In den meisten Unternehmen sieht die Realität so aus, dass fürs Informationssicherheitsmanagement nur wenige Ressourcen verfügbar sind. Es ist außerdem wahrscheinlich, dass zukünftig auch keine weiteren Ressourcen für diesen Bereich zugewiesen werden. Daher muss der Sicherheitsbeauftragte dafür sorgen, dass die knappe Zeit und das knappe Geld ausreichen.
Die gute Nachricht lautet: Die Aufgabe lässt sich tatsächlich bewältigen. Und die wirklich gute Nachricht lautet: Die Informationssicherheit lässt sich verglichen mit der bisherigen Praxis sogar noch erhöhen, wenn die Prozesse anders angepackt werden.
Informationssicherheit muss kein Marathon sein
In nicht wenigen Unternehmen gleicht der Umgang mit Sicherheitsprozessen punktuellen Marathonläufen.
Die Erstellung von Sicherheitsrichtlinien, Bestimmungen, Risikobeurteilungen, Notfallplänen usw. werden in umfassenden Abläufen geplant und umgesetzt, die großen Zeitaufwand und vielleicht sogar hohe Kosten erfordern, sofern externe Berater einbezogen werden. Die Abläufe sind häufig dadurch gekennzeichnet, dass das Ergebnis dem Aufwand nicht entspricht. Trotz der guten Absichten landen viele Pläne ganz unten in einer Schublade, damit ist die Durchführung des Sicherheitsprozesses abgehakt.
Jeder kann 5 Kilometer laufen
Jakob Joensen ist leitender Berater bei Neupart. Seine Empfehlung lautet, den Sicherheitsprozess als wöchentliche, leichter zu bewältigende 5 km-Abschnitte anstelle von strapaziösen Marathonstrecken zu planen.
„Es ist viel sinnvoller, wenn das Unternehmen die Prozesse in eine Reihe von Teilprozessen aufteilt, die laufend über 12 Monate umgesetzt werden, statt den Sicherheitsbeauftragten zwei bis drei Mal pro Jahr völlig zu überlasten. Dazu gehört auch, dass der Sicherheitsbeauftragte nicht alle Aufgaben allein erledigt, sondern die Verantwortung auf mehrere Mitarbeiter in der Organisation verteilt wird“, so Jakob Joensen.
Der Jahreszyklus verankert den Sicherheitsprozess
Dieser Ansatz wird von der Vorstellung eines Jahreszyklus unterstützt, in dem alle Sicherheitsprozesses des Jahres systematisiert werden. Wenn ein bestimmter Teilprozess ansteht, erhält der Verantwortliche beispielsweise eine E-Mail-Erinnerung. Anschließend können Änderungen im betreffenden Bereich bestätigt oder abgelehnt werden und die Durchführung des Prozesses kann abschließend dokumentiert werden.
„Eigentlich geht es darum, dass es einfacher und kostengünstiger ist, einen Jahreszyklus bei langsamer Geschwindigkeit am Laufen zu halten als ihn nach langen Stillstandszeiten immer wieder auf Hochtouren zu bringen“, erklärt Jakob Joensen.
Kommunikation ist das A und O
Er empfiehlt, dass der Sicherheitsbeauftragte als erstes mit den Mitarbeiterinnen und Mitarbeitern spricht, die Einblick in die Teilprozesse des Unternehmens haben.
„Der Sicherheitsbeauftragte muss den IT-Entwickler, den IT-Assistenten, den IT-Betriebsmitarbeiter, den Netzwerkverantwortlichen usw. fragen, worin ihre Tätigkeit eigentlich besteht – und die gleiche Frage muss er den Mitarbeiterinnen und Mitarbeitern im Kundendienst, Marketing, Vertrieb, in der Produktion und Personalabteilung stellen. Nach Abschluss der Befragung hat er einen Überblick über die Kerntätigkeit des Unternehmens, welche Systeme bei der Durchführung dieser Kerntätigkeit Unterstützung bieten und wie Daten geschützt werden.“
„Wenn es gelingt, die einzelnen Prozesse und die Personen, die für deren Durchführung verantwortlich sind, in einen Jahreszyklus zu integrieren, lassen sich die Prozesse meiner Meinung nach viel besser in der Organisation verankern. Hierdurch verbessert sich auch die Qualität der Informationssicherheit im Unternehmen“, so Jakob Joensen abschließend.
Hilfe beim Verwalten der Informationssicherheit
Secure ISMS und Secure GDPR bietet Systemunterstützung für die Arbeit mit dem zyklischen Jahresplan und die kontinuierliche Umsetzung der DSGVO und weiterer Standards die Sie in Ihrem Unternehmen erfüllen möchten oder sogar müssen. Nehmen Sie am 2. Oktober 2018 an unserem Webinar teil, bei dem wir Ihnen erklären, wie Sie einen zyklischen Jahresplan erstellen