Passt Ihre Sicherheitsstrategie?

Übernehmen Sie die Kontrolle bei der Planung der Informationssicherheit

[fa icon="calendar"] 28. Mai 2020 / von Jakob Holm Hansen

Eine der wichtigsten Aufgaben des Chief Information Security Officer (CISO/ISB) ist es, proaktiv einen Plan für die Informationssicherheit zu erstellen und ihn im gesamten Unternehmen zu kommunizieren. Hier ist ein Plan für Ihr Vorgehen.

Hintergrund

Es ist noch nicht sehr lange her, dass die Experten für Informationssicherheit um die Aufmerksamkeit des Managements kämpfen mussten. Es war eine tägliche Anstrengung, das Management davon zu überzeugen, dass der Umgang mit Informationssicherheit für das Unternehmen brisant ist und dass es sich dafür interessieren muss. Oft mussten wir Schauergeschichten erzählen und wurden beschuldigt Flächenbrand zu betreiben.

Zum Glück hat sich das geändert. Teilweise aufgrund hochkarätiger Informationssicherheitsvorfälle, die sich auf die Unternehmensergebnisse ausgewirkt haben, aber auch aufgrund der DSGVO und dem damit verbundenen Bewusstsein für Compliance.

Das Problem

Jetzt haben wir zwar die Aufmerksamkeit und die Mittel, um diese Informationen zu verbreiten. Aber haben wir damit unser Ziel erreicht?

Nicht ganz. Zuerst müssen wir sicherstellen, dass wir das, was wir erreicht haben, sinnvoll nutzen, denn das Bewusstsein für Informationssicherheit kann uns tatsächlich vor neue Herausforderungen stellen. Auf einmal müssen wir Zeit mit Panikreaktionen von jemandem aus dem Management verbringen, weil er auf einem Flug von Amsterdam über Ransomware gelesen hat. Oder weil jemand aus der Personalabteilung, an einem DSGVO-Kurs teilgenommen hat und jetzt eine Richtlinie für Löschfristen wünscht. Und plötzlich setzen wir unsere ganze Zeit dafür ein, Fragen zu beantworten, warum wir uns entschieden haben, die Eine oder Andere Bedrohung so anzugehen, wie wir es getan haben.

Wir laufen Gefahr, hin und her gezogen zu werden ohne Einfluss auf die Richtung oder die Strategie der Informationssicherheit und Compliance zu haben.

Wir müssen daher in die Situation kommen, in der wir festlegen, wie wir über Informationssicherheit und Compliance kommunizieren und informieren.

Sie legen das konkrete Vorgehen fest

Falls sich das Management oder die Personalabteilung hinsichtlich des Vorgehens nicht ausreichend informiert oder in Kenntnis gesetzt fühlt, werden sie uns brauchen, um die richtigen Antworten zu bekommen. Unsere Aufgabe ist es also, zu kommunizieren und sicherzustellen, dass Bedrohungen behandelt werden und dass es eine Vorgehensweise für Informationssicherheit und Compliance gibt. Und natürlich müssen wir hinsichtlich unseres Handelns sicher sein, dass wir wissen, was wir tun.

Um dafür die Voraussetzungen festlegen zu können, müssen wir bestimmte Dinge umsetzen.

Wir müssen:

  1. wissen, was von uns erwartet wird
    Es können Kunden sein, die Anforderungen an Informationssicherheit haben, oder Standards nach denen wir uns richten müssen, oder Anforderungen von Behörden an Compliance, DSGVO usw.
  2. wissen, wie die Informationssicherheit und Compliance unsere Geschäftsziele unterstützen können
    Wir haben bereits einen Blog dazu geschrieben.
    Gehe zu: https://www.neupart.com/de/blog/risikobewertungen-ausgehend-von-den-unternehmenszielen
  3. einen Plan haben, wie das in den Punkten 1 und 2 angegebene Niveau der Informationssicherheit und Compliance erreicht (oder aufrechterhalten) werden kann
    Das bedeutet, einen spezifischen Projektplan zu haben, wie wir die erforderlichen Informationssicherheits- und Compliance-Ebenen erreichen, und einen Plan dazu haben, wie wir sie pflegen.

Diese 3 Grundlagen werden uns helfen, die Gegebenheiten zu schaffen, um die Unterstützung und das Verständnis zu erhalten, das wir vom Management benötigen. Wir können die notwendige Akzeptanz bekommen, indem wir uns ausschließlich darauf konzentrieren, an dem zu arbeiten, was für unsere Organisation wichtig ist, und indem wir uns immer voll bewusst sind, wo wir stehen und wo wir hin wollen.

Legen Sie die Agenda fest

Wenn wir wissen, wo wir stehen und wo wir hin wollen, können wir beginnen, unsere Kommunikation entsprechend zu strukturieren.
Es wird empfohlen, damit zu beginnen, dem Management mit einer allgemeinen Präsentation über Informationssicherheit die erarbeitete Vorgehensweise zu präsentieren.

