Einstieg in die Informationssicherheit mit einem Managementsystem
Chancen bringen einem Unternehmen Wettbewerbsvorteile, Risiken bedrohen seinen Erfolg. Zunehmende Angriffe auf Unternehmensnetzwerke, Datenpannen und der damit drohende Imageverlust sowie Wirtschaftsspionage zwingen immer mehr Firmen dazu, ihre Sicherheitsstrukturen und -prozesse zu überdenken. Prävention ist unverzichtbar.
Die Sicherheit der Unternehmensinformationen (Datensicherheit) wird weiter unterschätzt und lässt sich durch zahlreiche Maßnahmen erreichen. Sie sind Teil eines Sicherheitskonzeptes und umfassen sowohl technische als auch organisatorische Maßnahmen. Grundsätzlich liegt die Sicherheit von Informationen im Unternehmensumfeld im Verantwortungsbereich des Managements, das die verschiedenen Aufgaben an untergeordnete Einheiten delegiert. Zentrale Kernkomponente der Informationssicherheit im Unternehmen ist das Informationssicherheitsmanagementsystem (ISMS).
Was ist denn überhaupt Informationssicherheit?
Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität ihrer Unternehmensinformationen sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.
Ein ISMS sorgt dafür, dass die notwendige Informationssicherheit in Unternehmen definiert, umgesetzt und fortlaufend angepasst und verbessert wird. Das Topmanagement / die Geschäftsführung muss das notwendige Maß an Sicherheit definieren, Verantwortlichkeiten festlegen und Mitarbeitern klare Regeln auferlegen. Das ISMS liefert die notwendigen Informationssicherheitsaspekte und integriert sie in die vorhandenen Prozesse eines Unternehmens. Mit Hilfe des „kontinuierlichen Verbesserungsprozesses“ (KVP) wird das vorhandene Sicherheitsniveau laufend angepasst und verbessert. Bestehende Risiken digitaler Prozesse werden sichtbar und vereinfachen das IT-Risikomanagement. Mögliche Restrisiken können an Versicherungen (Cyber-Versicherung) übertragen werden.
Auf welche Weise lässt sich Informationssicherheit einführen?
Zunächst ist es wichtig, das passende Vorgehen für das jeweilige Unternehmen zu definieren. Es gilt zu prüfen, welche Anforderungen an das Unternehmen gestellt werden. Gibt es gesetzliche Vorgaben? Gibt es Vorgaben durch Kunden oder Lieferanten? Besonders kleine und mittelständische Unternehmen müssen darauf achten, dass die Einführung eines ISMS das Unternehmen sowohl finanziell als auch organisatorisch nicht überfordert. Die VdS Schadenverhütung GmbH (VdS) hat mit dem Regelwerk VdS 10000 ein zertifizierbares ISMS speziell für KMU entwickelt.
Zu Beginn werden in einem Workshop die konkrete Ausgangssituation und bestehende Risiken des Unternehmens ermittelt. Dazu werden relevante Sicherheitsthemen betrachtet und in einem ausgewählten Teilnehmerkreis Fragen und Kriterien der Informationssicherheit diskutiert und zusammengeführt. Mittels SecurityCheck wird der individuelle Reifegrad des Unternehmens ermittelt und die Ausgangssituation grafisch in einer Ergebnismatrix dargestellt.
Besonders hohe Risiken lassen sich sofort erkennen und mit konkreten Handlungsempfehlungen abschwächen. Mit Hilfe der Workshop-Ergebnisse lässt sich ein Vorgehen für die weitere Umsetzung ableiten. Ein individueller Projektplan liefert eine transparente Übersicht zur Einführung eines ISMS inkl. der erforderlichen Aufwandsplanung.
100%ige Sicherheit gibt es nicht. Angriffsszenarien ändern sich fortlaufend. Ihre Daten brauchen Schutz. SAR schützt Ihre Werte. SAR steht bei Fragen zu Ihrer Sicherheit beratend an Ihrer Seite. Von der Planung über die Umsetzung bis hin zur Zertifizierung.
