com!-Academy-Banner

Ganzheitlicher Schutz vor Angriffen

Security mit Business-Perspektive

von - 25.05.2020
Wie also kann eine durchdachte, ganzheitliche Security-Strategie heute aussehen? Matthias Zacher, Senior Consulting Manager bei IDC, rät Firmen dazu, sich hier an Frameworks wie dem BSI-Grundschutz oder der Norm ISO 27001 zu orientieren: „Die ISO 27001 zum Beispiel gibt vor, mit welchen Prozessen und Maßnahmen Firmen und Organisationen eine höhere Informationssicherheit erreichen.“
Er empfiehlt Unternehmen, beim Erstellen einer ganzheitlichen IT-Sicherheitsstrategie immer von einer Business-Perspektive aus zu starten, anhand der Geschäftsprozesse Risiken zu bewerten und dementsprechend gezielte Maßnahmen zu definieren und umzusetzen. Welche Rolle spielt Sicherheit im Rahmen des Geschäftsmodells? „Die Unternehmensbereiche haben je nach Risiko verschiedene Security-Profile. Da sich die Sicherheitslage und die Bedrohungsszenarien permanent wandeln, müssen Firmen zukunftsgerichtet denken und ihre Security so aufstellen, dass sie schneller und flexibler auf Angriffe reagieren kann oder, noch besser, diese proaktiv verhindert.“
Christian Koch, Director GRC und IoT/OT bei der Security Division des IT-Dienstleisters NTT, ergänzt: „Es geht immer um ein Zusammenspiel von Prozessen, Technologien und Menschen. Unternehmen sollten bei der Ausarbeitung ihrer Security-Strategie aber keinesfalls über Hersteller oder Produkte diskutieren, die Definition einer Strategie ist unabhängig von dieser Frage. Viel wichtiger ist die Schaffung eines Bewusstseins für die Risiken im IT-Security-Umfeld.“
Christiona Koch
Christian Koch
Director GRC und IoT/OT bei der Security Division bei NTT
www.global.ntt
Foto: NTT
„Bei Security geht es immer um ein Zusammenspiel von Prozessen, Technologien und Menschen. Entscheidend ist, dass sowohl Prozesse als auch Technologien zum Unternehmen und zum Schutzbedarf passen müssen.“
Seiner Meinung nach wird nur die kontinuierliche Schulung der eigenen Mitarbeiter, aber auch von Partnern und Zulieferern das Sicherheits-Level eines Unternehmens nachhaltig erhöhen. In der heutigen Zeit werde zudem Business-Continuity-Management als Teil der Gesamtstrategie bedeutend, so Koch. Dies beinhalte neben Notfallprozessen bei technischen Störungen auch Wiederanlaufpläne nach Cybersecurity-Vorfällen wie Ransomware und die Pandemie-Vorsorge, die in der Vergangenheit von vielen Unternehmen als wenig relevant abgetan worden sei.
Laut Christian Koch geht es bei allen Unternehmen unabhängig von der Größe um die gleichen Aspekte: „Entscheidend ist, dass sowohl Prozesse als auch Technologien zum Unternehmen und zum Schutzbedarf passen müssen. Es macht keinen Sinn, immer das höchste Sicherheitsniveau erreichen zu wollen. Vielmehr muss das passende Level für die individuellen Anforderungen angestrebt werden.“
Security-Awareness-Training: Inhalte und Themen
Ziel von Security-Awareness-Trainings ist es, die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit zu minimieren und die Mitarbeiter für Themen rund um die Sicherheit der IT-Systeme und der Informationen zu sensi­bilisieren. Sie vermitteln das notwendige Wissen für den Umgang mit verschiedenen Sicherheitsbedrohungen wäh­rend der täglichen Arbeit. Hier die wichtigsten Inhalte und
Themen der Awareness-Schulungen:
  • Grundlegende Informationen zur Informations- und Datensicherheit
  • Sicherheitsrichtlinien des Unternehmens
  • Verhalten bei sicherheitsrelevanten Ereignissen (Informationspflicht bei erkannten Gefahren)
  • Sicherer Umgang mit E-Mails
  • Gefahren durch Social Engineering und Phishing (mit Ablauf einer Phishing-Attacke)
  • Sicherer Umgang mit Passwörtern
  • Bedrohung durch Schad-Software
  • Risiken beim Einsatz mobiler Geräte und mobiler Datenspeicher
  • Gefahren durch soziale Netzwerke und Internetnutzung
Verwandte Themen