Unternehmensberater | Unternehmensberatung - Unternehmensberaterscout
Unternehmensberatervermittlung: Suche nach einem Unternehmensberater in Ihrer Nähe. Unternehmensberater durch Unternehmensberatersuche.
StartAnfragenReferenzenPartnerNachrichtenAnmeldungForumAnfrageAGBsListinganmeldungListingUnternehmensberaterscout,Unternehmensberater,Unternehmensberatung,Berlin
313
Das Scannen von IP – Adressen reicht nicht aus!
• Unternehmer brauchen ein ganzheitliches Sicherungskonzept für Informationen,
• das Mitarbeiter fortwährend einbindet,
• alle vorhandenen Prozesse eindeutig definiert,
• und Risiken ermittelt und regelmäßig prüft!
Angriffen auf Informationen in Unternehmen wird heute noch recht häufig nur mit technischen Sicherheitslösungen begegnet.
„Das Scannen von IP – Adressen oder Virenschutzkonzepte oder Schrankware wie IT - Sicherheitshandbücher..........reichen nicht aus!“ Solche und andere Angebote aus dem Bereich der IT – Sicherheit erfassen nur einen Teil der Problematik.
Trotz publiziertem Aufschwung schrecken jedoch noch viele Unternehmen vor Investitionen im Umfeld der Informationssicherheit zurück. Diese Sicherheit ist abhängig von den Mitarbeitern, den Prozessen / der Organisation, den benutzten Systemen der IT und den Risiken im Unternehmen. Es ist wichtig, ein zum Unternehmen passendes Sicherheitskonzept zu formulieren, anstatt nur einzelne Löcher zu stopfen.
Ein angemessenes Sicherheitsniveau ist aber in erster Linie abhängig vom Informationsmanagement und erst in zweiter Linie von einzelnen technischen Maßnahmen.
Eine unternehmensbezogene ganzheitliche und effektive Sicherheitsrichtlinie zu erstellen, ist das eine; diese kontinuierlich zu pflegen, ist das andere.
Mittelständische Betriebe liegen bei der Formulierung und Umsetzung gegenüber den Großunternehmen noch weit zurück. Auch erfolgt die regelmäßige Unterrichtung der Mitarbeiter zielführend in Informationssicherheit in nur wenigen Unternehmen und öffentlichen Institutionen. Dies ergaben wieder jüngste Recherchen zu diesem Thema in Deutschland.
Alle vorhandenen Prozesse wie auch die Organisation sind eindeutig im Unternehmen zu definieren, sollten transparent und nicht von der Präsenz einzelner Personen abhängig sein.
Die unterstützenden Systeme der IT sind entsprechend dem Stand der Technik und den gesetzlichen Forderungen zu sichern und deren Daten über festgelegte Zeiträume aufzubewahren . Diese Compliance - rechtsverbindliche Mindestanforderungen - ist gefordert durch Basel II, KonTragG, EuroSox.
Zur Beurteilung des Faktors Mensch gehört in punkto Informationssicherheit auch die regelmäßige Überprüfung und ggf. Anpassung seines Know-hows. Fehlendes Wissen oder mangelnde Aufklärung den Datenschutz betreffend, haben in der Vergangenheit zu unberechtigten Zugängen bzw. Zugriffen geführt, die unbeabsichtigter Weise oder auch vorsätzlich schwere Schäden beim betroffenen Unternehmen angerichtet haben.
Wichtig ist aber auch für alle Unternehmen und öffentliche Einrichtungen - insbesondere vor dem Hintergrund der Rechts- und Haftungsrisiken -, dass die meist mit Hilfe von Software unterstützten „Security Policies“ den international anerkannten und bekannten Standards entsprechen.
Neben der Einhaltung von Standards, Verwendung renommierter und aktueller Hard - und Software - Produkte heißt vorbeugen in diesem Fall, eine dokumentierte Sicherheitsrichtlinie mit Regeln und Verfahren zu entwickeln, die insbesondere alle Mitarbeiter auf Informationssicherheit (IT - Security) verpflichtet und die regelmäßig aktualisiert wird.
