Informationssicherheit
IT-Sicherheit nicht nur punktuell erledigen
Management-Systeme als methodischer Rahmen
Organisationen werden es in Zukunft mit immer komplexeren Angriffen auf IT-Systeme zu tun haben. Alle Szenarien im Vorfeld zu durchdenken ist unmöglich. Ein effektiver Ansatz ist, die Organisation so aufzustellen, dass Regelungen zur Unterstützung von strategischen Zielen definiert, Sicherheitsprozesse und Zuständigkeiten etabliert werden. Im Ernstfall steht dann ausschließlich die inhaltliche Arbeit im Fokus, nicht erst die Klärung von Zuständigkeiten.
Es ist Aufgabe der Führungsebene ein effizientes Steuerungssystem aufzubauen. Werden klare Verantwortlichkeiten benannt, ist auch eine zielgerichtete Ressourcensteuerung möglich. Dies adressiert neben den strategischen auch taktische Aspekte, etwa weil die Führung so die Steuerung konkreter Sicherheitsvorfälle gewährleisten kann. Sogenannte Management-Systeme können den notwendigen Rahmen bilden, um Informationssicherheit in der Organisation zu verankern.
Standards und Tools reduzieren die Komplexität
Ein international anerkanntes Management-System ist der Standard ISO 27001. Dieser definiert, wie ein Information SecuritySecurity Management System (ISMS) aussehen sollte. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) knüpft mit seinem Konzept für den "IT-Grundschutz" an die internationale ISO 27001 an. Das BSI hat mit dem IT-Grundschutz den Standard für Informationssicherheit geschaffen, dessen Einhaltung für Bundes- und die meisten Landesbehörden eine Compliance-Aufgabe und damit verbindlich ist. Alles zu Security auf CIO.de
Es hat sich bewährt, bei der Steuerung und Umsetzung von Maßnahmen Tools zur Unterstützung zu nutzen. Dabei sollte auf Bewährtes zurückgegriffen werden. Am Markt vorhandene Tools lassen sich an die eigenen Bedürfnisse anpassen und so auch in komplexeren Umgebungen einsetzen. ISMS-Tools dienen beispielsweise dazu, die Vorgaben des gewählten Standards darzustellen, die Zusammenhänge und Abhängigkeiten zwischen Komponenten zu dokumentieren und für eine übersichtliche Darstellung der Konformität zu sorgen. Eine toolgestützte Umsetzung erleichtert auch die Steuerung des ISMS deutlich, die übergreifende Zusammenarbeit in Organisationen wird ebenfalls vereinfacht.
Informationssicherheit geht alle an
Für alle Organisationen ist es an der Zeit, das Thema Informationssicherheit aus dem technischen Ghetto der IT-Abteilung zu befreien. Informationssicherheit ist ein strategisches Thema für die Führungsebene - und ein Alltagsthema für die gesamte Organisation. Wer die Regularien und Gesetze im Bereich Informationssicherheit einhalten will, braucht dazu das Engagement und die Akzeptanz aller Beschäftigten. Es braucht das Bewusstsein, dass Informationssicherheit eine zentrale Säule der Organisation ist - ein Fundament, das von Führungskräften und Beschäftigten kontinuierlich gestärkt werden muss. Welchen Grad an Informationssicherheit eine Organisation erreicht, ist letztlich eine Frage ihrer Kultur und aller Beschäftigten: Sicherheit muss (vor-)gelebt werden.
- 6 Befunde zur IT-Sicherheit
Die IT-Security-Studie von PwC in Zusammenarbeit mit CIO und CSO wartet mit einer Reihe von Befunden auf. Unsere Bildergalerie pickt sechs zentrale Botschaften heraus. - Gefährliche Insider
Die Mehrzahl der Security-Vorfälle wird von eigenen Mitarbeitern oder Ehemaligen verursacht. Der Anteil externer Angreifer ist deutlich geringer. - Wettbewerber gefährlicher als Staat
PRSIM zum Trotz: Staaten sind laut Studie nur für 4 Prozent der Vorfälle verantwortlich. Die größte Gefahr geht immer noch von klassischen Hackern aus, gefolgt von lästigen Konkurrenten. - Risikoherd Mobilität
Wenngleich nicht unbedingt schnell, so bauen die Firmen doch den Schutz ihrer mobilen Flanke aus. Am meisten zugelegt hat in den letzten Monaten die besonders wirksame Authentifizierung auf mobilen Endgeräten. - Angst vor der Konkurrenz
PwC geht davon aus, dass eine Zusammenarbeit auch mit anderen Firmen die Sicherheitslage verbessern könnte. Die Grafik zeigt, woran das in der Praxis scheitert. Es fehlt an Vertrauen gegenüber anderen Firmen - vor allem, wenn sie finanzstärker sind. Außerdem will man Security-Probleme weithin am liebsten totschweigen. - Bessermacher und Durchschnitt
PwC identifiziert in der Studie eine Führungsgruppe, die IT-Sicherheit besser im Griff hat als der Rest. Diese Grafik zeigt, woran sich das konkret festmachen lässt. Alignment, übergreifende Zusammenarbeit und Unterstützung auf Vorstandsebene sind bei den Leader-Firmen überdurchschnittlich ausgeprägt. - 10 Tipps von PwC
PwC macht zehn Stellschrauben aus, über die sich zeitgemäß an der Security drehen lässt. Tools zur Verschlüsselung und Entdeckung von Gefahren zählen ebenso dazu wie Mitarbeiterschulung und schriftlich fixierte Richtlinien.