Security-Strategien
IT-Security-Prozesse systematisch unterstützen
Fortsetzung des Artikels von Teil 1
Prozessdefinition und Mitarbeitersensibilisierung
Sind alle Rahmenbedingungen geklärt, können klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen geschaffen werden. Dazu gilt es, die sensiblen Unternehmensbereiche zu identifizieren, die Bedrohungsszenarien, denen sie ausgesetzt sind, und welche Risiken daraus entstehen: Welche Daten oder Abläufe gilt es besonders zu schützen? Muss eine geheime neue Rezeptur gegen Online-Spionage geschützt werden? Sensible Kundendaten gegen Missbrauch? Oder der zentrale Webshop gegen eine Denial-of-Service-Attacke? Auch bei dieser Definition der eigenen Sicherheitsprozesse lässt sich schrittweise vorgehen. Unternehmen sollten mit dem Wichtigsten starten und daraus dann mit der Zeit ein umfassendes Management ihrer Sicherheitsprozesse entwickeln.
Nicht selten ist menschliches Verhalten die Ursache dafür, dass Angriffe von außen im Inneren des Unternehmens ihre schädliche Wirkung entfalten können. Es gilt daher, Mitarbeiter für mögliche Angriffsszenarien zu sensibilisieren, die versuchen könnten, sie für eine Cyber-Attacke auszunutzen – wie zum Beispiel Phishing-Mails, die vorgeben vom Chef zu sein. Außerdem sollten sie auch wissen, was bei gestohlenen Firmen-Laptops zu tun ist und wie sie mit Apps auf dem Unternehmens-Handy umgehen sollten. Damit alle Mitarbeiter für diese Gefahren aufmerksam bleiben und richtig auf Bedrohungen reagieren können, müssen sie regelmäßig informiert und geschult werden. Damit IT-Security-Prozesse im Unternehmen nicht nur auf dem Papier stehen, sondern auch alltagstauglich und effizient umgesetzt werden können, empfiehlt sich der Einsatz eines zentralen Systems, das alle sicherheitsrelevanten Ereignisse dokumentiert und die zugehörige Kommunikation entsprechend der definierten Prozesse unterstützt. Moderne Ticketing-Systeme sind hier besonders geeignet: Sie fungieren als technisches Rückgrat der IT-Security-Prozesse und unterstützen durchgängig die gesamte Kommunikation und dokumentieren sie rechtssicher. Sie erlauben, spezifische Prozesse für bestimmte Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen, und ermöglichen verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.
Kommunikation ist alles
Nachdem das System installiert ist und die Umsetzung der IT- Sicherheitsprozesse mehr und mehr zum normalen Unternehmens-alltag gehört, müssen sie – wie andere Unternehmensprozesse auch – kontinuierlich weiterentwickelt und ausgebaut werden. IT-Security-Verantwortliche und Cyber Defense Teams können in ihrer Arbeit sehr davon profitieren, sich mit Kollegen aus anderen Unternehmen auszutauschen und das Know-how über aktuelle Bedrohungsszenarien zu teilen. Eine Möglichkeit bietet dazu der Cert-Verbund, eine nicht-kommerzielle Allianz deutscher Sicherheits- und Computer-Notfallteams mit über 40 Mitgliedern und dem gemeinsamen Ziel, die operative Sicherheit zu erhöhen. Darüber hinaus bieten auch manche Unternehmen regelmäßige Treffen an, um sich auszutauschen und mit- und voneinander zu lernen. Mittlerweile bieten darüber hinaus einige Hersteller von Sicherheitslösungen Vernetzungsmöglichkeiten, um einen regelmäßigen Austausch der Teams zu ermöglichen.
Jens Bothe ist Director Global Consulting bei OTRS
- IT-Security-Prozesse systematisch unterstützen
- Prozessdefinition und Mitarbeitersensibilisierung
Lesen Sie mehr zum Thema
