/

Initiierung von oben

Informationssicherheit braucht einen Anstoß von der Unternehmensleitung.

In vielen Unternehmen wird Informationssicherheit nur punktuell und nach Bedarf behandelt. Damit Informationssicherheit übergreifend gelebt wird, bedarf es der Übernahme von Verantwortung und der Initiierung des Sicherheitsprozesses durch die Unternehmensleitung.

Am Anfang war die IT-Sicherheit

Bevor die Bedeutung der Informationssicherheit in Organisationen verstanden und gelebt wird, werden die technisch notwendigen Maßnahmen von der IT-Leitung ergriffen. Je nach Bedarf, SItuation und Budget werden die IT-Systeme geschützt und gehärtet. In dieser frühen Phase entstehen einzelne punktuelle Lösungen rund um Sicherheit, die nur den Fokus der verwendeten Lösung betrachten. Noch fehlt es an einer ganzheitlichen und organisationsweiten Umsetzung von Informationssicherheit.  

Durch Anforderungen von außen, wie z.B. Gesetze, oder Ereignisse, wie Angriffe, steigt die WIchtigkeit der Informationssicherheit im Bewußtsein der Unternehmensleitung. Manchmal zu spät und oft nur zögerlich.

IT-Sicherheit wird Informationssicherheit

Informationssicherheit ist ein Thema der Unternehmsleitung und in deren Verantwortung. Das Ziel ein ausreichendes Niveau der Informationssicherheit zu er­zielen und langfristig aufrechtzuerhalten, stetzt ein geeignetes Vorgehen und eine geeignete Organisationsstruktur voraus. Die Unternehmensleitung muß hierzu, Sicherheitsziele und die Strategie zur Erreichung der Ziele definieren. Wichtig ist hierbei die Einrichtung eines Si­cherheitsprozess der die Aufrechterhaltung des erreichten Sicherheitsniveaus gewährleistet.

Informationssicherheit hat eine hohe Bedeutung für die Organisation und muss daher, wegen der zu treffenden Entscheidungen und der zu übernehmenden Verantwortung auf der Leitungsebene initiiert werden. Diese Ebene ist dafür verantwortlich, dass alle Geschäftsbereiche im Sinne der Informationssicherheit funktionieren und mögliche Risiken er­kannt und minimiert werden. Die ISO27001 als Norm zur Informationssicherheit hat den Schwerpunkt auf die Organisation, also eher nach innen. Durch die starke Vernetzung der heutigen Geschäftsprozesse und Organisationen sollte Informationssicherheit, unserer Meinung nach, auch nach außen zum Kunden, zum Lieferanten u.a. gewährleistet werden.

Aufgaben der Leitung

Die Aufgaben der Leitungsebene sind naheliegend: Der Sicherheitsprozess muss initiiert, gesteuert und kontrolliert werden. Gehen wir in die Details, sehen wir, dass die Lei­tungsebene als verantwortliche Instanz, benötigte Ressourcen für die Informationssicherheit zur Verfügung stellen und die Entscheidungen über den Umgang mit Risiken treffen muss. Das Bedarf widerum der Unterstützung durch Informationssicherheitsbeauftragten.

Willkommen ISB

Der Informationssicherheitsbeauftragte - oder kurz ISB genannt - hat die operative Seite (das "Doing") der Informationssicherheit, beginned mit der Durchführung der Konzeption und Planung zum Einstieg in das Thema Informationssicherheit. Zur Erinnerung; Die ersten Erfahrungen wurden im Bereich mit der IT-Sicherheit gesammelt, also liegen erste Ergebnisse vor. keine Organisation beginnt bei null. 

Auf Basis des bestehenden Wissens und vorhandener Erfahrungen kann der ISB zusammen mit der IT-Leitung und den Fachbereichen mögliche Risiken frühzeitig identifizieren. Dies gilt es der Unternehmensleitung zu kommunizieren. Eine rechtzeitige Unterrichtung über mögliche Risiken beim Umgang mit Informationen, Geschäfts­prozessen und IT ermöglicht eine rechtzeitige Ergreifung von Maßnahmen und der Bereitstellung von Ressourcen (Zeit, Budget, Mitarbeiter). 

Für die Unterrichtung der Leitungsebene durch den ISB sollten regelmäßige Termine (Jourfix) eingerichtet werden. Der ISB sollte in der sprachlich Lage sein, die Leitungsebene über vorhandene Risiken und mögliche Folgen aufzuklären. Technische Formulierungen gilt es hierbei zu vermeiden oder nachvollziehbar vermittelt werden. Nur wenn ein gemeinsames Verständnis vorhanden ist, können auch Entscheidungen gefällt werden. Der ISB muss die Leitungsebene informieren, die Leitungsebene muss sicherstellen, dass entscheidungsrelevanten Informationen an sie vermitelt werden können, Ein Durchwinken von Entscheidungen wird der Wichtigkeit der Informationssicherheit nicht gerecht.

Agenda Informationssicherheit

  1. Welche neuen Sicherheitsrisiken gibt es und welche Auswirkungen sowie Kosten sind damit verbunden?
  2. Was ist der Status der aktuellen Sicherheitsrisiken? Welche Maßnahmen wurden ergriffen?
  3. Gibt es (mögliche) Sicherheitsvorfällen auf die kritischen Geschäftsprozesse?
  4. Was sind die (neuen) Sicherheitsanforderungen aus Regularien?
  5. Welche Standardvorgehensweisen (Best Practice) zur Informationssicherheit gibt es in der Branche? Neue Tendenzen?
  6. Was ist der aktuelle Stand der Informationssicherheit (Reifegrade)? Welche Handlungsempfehlungen gibt es zur Erreichung der angestrebten Ziele?

Die Liste läßt sich in Absprache mit der Leitungsebene anpassen oder erweitern.

Leitungsebene als Keimzelle

Wie eingangs erwähnt, trägt die Leitungsebene die Verantwortung für die Informationssicherheit und der Erreichung der Sicherheitsziele, aber da Informationssicherheit organisationsübergreifend ist, sollten auch die Mitarbeiter in den Sicher­heitsprozess mit eingebunden werden. Wir empfehlen neben dem Top-Down-Ansatz auch eine Bottom-Up-Vorgehensweise. Mit steigendem Bewußtsein der Informationssicherheit bei den Mitarbeitern, wird die Sicherheit von diesen gestützt und gestaltet. Die Leitungsebene sollte darum stets als Vorbild vorangehen.