IT-Sicherheit braucht eine gute Organisation
Prioritäten setzen
von Thomas BärFrank-Michael Schlede - 22.06.2018
Quelle: Cyber Ark „Global Advanced Threat Landscape Report 2018“ (n = 1300)
„Sind Maßnahmen von Effektivität und Schutzfähigkeit her gleichrangig, empfehlen wir, diejenigen zuerst umzusetzen, die schneller implementiert werden können oder kostengünstiger sind. Natürlich muss auch berücksichtigt werden, dass die Bereiche als Erstes geschützt werden, die den höchsten Schutzbedarf haben. Deshalb ist es wichtig, die Abhängigkeit der Geschäftsprozesse und Aufgaben von der Informationssicherheit zu kennen“, erläutert Model.
Der Vorteil der Fokussierung auf kleinere oder auch preisgünstigere Maßnahmen liegt auf der Hand. Typischerweise sind sie deutlich schneller erledigt, was insbesondere in der Einführungsphase von ISMS auch bei den eigenen Mitarbeitern zu einer besseren Akzeptanz führt. Große Vorhaben gilt es, in möglichst überschaubare und leichter abzuschließende Teile zu zerlegen.
Heutger empfiehlt grundsätzlich, Maßnahmen risikobasiert einzustufen, und folgert: „Daher ist es zunächst wichtig, sich seiner unternehmerischen Werte – das umfasst Kernprozesse, Services, Fähigkeiten und Wissen, aber auch Reputation – bewusst zu werden sowie der Risiken, die auf sie einwirken.“
Und er betont, es helfe nichts, stumpf einen Katalog von Maßnahmen in einer vorgegebenen Ausprägung abzuarbeiten, wenn diese weder zielführend seien noch dem Risiko gerecht würden, das sie vermeiden helfen sollen. „Die Zeiten von Checklisten, das sieht man aktuell auch sehr gut in der Novellierung des Bundesdatenschutzgesetzes durch die EU-Datenschutz-Grundverordnung, sind vorbei: Es geht vielmehr darum, sich Risiken bewusst zu machen und geeignete Maßnahmen auszuwählen.“