Noch lange bevor technische Sicherheitsüberprüfungen wie Schwachstellen-Scans oder Penetrationstests von IT-Systemen durchgeführt werden, sollen Sie initiale Schritte einleiten. Diese dienen dazu, ein ganzheitliches Bild über die aktuelle Sicherheit Ihrer IT-Systeme, aber auch der kritischen Geschäftsprozesse zu erhalten. Orientierungshilfen für relevante Prüfkriterien bietet unter anderem der Gefährdungskatalog des Bundesamts für Sicherheit in der Informationstechnik. Beachten Sie jedoch, dass bereits bei der Bestandsaufnahme ein umfassender Weitblick auf das gesamte Unternehmen und deren Bereiche nötig ist. Organisatorische Aspekte spielen in der Informationssicherheit eine genauso wesentliche Rolle wie die Überprüfung der technischen Systeme.
Fundiertes IT-Fachwissen ist Voraussetzung für die Bestandsaufnahme der aktuellen Informations- und IT-Sicherheit. IT-Administratoren besitzen dieses Fachwissen, dennoch sollten Bestandsaufnahmen und GAP-Analysen im Idealfall durch neutrale Parteien durchgeführt werden. So erhöhen Sie die Chance, auch organisatorische Schwachstellen zu identifizieren, die eigene Mitarbeiter unter Umständen nicht erkennen. Das Unternehmen wird dabei von außen betrachtet. Diesen Blickwinkel würde auch ein krimineller Angreifer einnehmen.
Wurden in einer initialen GAP-Analyse Defizite festgestellt, so gilt es diese zu bewerten. Wie kritisch sind einzelne Schwachstellen für Ihr Unternehmen? Diese und weitere Fragen zur Bewertung diskutieren Sie mit Ihrem Informationssicherheitsbeauftragten, der ausreichend technische und organisatorische Kenntnisse zur IT- und Informationssicherheit besitzen muss.
Auch wenn zum aktuellen Zeitpunkt ein ISB noch nicht für jedes Unternehmen gesetzlich vorgeschrieben ist, so empfiehlt es sich diese Position explizit zu vergeben. Eigene Mitarbeiter aus der IT-Abteilung oder sogar der IT-Leiter haben in der Regel nicht die zeitlichen Ressourcen, zudem führt diese Doppelrolle oft zu Interessenskonflikten.
Nach der Bewertung der Defizite und der Einschätzung ihrer Risiken gilt es, notwendige Maßnahmen abzuleiten. Diese Maßnahmen reichen von Mitarbeiterschulungen bis hin zu technischen Sicherheitsüberprüfungen wie Penetrationstests für kritische IT-Systeme.
Erst nach Ableitung aller erforderlichen Maßnahmen zur Verbesserung Ihrer Informations- und IT-Sicherheit geht es um die Umsetzung und vor allem um regelmäßige Überprüfung und Verbesserung. Man darf IT-Security nicht als Projekt betrachten, sondern muss es als kontinuierlich verbesserbaren Prozess ansehen. Plan – Do – Check – Act sind die wesentlichen Prozessschritte, die es dringend zu beachten gilt.
Ein kontinuierlicher Prozess, der sich stets verbessert und auch messen lässt, kann nur dann entstehen, wenn Sie das Thema der Informations- und IT-Sicherheit kontinuierlich und mit den notwendigen zeitlichen und fachlichen Ressourcen umsetzen.
Wird diese Aufgabe ernst genommen, entsteht am Ende ein zertifizierbares Informationssicherheits-Management-System. Das bringt Unternehmen nicht nur die laufende Absicherung technischer Systeme, sondern auch strukturierte Prozesse und die Erfüllung relevanter Compliance-Vorgaben.
Wenn Sie Unterstützung bei GAP-Analysen, dem Aufbau eines ISMS, oder Unterstützung durch einen externen ISB benötigen, kontaktieren Sie uns gerne.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).