Informationssicherheit, die zu Euch passt.

Nicht jedes Unternehmen ist gleich, darum gibt es keine Informationssicherheit von der Stange. Seit Euch eigener Maßschneider.

Die Standards und Richtlinien zur Informationssicherheit sind eine gute Basis für die Sicherheit in Eurem Unternehmen, oft aber viel zu weitreichend. Daher passt die Sicherheit an Euer Unternehmen an.

InformationssicherheitBlogThema

Schritt 1: Die Kontrollpunkte

Sicherheitsframeworks haben viele grundlegende Sicherheitskomponenten gemeinsam. Ihr müsst nicht unbedingt ein Framework einem anderen vorziehen. ZUerst bestimmt Ihr Eure benötigte Kernsicherheit anhand der wichtigen Prozesse. Dann definiert Ihr Eure Kontrollen, also Messgrößen für die Sicherheit. Die Wahl der KOntrollen hängt von den Schutzzielen ab, die Ihr in Eurem Prozessen identifiziert habt. Hieraus ergeben sich hohe, mittlere oder niedrige Steuerelemente (Kontrollen, SIcherheitskriterien) auswählen. Anschließend können Sie entscheiden, wer die Eigentümer oder Interessenvertreter dieser Kontrollen sein wird. Abschließend definiert Ihr einen weiteren Prozess, wie die Erreichung der Sicherheitsziele gemessen werden kann (KPI, Schwellwerte, Sicherheitskontrollen.)

Sicherheitskontrollen sind Schutzmaßnahmen oder Gegenmaßnahmen, um Sicherheitsrisiken zu vermeiden, zu erkennen, entgegenzuwirken oder zu minimieren. Gemeinsame Kontrollen sind Sicherheitskontrollen, die als gemeinsame Fähigkeit mehrere Informationssysteme effizient und effektiv unterstützen können.

Strebt Eure Organisation eine Zertifizierung wie ISO oder BSI könnt Ihr entspannt zurücklehnen. MIt den Wesentlichen Punkten habt Ihr Euch schon vorherr beschäftigt. an. Ihr müsst jetzt spezifischen Anforderungen der Zertifizierung mit berücksichtigen.

Schritt 2: Maßnahmen

Eine Maßnahme ist ein Plan oder eine Vorgehensweise, die unternommen wird, um einen bestimmten Zweck zu erreichen. Eine Sicherheitsmaßnahme ist insbesondere eine Vorsichtsmaßnahme gegen Bedrohungen wie Diebstahl, Spionage oder Sabotage. Nachdem Sie sich entschieden haben, welche Kontrollfamilien Sie in Ihr Kernsicherheitsset aufnehmen möchten, müssen Sie skizzieren, wie Sie den Erfolg messen können. Diese Kennzahlen können aus den Frameworks stammen, die Sie für die Nutzung ausgewählt haben, indem Sie sich ihre Kontrollen ansehen und wie sie deren Messung empfehlen.

Ein Beispiel aus dem Bereich Personalsicherheit. Es ist wichtig festzulegen, wie der Personallebenszyklus in Eurem Unternehmen aussieht und mit welchen Verfahren ihr diesen Zyklus von der Einstellung bis zur Trennung messen könnt. Es gibt unzählige Maßnahmen, die Ihr umsetzen könnt. Ihr könnt verlangen, dass alle neuen Mitarbeiter vor Arbeitsbeginn eine Hintergrundüberprüfung durchführen und den Prozess dokumentieren, um sicherzustellen, dass alle Zugriffsrechte am Ende des Beschäftigungsverhältnisses dieser Person entfernt werden sprechen (Absprechen mit Betriebrat. Ihr könnt einen Prozess für Mitarbeiter skizzieren, die Abteilungen übertragen, einschließlich Managementgenehmigungen und Zugriffsprüfungen. Schließlich haben Sie möglicherweise eine Richtlinie zu Personalsanktionen, wenn gegen eine Richtlinie verstoßen wird. Zu wissen, welche Maßnahmen eine Organisation ergreifen wird, hilft bei der Vorbereitung auf solche Situationen. Es ist wichtig, sicherzustellen, dass Ihr eine Möglichkeit habt, den Erfolg zu messen.

Schritt 3: Absicherung

Nachdem Sie sich nun für Ihr Kernsicherheitsset und dessen Messung entschieden haben, ist es an der Zeit zu beweisen, dass Sie das getan haben, was Sie versprochen haben. Eine Zusicherung ist eine positive Erklärung, die Vertrauen schenken soll. Beweise sind alles, was zur Untermauerung einer Behauptung vorgelegt wird. Es ist der verfügbare Tatsachenbestand, der anzeigt, ob eine Aussage gültig ist.

