Sie sind gerade dabei einen neuen Sicherheitsplan zu erstellen? Hier finden Sie die fünf wichtigsten Schritte, die Ihnen dabei helfen können, Ihn zum Erfolg zu führen. [...]
CISOs und CIOs sind für die Implementierung und Verwaltung von Sicherheitsplänen innerhalb eines Unternehmens zuständig. Dies ist nicht immer eine leichte Aufgabe. Daher haben wir Ihnen hier die fünf wichtigsten Schritte aufgelistet, die Sie zum Zeitpunkt der Implementierung berücksichtigen sollten.
1. Beurteilen Sie den aktuellen Status der Sicherheitsumgebung
Es mag vielleicht offensichtlich klingen, aber Sie wären überrascht zu erfahren, wie viele CISOs und CIOs mit der Implementierung eines Sicherheitsplans beginnen, ohne vorher die bereits bestehenden Richtlinien eines Unternehmens zu überprüfen. Frühere Sicherheitsstrategien, ihre (In-)Effektivität und die möglichen Gründe, weshalb sie gescheitert sind, sollten im Vorhinein unbedingt geklärt werden. War es ein Problem der Umsetzung, der fehlenden Ressourcen oder vielleicht die Fahrlässigkeit des Managements?
Sobald Sie frühere Sicherheitsstrategien überprüft haben, ist es an der Zeit, den aktuellen Stand der Sicherheitsumgebung zu bewerten. Wurde es gewartet oder stehen Sie vor einem unbeaufsichtigten System, das grundlegende Infrastrukturarbeiten benötigt? Gibt es bereits Protokolle? Wie sicherheitsbewusst sind Ihre Mitarbeiter und Kollegen?
Verwenden Sie Risikoregister, Zeitpläne, Gantt-Diagramme und andere Dokumente, die Ihnen helfen könnten, Meilensteine zu setzen, Ihren Fortschritt zu verfolgen, genaue Aufzeichnungen zu führen und bei der Bewertung des Prozesses zu helfen. Ein einziges Master-Sheet ist immer effektiver als eine unübersichtliche Anzahl von Dokumenten und hilft dabei, zukünftige Updates zentralisiert zu halten.
2. Legen Sie Sicherheitsmaßnahmen und Kontrollen fest
Sobald Sie alle Risiken und Schwachstellen ermittelt haben, die Ihre Sicherheitsinfrastruktur beeinträchtigen können, sollten Sie nach den geeignetsten Lösungen suchen, die Sie dagegen schützen: Prävention, Erkennung und Reaktion sind die drei goldenen Worte, die in Ihrem Sicherheitsplan eine übergeordnete Stellung einnehmen sollten.
Im Falle eines Cyberangriffs müssen CISOs und CIOs über eine wirksame Antwortstrategie verfügen. Es sollte zu jedem Zeitpunkt klar sein, was zu tun ist, wer kontaktiert werden sollte und wie man diverse Sicherheitseinbrüche in Zukunft verhindern kann. Halten Sie Ihre Aufzeichnungen stets aktuell und überprüfen Sie sie immer wieder.
CIOs sind dafür verantwortlich, die Daten von Mitarbeitern und Kunden bzw. Usern sicher zu verwahren. Machen Sie sich mit allen relevanten Datenschutzgesetzen vertraut und gehen Sie auch darüber hinaus. Wenn Sie stets alle grundlegenden Kriterien einhalten, werden Sie immer konform bleiben. Der Extra-Aufwand wird ihnen dabei helfen, Ihren Ruf und Ihre Integrität bei Kunden und Kollegen zu verbessern.
Wie oben bereits erwähnt, sollten Sie Tabellen oder Tracker verwenden, um Ihnen die Aufzeichnung von Sicherheitskontrollen zu erleichtern. Halten Sie Ihre Dokumente immer up-to-date, indem Sie auch die Aufzeichnungen von vergangenen Maßnahmen aufbewahren: Schreiben Sie sie nicht neu, sondern archivieren Sie sie.
Gewährleisten Sie auf jeder Ebene Ihres Unternehmens und in jeder einzelnen Abteilung die End-to-End-Sicherheit. Schützen Sie Dateien (digital und physisch) vor unbefugtem Zugriff. Erstellen Sie eine Datenzuordnung, mit der Sie herausfinden können, wo und wie Dateien gespeichert worden sind, wer Zugriff darauf hat und wie lange sie aufbewahrt werden müssen.
Vielleicht haben Sie in den letzten zehn Jahren Bewerbungen gehortet, aber brauchen Sie diese auch wirklich noch – und ist das legal?
In einer mobilen Welt, in der wir von unseren Smartphones oder Tablets aus täglich auf geschäftliche E-Mails zugreifen können, sind BYOD-Richtlinien genauso wichtig wie alle anderen Regeln bezüglich Büroaktivitäten.
Stellen Sie sicher, dass Sie alle möglichen Arten von Maßnahmen abdecken, die die von Ihrem Unternehmen verarbeiteten Daten betreffen. Je nach Sektor möchten Sie Ihren Sicherheitsplan möglicherweise auf ganz bestimmte Punkte konzentrieren. Während Bank- und Finanzdienstleistungen eine sehr gute Abwehr gegen Betrugsfälle benötigen, sollten Internet- oder E-Commerce-Seiten mit DDoS besonders vorsichtig sein.
In jedem Fall sind Cyber-Sicherheit und eine umfassende Anti-Daten-Richtlinie für alle Sektoren ein Muss.
