Startseite > Security > Sicherheit in geordneten Bahnen

Strukturierte Security-Prozesse

Sicherheit in geordneten Bahnen

18. November 2021, 7:00 Uhr | Marco Wickl/wg

Fortsetzung des Artikels von Teil 1

Lösungen, Verantwortlichkeiten und Mitarbeiter

Ist die Sicherheitsstrategie definiert, gilt es, die Sicherheitslösungen, -Tools und -Services auszuwählen und einzuführen. Wie bei der Einführung jeder Lösung lauten die Aufgaben Evaluierung und Kosten-Nutzen-Analyse. Zudem sind Aspekte wie Design und Konfiguration, Implementierung, Integration in die Systemlandschaft, Betrieb und Wartung sowie Bedienbarkeit zu berücksichtigen. Vor allem hat ein Unternehmen auch eine Entscheidung über das Betriebsmodell zu treffen, also ob IT-Sicherheit ein On-Premises-, Hybrid-Cloud- oder Outsourcing-Thema ist. Für Unternehmen kann es bei diesen komplexen Themen durchaus von Vorteil sein, Consulting-Services externer Dienstleister zu nutzen, die Expertise im Sicherheitsbereich vorweisen können.

Zudem muss ein Unternehmen die Verantwortlichkeiten für die Definition, Durchsetzung und Überwachung organisatorischer Maßnahmen bestimmen und Initiativen zur Motivation und Sensibilisierung der Mitarbeiter ergreifen. Nur so lässt sich der Erfolg eines ISMS-Projekts sicherstellen. Es ist im Rahmen eines ISMS ein absolutes Muss, ein Schulungs- und Sensibilisierungskonzept zu erstellen und nachzuweisen. Ein Punkt wird in diesem Kontext oft übersehen: Die Umsetzung einer Sicherheitsstrategie erfordert spezifische Qualifikationen. Es kann durchaus sein, dass aufgrund mangelnden Sicherheits-Know-hows ein Outsourcing sinnvoll ist. Schließlich sollte ein Unternehmen immer abklären, ob es kostengünstiger ist, die eigenen Mitarbeiter zu qualifizieren oder externe Experten zu engagieren.

Strukturiertes Vorgehen

Insgesamt erfordert die Etablierung von Security-Prozessen immer eine strukturierte Vorgehensweise. Ad-hoc-Aktivitäten und Insellösungen sind nicht erfolgversprechend. Überdies will die Sicherheitskultur im Unternehmen gelebt sein, und zwar vom Top-Management bis hin zum einzelnen Mitarbeiter. Des Weiteren darf man nicht vergessen, dass Security auch ein Differenzierungsmerkmal sein kann. Viele Unternehmen – gerade auch Zulieferer im Bereich kritischer Infrastrukturen – müssen verstärkt Nachweise zur Informationssicherheit erbringen. IT-Security ist dann ein Wettbewerbsfaktor.

Marco Wickl ist Director Consulting Services und Teamlead für IT-Governance, Risk and Compliance bei CGI.

Best Practices zur ISMS-Einführung
Basis-Sicherheitsprüfung (Quick Check) Struktur- und Schutzbedarfsanalyse Detaillierte Risikobewertung Festlegung eines Maßnahmenkatalogs Sicherung kritischer Assets Start mit schnell umsetzbaren, naheliegenden Maßnahmen Sicherung der unkritischen Assets Jährliche Überprüfung der Maßnahmen gemäß PDCA-Zyklus (Plan, Do, Check, Act)