Wenn das Konfigurationsmanagement implementiert wird, muss nachgewiesen werden können, wer die Maßnahmen, für die die Kontrollen beschrieben wurden, ausgeführt hat. Beweise sind eine gute Möglichkeit, Sicherheit zu geben. Wenn Sie Baseline-Konfigurationen messen müssen, könnte der Nachweis eine dokumentierte Baseline sein, die mit den CIS-Benchmarks übereinstimmt. Oder wenn Sie über eine Maßnahme zur Konfigurationsänderungskontrolle verfügen, können dokumentierte Änderungstickets, die einen Genehmigungsprozess und eine Aufgabentrennung aufweisen, als Beweis dienen.

Wenn Ihr über eine Maßnahme zur regelmäßigen Überprüfung der Lease-Funktionalität verfügt, kann der Nachweis ein Service-Desk-Ticket sein, das eine Zusammenfassung einer Überprüfungssitzung und alle Ergebnisse sowie deren Abhilfemaßnahmen enthält. Die Bereitstellung von Nachweisen für jede Maßnahme zeigt den Stakeholdern, der Führung und bei einigen Organisationen dem Auditor während einer Bewertung oder eines Audits die Zuverlässigkeit. Die Möglichkeit, eine abgegrenzte Geschichte von den zentralen Sicherheitskontrollen über die Messung bis hin zur Sicherheit zu zeigen, schafft Vertrauen, dass eine Sicherheitsorganisation standardmäßig, messbar und wiederholbar arbeitet.

Die Bereitstellung von Nachweisen für jede Maßnahme zeigt den Interessengruppen, der Führung und einigen Organisationen die Zuverlässigkeit.

Schritt 4: Erweiterung

Obwohl es viele Gemeinsamkeiten gibt, die über Frameworks hinweg abgebildet werden müssen, gibt es immer noch viele Steuerelemente. Das Nachverfolgen und Messen dieser Kontrollen kann durch eine Kalkulationstabelle schwierig sein. Und Tabellenkalkulationen enthalten keine vorkonfigurierten Berichte, die Sie mit Unternehmensleitern teilen können.

Hier kann ein Governance-, Risiko- und Compliance-Tool oder GRC-Tool helfen, die Belastung zu verringern. GRC-Lösungen sollen IT- und Sicherheitsrisiken managen und gleichzeitig die Komplexität reduzieren, die oft mit Compliance einhergeht. In der Lage zu sein, Informationen mit dem Kontext organisatorischer Geschäftsprozesse zu korrelieren, kann eine aussagekräftige Berichterstattung verbessern.

Es gibt eine Vielzahl von GRC-Anbietern. Sie umfassen das Spektrum von leichten Basiswerkzeugen über mittelgroße Basiswerkzeuge bis hin zu High-End-Komplettwerkzeugen. Die Auswahl des richtigen Anbieters hängt von den Fähigkeiten Ihrer IT- und Sicherheitsabteilungen sowie von der Fähigkeit Ihres Unternehmens ab, Ihre Prozesse den Kontrollen zuzuordnen.

Schritt 5: Mindset

Sicherheitsdenken ist kein einmaliges Projekt. Es ist eine fortlaufende Reise, die eine Sicherheitsmentalität erfordert, um erfolgreich zu sein. Aber es muss nicht schwer sein.

Wählen Sie zunächst eine Familie aus, auf die Sie sich konzentrieren möchten. Ich empfehle Ihnen, mit dem größten Gefährdungs- oder Risikobereich Ihres Unternehmens zu beginnen. Oder wenn sich das zu komplex anfühlt, wählen Sie etwas Einfaches oder niedrig hängendes Obst, damit Sie ein paar schnelle Gewinne zeigen und zeigen können, dass Sicherheit zugänglich sein kann. Denken Sie daran, Ihre Absicht ist es nicht, perfekte Sicherheit zu haben, sondern die Messlatte hoch genug zu legen, um Sie für schlechte Schauspieler unerwünscht zu machen, was bedeutet, dass es zu schwer ist, einen Angriff zu lohnen.

Als nächstes definieren Sie drei Maßnahmen und führen Sie diese durch. Vielleicht nicht ganz so zufällig, aber zufällig ist besser, als keinen Zug zu machen. Jede Kontrollfamilie hat viele Empfehlungen zur Auswahl. Finden Sie drei, mit denen Sie beginnen können, Leistungsfähigkeit und Zuverlässigkeit aufzubauen. Wenn Sie sich beispielsweise für Reaktion auf Vorfälle entscheiden, können Sie einen einfachen Plan erstellen, um auf Sicherheitsereignisse zu reagieren, Sie können einen Mechanismus erstellen, z . Die Leute lieben es, sich zu versammeln, besonders wenn Sie Pizza mit einbeziehen. Messen Sie dann die Wirkung und sammeln Sie Feedback. Sehen Sie, wie Sie Ihren Inzidenzreaktionsplan iterieren können. Oder messen Sie, wie viele Ereignisse Monat für Monat

FAZIT

Informationssicherheit ist keine punktuelle Angelegenheit, sondern ein übergreifendes Thema, welches in viele Bereich greift. Der Aufwand lohnt sich.