Das Erstellen einer ganzheitlichen Unternehmens-Sicherheitsrichtlinie sowie das Umsetzen der sich daraus ergebenden Maßnahmen (ISMS) und die Verankerung im Sicherheitsbewusstsein der Mitarbeiter ( Awareness ) ist eine recht aufwändige Angelegenheit und damit kostenintensiv. Dies dürfte in den seltensten Fällen einer der Gründe dafür sein, dass bisher nur sehr wenige Unternehmen über eine Sicherheitsrichtlinie verfügen. Und dann meist nur bezüglich der Internet-Nutzung oder des E-Mail-Verkehrs.
Inzwischen gibt es aber schon softwarebasierte Lösungen zur Erstellung, permanenten Aktualisierung und Implementierung einer ganzheitlichen Unternehmens-Sicherheitsrichtlinie
die ISO / IEC 27001, etc. konform sind.
So werden z.B. mit deren Hilfe eine unternehmensinterne „IT- Security Policy“ erzeugt, die im Intranet veröffentlicht werden kann und die sich den individuellen Gegebenheiten des Unternehmens anpassen lässt. Diese Lösungen erstellen automatisch Wissenstest für die Mitarbeiter. Diese policy - bezogenen Tests sind eingebunden in „Awarenessprogramme“ (z.B. bestehend aus Texten, Grafiken, Filmen und Wissenstest) zu grundlegenden Sicherheitsthemen. So wird sichergestellt, dass die Mitarbeiter das notwendige Vorwissen haben, um die „Policy - Regeln“ verstehen zu können.
Wer mit solchen Lösungen eine Informations - Sicherheitsrichtlinie entwickelt, schafft effektiv und kostengünstig die Grundlage zur Einführung eines ISMS (Information Security Management System). Im Ernstfall liefert dies der Führungsebene somit den Nachweis, der Sorgfaltspflicht in der „IT - Security“ nachgekommen zu sein. Auch können sich Unternehmen dann nach IT - Grundschutz des BSI und der ISO -Norm 27001 zertifizieren lassen, falls erforderlich.
Sinnvolle Lösungen bestehen z. B. mindestens aus drei Teilen, den Modulen „Policy, Education und Survey“. Zum Modul Policy gehört es firmenspezifische Security - Regeln und - Verfahren zu definieren, zu aktualisieren und an Mitarbeiter zu kommunizieren. Wenn auch noch eingebaute ISO - Norm - basierte Vorlagen angeboten werden, lässt sich eine Anpassung an den individuellen Bedarf bequem vornehmen und die Verwaltung der IT - Unternehmensrichtlinien kosten- und zeiteffizient.
Durch film - bzw. sprachunterlegte E - Learning - Programme im Education - Modul werden Mitarbeitern ein Sicherheitsgrundwissen und Tipps zum richtigen Verhalten im Hinblick auf die Informationssicherheit im Unternehmen vermittelt. Logischerweise kann mit dem Survey - Modul - einem webbasierten Testprogramm - das Sicherheitsbewusstsein der Mitarbeiter und der Kenntnisstand der unternehmensspezifischen Sicherheitsrichtlinien überprüft werden. Die Inhalte der Tests sind natürlich auf die unterschiedlichen Gruppen zugeschnitten. Somit muss kein Nutzer Regeln lesen und lernen, die nicht zu seinem Aufgabenbereich gehören.
19.04.2009
Sicherungskonzept Risiken Sicherheitsrichtlinie Datenschutz IT-Security
Sinnvoll Informationen des Unternehmens sichern
313
Hans-Peter
Fuchs
ecotec wirtschaftliche technologien gmbh
Weil im Schönbuch
Postfach
1236
71090
07031
653011
07031
653012
www.ecotec-online.org
fuchs@ecotec-online.org
Unternehmensanalyse, Unternehmensstrategie, Unternehmenskooperationen, Produktmanagement u. Vertrieb, Multi-Projektmanagement, Informationssicherheit, IT-Lifecyclemanagement, Lösungsanbieter
Unternehmensführung / Organisation, Existenzgründungsberatung, Fördermittelbeschaffung, Personalberatung / Recruiting, Marketing / Vertrieb, Controlling / Unternehmenssteuerung, Forschung / Entwicklung, Produktion / Fertigungstechnik, Informationsmanagement / IT-Beratung, Unternehmensnachfolge, Interimsmanagement
1