Informations-Sicherheit im Wandel – Prozess-orientierte Steuerung der Sicherheit

Informationssicherheit im Wandel – Prozessorientierte Steuerung der Sicherheit

Informationssicherheit im Wandel, so beschreibt eines der größten Sicherheitsunternehmen – RSA Security (http://www.rsasecurity.de/) – die zukünftigen Herausforderungen. Somit haben auch die Hersteller von Security Produkten die Zeichen der Zeit erkannt, den Herausforderungen der Informationssicherheit mit nur technischen Lösungen zu begegnen ist nicht zielführend.

Ein Dokument von RSA (RSA Whitepaper) beschreibt ein empfehlenswertes Vorgehen, wie die Informationssicherheit in einem anderen Kontext zu betrachten ist.

Wir von mabunta sehen uns bestätigt. Empfehlen wir diesen Ansatz doch schon seit längerem. Die von uns empfohlenen und angebotenen Vorgehensmodelle (ISIS12 und ISO27001) für die Einführung eines Informations-Sicherheit-Management-System (ISMS: ISMS) berücksichtigen, besser noch, praktizieren genau diesen neuen Weg.

Kontinuierlicher Verbesserungsprozess steht auf der Agenda. Bedeutet im Detail, regelmäßige Überwachung und Dokumentation der Informationssicherheit im eigenen Unternehmen. Begleitet durch eine entsprechende Risikobewertung hilft es, bewusst die tatsächlichen Gefahren für den Geschäftszweck des Unternehmens zu identifizieren. Beide Vorgehensmodelle, ISIS12 und ISO27001, decken diese Anforderung ab – sie lassen Sicherheit greifbar werden. Durch zu definierende Metriken lässt sich die Wirkung eingesetzter Techniken nachvollziehbar aufzeigen. Diese Instrumente der Überzeugung zeigen Controlling oder der Geschäftsführung die Sinnhaftigkeit der anzuwendenden Maßnahmen auf, werden letztlich die Unterstützung für dieses Thema entfachen.

Zusammengefasst sind folgende Schritte für den Betrieb und Aufbau eines ISMS zu fokussieren:

  • Unternehmensengagement – Awareness bei Geschäftsleitung und Mitarbeiter schaffen
  • Organisationsstruktur aufbauen
  • Dokumentationsstruktur erstellen und Dokumentationsrichtlinien festlegen
  • IT-Service Management aufbauen
  • Kritische Applikationen identifizieren
  • IT-Struktur analysieren
  • Sicherheitsmaßnahmen definieren
  • IST-SOLL-Vergleich
  • Umsetzung planen
  • Maßnahmen realisieren
  • Revision – Überprüfung der Wirksamkeit und Aktualität

Diese Schritte zeigen auf, wie die Informationssicherheit unter “ständige Beobachtung” gestellt werden kann, Entscheidungen nachweisbar und nachvollziehbar gemacht werden können.

Es ist nicht länger eine Theorie, endlich ist es möglich den Mehrwert der Informationssicherheit greifbar zu machen.