Ihre Präsentation könnte folgendes umfassen:

  1. welche spezifischen Stakeholder (Kunden, Behörden usw.) stellen Anforderungen an uns und welche sind das und was sie für uns rein praktisch bedeuten
    Zum Beispiel: Wir müssen die eigenen Löschfristen vollständig umsetzen, um die DSGVO usw. einzuhalten, und uns in Kürze in die Lage versetzen, einen Plan zu präsentieren, wie wir das erreichen.
  2. eine Präsentation Ihres Plans
    Welche Phasen durchlaufen werden müssen, was sie mit sich bringen, wann sie geplant sind und wer beteiligt ist.
  3. den Prozentsatz des bereits umgesetzten Plans - und somit, wie konform wir sind
    Dies sollte dem Management regelmäßig gemeldet werden, um sie über die Fortschritte auf dem Laufenden zu halten.
  4. wann wir konform sein werden
    Wie viele Tage laut Plan tatsächlich noch benötigt werden - bevor wir konform sind.

Halten Sie den Plan aufrecht

Sobald wir unseren Compliance-Plan vorgelegt haben, sollte klar sein, dass wir seinen Inhalt und seine Fortschritte regelmäßig verfolgen.
Als Teil des Plans sollten Sie daran denken, regelmäßige Besprechungen mit Ihrem Management durchzuführen, um sie auf dem Laufenden zu halten und den weiteren Fokus sicherzustellen.

Bei solchen Treffen müssen Sie sich zu 100 % sicher sein, welche Fortschritte Sie seit der letzten Sitzung gemacht haben und welche Sie in Bezug auf die Ergebnisse zur nächsten Sitzung erreichen wollen. Hierzu können auch Kriterien ermittelt werden, bevor mit der Planung von Notfallübungen begonnen wird. Zum Beispiel: Das Management sollte sich daran erinnern, den Business Continuity-Plan zu genehmigen, bevor mit der Umsetzung begonnen werden kann.

Zusammenfassung

Mit dem neu entdeckten Bewusstsein und den erschaffenen Voraussetzungen wird es häufig einfacher sein, alle Fragen des Managements zu beantworten. Viele Fragen werden sicherlich schon durch unseren proaktiven Ansatz beantwortet sein. Andere Fragen werden wir entweder beantworten können, indem wir uns auf unseren Plan beziehen oder die Ergebnisse bzw. Initiativen, die wir umgesetzt haben, präsentieren.

Also, falls jemand aus dem Management fragt: "Was passiert, wenn wir von Ransomware getroffen werden?" Wird logischerweise die Antwort sein, dass, falls es eine Bedrohung sein sollte, der wir im Mai begegnen werden, werden wir - so der Plan - unsere Risikobehandlung umsetzen. Und wenn die Geschäftsführung beschließt, dass wir bereits vor Mai handeln müssen, können wir natürlich in unserem Plan umplanen, aber das wird folglich bedeuten, dass etwas anderes verschoben werden muss.

Nun befinden wir uns in einer Situation, in der wir wissen, wo wir stehen und wo wir hin wollen. Das weiß jetzt auch unser Management. Wir sind in einer viel besseren Position, um Informationssicherheit und Compliance in unserer Organisation umzusetzen und zu behandeln.

Wir haben die Kontrolle übernommen, anstatt hin und her gezogen zu werden.

 

Mehr über Planung der Informationssicherheit erfahren 

ISO 27001 Policy und Compliance - Verstehen lernen?

Live Webinar
Mit den weit verbreiteten Standards ISO 27001 und ISO 27002 für Informationssicherheit, übernehmen Sie die Kontrolle über Ihre Informationssicherheit im Unternehmen und erfüllen die best practice Sicherheitsanforderungen.

Hier mehr erfahren und anmelden

TISAX für Automotive Webinar

Sofort abrufbaren Webinar
In diesem Webinar erhalten Sie einen Überblick wie Sie leicht und einfach mit dem Neupart Tool Ihr TISAX Label verwalten können.

Webinar sofort ansehen

Der Aufbau des Jahresrads für Informationssicherheit

Leitfaden
Lernen Sie, wie Sie selbst ein Jahresrad für die Umsetzung der Sicherheitsstandards im Unternehmen erstellen können.

Leitfaden hier herunterladen

Themen: informationssicherheit, management support

Passt Ihre Sicherheitsstrategie?

Der Neupart-Blog bietet Informationen zu den Themen: Effektives Informations-sicherheitsmanagement, Sicherheits-strategien, Risikomanagement, Einhaltung der Informations-sicherheitsstandards sowie weiterer Anforderungen, Business Continuity Management, ISO2700x, EU-Datenschutz-Grundverordnung, PCI DSS usw.

Beliebte Beiträge