliche Anzahl der Tage, die Ihre Support-Teams für Kommunikation, Koordination
und technische Unterstützung für jeden betroffenen Anbieter, Kunden oder Vertriebspartner
pro Vorfall aufgewendet haben. Erscheint, wenn mindestens ein Vorfall aufgetreten
ist. Wenn die Supportzeit in Stunden protokolliert wird, teilen Sie durch 8, um in
Tage umzurechnen, und teilen Sie dann durch die Anzahl der betroffenen Partner, um
den Durchschnitt pro Partner zu erhalten.
|
|
Durchschnittlich gezahltes Lösegeld pro Ransomware-Vorfall
|
Der durchschnittlich an Bedrohungsakteure gezahlte Betrag pro Ransomware-Vorfall,
einschließlich Vorfällen, bei denen kein Lösegeld gezahlt wurde. Geben Sie null an,
wenn nie ein Lösegeld gezahlt wurde. Erscheint nur für Ransomware-Angriffsergebnistypen.
Finden Sie die Zahl in Ihren rechtlichen Unterlagen, Cyber-Versicherungsunterlagen
oder Vorfallreaktionsberichten.
|
|
Durchschnittlicher Umsatzverlust durch Geschäftspartner, die nach einem Datenexfiltrationsvorfall
die Geschäftsbeziehungen beenden oder reduzieren
|
Der durchschnittliche Umsatzverlust, wenn Geschäftspartner ihre Geschäftsbeziehung
nach einem Datenexfiltrationsvorfall beenden oder erheblich reduzieren. Geben Sie
null an, wenn ein Partnerverlust, der direkt durch einen Sicherheitsvorfall verursacht
wurde, nicht aufgetreten ist. Erscheint nur für Ergebnisarten von Datenexfiltrationsangriffen.
|
|
Jährlich budgetierte Ausgaben für den Schutz vor Datenexfiltration
|
Das jährliche Budget für Sicherheitskontrollen, Überwachung und Präventionsmaßnahmen,
die speziell auf Datenexfiltration abzielen, einschließlich Tools wie Prävention vor
Datenverlust, Endpunkterkennung und E-Mail- oder Web-Gateways. Erscheint nur für Ergebnisarten
von Datenexfiltrationsangriffen. Wenn Tools mehreren Zwecken dienen, schätzen Sie
den Anteil, der hauptsächlich zur Prävention von Datenexfiltration verwendet wird.
|