3. Erstellen Sie eine dynamische Sicherheitskultur
Dies ist der wahrscheinlich wichtigste Schritt in Ihrem Sicherheitsplan, denn was nützt es, die beste Strategie und alle verfügbaren Ressourcen zu besitzen, wenn Ihr Team nicht Teil des Ganzen ist?
Als CISO oder CIO ist es Ihre Pflicht, das Sicherheitsbanner zu tragen und sicherzustellen, dass jeder in Ihrem Unternehmen ausreichend gut über die neuen Sicherheitsrichtlinien informiert ist. Stellen Sie Schulungen für alle Mitarbeiter zur Verfügung, organisieren Sie Auffrischungseinheiten, erstellen Sie Infografiken und Ressourcen, senden Sie regelmäßig E-Mails mit Updates und Erinnerungen …
Sicherheit beginnt bei jedem einzelnen Ihrer Mitarbeiter – die meisten Datenschutz- und Cybersicherheitsdrohungen sind nicht umsonst das Ergebnis menschlichen Versagens oder Vernachlässigung.
Obwohl Sie natürlich darauf achten sollten, dass Hacker Ihr System nicht infiltrieren können, ist ein Mitarbeiter, der ein auf dem Parkplatz gefundenes USB-Gerät einsteckt, mindestens genauso schädlich.
Nutzen Sie Ihre Vorstellungskraft: Ein originelles Poster könnte durchaus effektiver sein als stundenlanges Powerpoint-Training.
Betonen Sie immer wieder, dass Sicherheit in der Verantwortung jedes Einzelnen liegt und dass Nachlässigkeit verheerende Folgen haben kann; nicht nur wirtschaftlich, sondern auch in Bezug auf den Ruf Ihres Unternehmens. Datenschutzverletzungen machen keinen Spaß und können zugleich mehrere Millionen von Menschen betreffen.
Die Sicherung des Geschäfts und die Schulung von Mitarbeitern wird inzwischen von mehreren Unternehmen als wichtiges Anliegen aufgeführt. Der CIO von Telefonica O2, Brendan O’Rourke, sieht Cybersicherheit beispielsweise als zentrales Thema für jedes Unternehmen:
„Ich denke, es ist wichtig, dass wir den Führungsteams klar machen, was im Bereich Sicherheit und ihrer Online-Aktivitäten vor sich geht“, sagte er. „Dabei wird sich zeigen, wie vertraut Mitarbeiter und Führungskräfte gleichermaßen mit technischem Fortschritt sind und wie gut sie sich mit den damit verbundenen Sicherheitsproblemen auskennen.“
4. Behalten Sie Ihr Budget im Auge
Ja, natürlich ist Geld zum Zeitpunkt der Umsetzung Ihres Sicherheitsplans ebenfalls ein entscheidender Faktor: Während das Ändern von Kennwörtern oder das Verschlüsseln von Dokumenten kostenlos ist, kann die Investition in angemessene Hardware oder ein Wechsel des IT-Supports Ihr Budget erheblich beeinträchtigen.
Computer-Sicherheitssoftware (z. B. Anti-Spyware-, Intrusion-Prevention-System oder Anti-Tamper-Software) ist oftmals ein sehr effektives Werkzeug, das Sie bei Erstellung Ihres Budgets berücksichtigen müssen.
Setzen Sie Prioritäten: Während für jedes einzelne Unternehmen, die einen Computer verwendet, Antivirus-Software oder Firewalls unerlässlich sind, ist das Sicherheitsinformationsmanagement (SIM) für ein kleines Einzelhandelsunternehmen möglicherweise nicht relevant.
Seien Sie realistisch mit dem, was Sie sich leisten können. Sie benötigen letztendlich kein großes Budget, um einen erfolgreichen Sicherheitsplan zu erstellen. Investieren Sie in Wissen und Fähigkeiten.
5. Arbeiten Sie mit Kollegen und Stakeholdern zusammen
Obwohl Sie aufgrund Ihrer Fähigkeiten und Erfahrung den Job als CISO oder CIO erhalten haben, sollten Sie stets offen für Vorschläge von jungen Mitarbeitern oder Kunden sein – sie haben vielleicht etwas bemerkt, das Sie nicht gesehen haben oder können mit neuen Ideen ihren Teil zum Ganzen beitragen.
CISOs und CIOs sind sehr gefragt, daher werden Sie vermutlich nur wenig Platz in Ihrem Kalender haben. Stellen Sie daher ein sehr engmaschiges Team zusammen, das Sie unterstützt und die notwendigen Änderungen in der Sicherheit für Sie umsetzt, die Sie in Ihrem Unternehmen sehen möchten.
Nutzen Sie die unterschiedlichen Fähigkeiten Ihrer Kollegen und unterstützen Sie sie beim Training und Ausbau derselben.
Erfolgreiche Projekte sind so gut wie immer das Ergebnis effektiver Teamarbeit, bei der Zusammenarbeit und Kommunikation die wesentlichen Schlüsselfaktoren sind. Transparenz ist ein weiterer entscheidender Faktor, der dazu beiträgt, das Vertrauen zwischen Kollegen und Interessengruppen auszubauen.
In Zusammenarbeit mit Aktionären können CISOs, CIOs und Führungskräfte aus anderen Abteilungen dabei helfen, einen sicheren Plan zu erstellen und gleichzeitig die Sicherheitsstandards des Unternehmens als Ganzes zu erfüllen.
*Cristina Lago ist Redakteurin bei CIO New Zealand.
Be the first to comment