Informationssicherheit
IT-Sicherheit nicht nur punktuell erledigen
Bewusstsein schafft Sicherheit
Transparenz und Motivation sind unerlässlich, damit Informationssicherheit Bestandteil der Kultur einer Organisation wird. Für das Top-Management kommt es darauf an, in der Organisation eine offene Kultur des Austauschs über Sicherheitsfragen zu schaffen und für ein Umfeld zu sorgen, dass die Beschäftigten über alle Abteilungen hinweg motiviert, sich selbst für Sicherheit einzusetzen.
Um die Beschäftigten dauerhaft zu sensibilisieren und aktiv einzubinden, können pragmatische Ansätze dienen, wie z.B. der regelmäßige Austausch mit den Fachbereichen (um zu wissen, wo der Schuh drückt) und die Stärkung der Mitarbeiter durch Änderung von Prozessen. Der Sicherheitsbeauftragte kann als Brückenbauer zwischen den unterschiedlichen Interessensgruppen moderieren.
Der Effekt: Informationssicherheit wird ein gemeinsames Ziel und integraler Bestandteil des Handelns. Beschäftigte auf allen Hierarchiestufen werden ganz natürlich den Einfluss ihrer Projekte und Prozesse auf die Informationssicherheit überprüfen, aus eigenem Antrieb Missstände identifizieren und auf deren Behebung drängen. Diese intrinsische Motivation der Beschäftigten adressiert auch noch eine andere Herausforderung: Die fortschreitende Vernetzung und steigende Komplexität machen es für eine Organisation zunehmend schwieriger, das erforderliche Sicherheitsniveau mit einem zentralisierten Ansatz zu erreichen.
Allein durch Vorgaben der Führungsebene, die in den Fachabteilungen unreflektiert umgesetzt werden sollen, ist Informationssicherheit kaum noch zu erzielen. Vielmehr hängt sie immer auch davon ab, wie das Tagesgeschäft organisiert ist. Dabei muss das Subsidiaritätsprinzip gelten: Letztlich haben alle, vom Top-Manager über den Administrator bis zum Pförtner, die Aufgabe, Sicherheit in ihren Bereichen sicherzustellen - Informationssicherheit braucht die Mitwirkung der gesamten Organisation.
Darum hat es sich unter anderem bewährt, einen interdisziplinär besetzten Steuerkreis für Informationssicherheit einzurichten. Diesem Steuerkreis kommt eine wichtige Mittlerrolle zu: Das Gremium, dem Vertreter aller Organisationseinheiten bzw. Themenbereiche angehören sollten, kann die unterschiedlichen Bedürfnisse und Interessen aller Abteilungen berücksichtigen.
- Zutritt und Zugriff für Unberechtigte
- Verlust tragbarer Speichermedien
- Aufbewahrung von Logins und Passwörtern
- Ungesperrte Arbeitsplätze
- Private Nutzung geschäftlicher Kommunikationsmittel
- Weitergabe firmeneigener IT
- Preisgabe vertraulicher Firmeninformationen
- Unerlaubter Zugriff auf Teile des Netzes
- Installation nicht freigegebener Software
- Änderungen an den Sicherheitseinstellungen des Clients durch den Mitarbeiter